20190904內文:
目前公司有25台Windows 10 PC、1台MAC、2台macbook、3台linux PC
電腦機型均為原價屋組裝 拿來跑3D美術軟體或是Tensorflow
使用中華電信 300M/100M 網路
公司內部均為區域網路，無固定IP，無網域控管
單機個人使用
有一台NAS 做為內部檔案交換及建Gitlab用

我們沒有MIS
工程師們的背景也不是專業的MIS
所以老闆要求我擔任規劃PM

=============================================================

老闆期待達到的功能：
1.建置資料備份
2.同仁無法上傳雲端、用line傳檔或用USB等設備，拷走公司檔案
(DLP 或是 DRM ?)
3.預防勒索病毒

=============================================================

稍微請教過我們的工程師後，了解我們的狀況並提供做法：

一、網路環境
1.內部防火牆、Switch、AP，其型號，無法達到MAC(Media Access Control Address)認證
(若全面更新，費用約需20來萬?)
2.全面改成wifi環境，避免員工自己私插有線到個人設備，去拷檔案或是破解server
3.不採用帳號、密碼登入的方式，因有可能被盜或是員工自帶筆電，就可以拷檔案
4.理想做法 - 限制被認證的PC主機、NB才可以進入伺服器
(但老闆願意花這20來萬嗎?)

二、PC設備的端點管理
1.現有的PC、NB等，均安裝DLP軟體(如endpoint protector)
2.把linux改成windows系統
3.鎖掉每一台的bios，禁止用bios、usb、網路開啟PC
(Secure Boot / Multiboot/ USB Boot)
4.限定每一台主機只能用Guest帳號登入，且無法變更。Admin帳號由我統一管理
5.白名單只開放工程師會用到的軟體，其餘雲端硬碟、usb槽等全關
6.確認工程師所用的軟體，不會有雲端備份功能
7.禁止使用teamviewer之類軟體

三、檔案瀏覽(如何避免外流)
1.因有需要提供code及作品給客戶，之後改成用server提供帳號、密碼方式供客戶登入
2.針對做為DEMO用的主機，開啟使用usb及遠端連回server功能

四、勒索病毒
1.採購防毒軟體並設置中控密碼，員工不能任意變更

五、資料備份
1.新購一台DELL伺服器作為內網，供員工檔案交換、建gitlab及備份之用
2.所有人憑帳號、密碼登入
3.異地備援(是否有便宜的雲端?)

六、事後追蹤
1.受限經費、規模，除了事前防範外，希望也從流量、傳檔內容做紀錄，以便事後追蹤
(希望知道是哪台電腦、傳了什麼檔)
2.更換fire server?

七、資安政策
1.禁止員工私帶設備筆電
2.機房管控 (上鎖、禁止員工進入、網路線不明顯露出)