iT邦幫忙

0

小公司資安防護-暫定方案,請指教

先前提過一些問題
感謝這邊的大大們熱心提供建議

公司有滿多數位美術檔案還有一些deep learning研究資料
要進行資安工作
經與一些SI公司討論後

方案一
Sophos防勒索病毒+Sophos XG135防火牆+SmartIT Desktop Manager(端點+資產+加密)

1.用Sophos + XG防火牆 做身份認證 (AD替代方案)
有安裝Sophos登入套件的PC,才能連入防火牆,上網及進伺服器
沒有安裝登入套件的設備,防火牆就會擋掉,只給單純上網瀏覽

2.Sophos防毒、防勒索

3.SmartIT Desktop Manager作資產管理及端點管理,關掉所有USB、藍芽、監控配備

4.SmartIT Desktop Manager作檔案加密

5.資安政策 - 鎖Bios、PC權限使用者設定

方案二
IP Guard + FortiGate(FSSO) + NAS(可加密、具備類似windows AD功能認證)

1.IP Guard做端點管理、加密、關閉上傳及下傳

2.FortiGate防火牆做防毒及FORTINET SINGLE SIGN ON

3.加密NAS備份 (原本已有一台NAS)

方案三
防火牆 + 防毒軟體(兼端點管理) + 高規NAS(可加密、具備類似windows AD功能認證)
【PC端點-防火牆-NAS,變成一個區域內網,
PC端點 不能使用硬體存取、也不可以上傳資料
利用NAS 做端點連線的管理 認MAC address 未被認證的設備無法連入
至於 檔案加密 暫時不做】

PaloAlto + Traps
CheckPoint + SandBlast
Fortigate + Forticlient

想再請教各位前輩指點

建置資安防護 - 預防公司檔案外流、勒索病毒、資料備份
https://ithelp.ithome.com.tw/questions/10195157
文件加密安全管理系統哪一套在Win、MAC、Linux都表現很好?
https://ithelp.ithome.com.tw/questions/10195239
有端點管理、防勒索病毒的商業防毒軟體
https://ithelp.ithome.com.tw/questions/10195338

看更多先前的討論...收起先前的討論...
經過與老闆的討論還有與SI專案經理的意見
希望達成的效果是

●檔案不外流
1.建立內網,PC-防火牆-伺服器
2.工作用PC(設備)都被管制,被認證的PC才能連入伺服器
3.封掉所有上傳機制 (雲端硬碟均封鎖)
4.封掉所有外傳機制
5.關閉PC硬體存取設備

●檔案加密
就算檔案外流,至少檔案有加密,流出去的話,別人也不能讀取

●防勒索病毒
先做PC防毒軟體的採購,之後會針對伺服器的防護以及備份機制再做方案
hsiang11 iT邦研究生 2 級 ‧ 2019-09-20 13:13:45 檢舉
SmartIT建議思考未來幾年的升級費用是否有預算
以前遇過的公司沒錢升級也沒有維護
最後也沒啥人懂 系統支援度不佳
變成爛攤子

2.Sophos防毒、防勒索 我想這也是牽扯到授權費用
都必須要思考配置問題 未來要用軟體防毒 還是防火牆防毒
Astair iT邦新手 5 級 ‧ 2019-09-20 14:25:35 檢舉
●檔案加密
這一塊要注意,若是有用AutoCAD軟體之類相關的,要先問過廠商,免得軟體授權也會加密異常,導致軟體無法正常使用。
冰水 iT邦新手 5 級 ‧ 2019-09-20 16:31:37 檢舉
目前遇到中勒索病毒的都是從信件的檔案
給你參考
小公司能做到這樣也太猛
我覺得要維護資安
第一步是員工的訓練
第二步是簽有法律效力的切絕書
第三步才是才是實體保護,這是最難做,最難有效果,最昂貴的
ak02 iT邦研究生 3 級 ‧ 2019-09-23 09:44:18 檢舉
公司給資訊有很大的權限
不簡單

1 個回答

4
賽門
iT邦超人 1 級 ‧ 2019-09-20 17:22:05

資安不是買些資安廠商的軟硬體來安裝設定就行了。

  1. 每年都要編列預算持續更新授權。
  2. 要不斷檢討資安政策,找出公司的資安漏洞。
  3. 持續改進。
  4. 持續追踪公司資安漏洞及採行對策。
    小公司,沒有多少經費,難得老闆支持,願意花錢。
    但是,預算編的不夠,該買的沒買,才是問題。
    你應該先檢討公司的資安漏洞有那些,然後尋求適當的解決方案。
    防毒是基本,但是,更大的問題在使用者沒警覺心,不明郵件也隨意開啟,上網隨便看圖片和影片。
    所以要先檢討資安漏洞,建立資安政策,也要先教育公司使用者警覺不明的資訊來源與探索。

資安不是IT人員的專責,是公司全體總動員的事。
IT人員是是在建立資安政策與偵察資安漏洞的第一線。
你提到的三個方案的設備都很高貴,是不是實用,不方便回答,以免中傷廠商。
我只想問貴公司有什麼很重要的商業機密是業界的金母雞,有不少人想偷盜或破壞?
如果答案否定,要不要花大錢買這些資安設備得再三考慮,因為買了設備又發生資安事件的,很多。

李大瑋 iT邦研究生 3 級 ‧ 2019-09-23 17:08:29 檢舉

贊成賽門老大說的
基本上
給屠龍刀不一定打的贏拿樹枝的
習慣跟教育訓練的觀念比較重要吧

我要發表回答

立即登入回答