主管也問了我"為什麼不能放?"

真的！無知最可怕！
檔案能隨意放在公開網站取用，難道不怕被入侵
不過貴主管無知不代表樓主也要自我蒙蔽

先從法律面講起
我國在電腦資料方面相關的
就有新頒的資訊安全法
還有營業秘密法以及個資法
歐盟還有GDPR等等都有相關規定與罰則
如先前所知貴公司有網站銷售商業行為
再加上曾經被全球無數IP位置攻擊(不知解決沒)
不得不說貴公司主管心臟非常大顆

就算雲端的功能也是有區分用途的
公開的網頁與資訊應該放在DMZ區
如果為了存取檔案方便
應該另設FTP或File Access等經由VPN等認證程序後存取
兩者之間不能直接互通存取
Web Application Firewall是最基本配備
這些在下的淺見都是一些基本的資安觀念
樓主您再多參考看看

主管沒意見就算了,
反正除非網管有在管,
外流也查不到,
不知道就沒事了.

不能把過大的檔案放到伺服器內

這個主要應該是說網站的載入速度會變慢吧,
但是你那些圖片又不是網頁要用的,
不會影響到.

我覺得主要是安全的考量吧,
反正資料被撈走也沒人知道,
不用太擔心.

-~-~-~-
一個 FTP 可以解決的事情
搞得似乎好像有點嚴重
貴單位....恩...

所以我想問問各位有什麼比較好的說法可以說服她們或是其實把伺服器當雲端用是OK的?

我提供三個說法，你可以自己選一個喜歡的
1.說服主管
有另一個做法，不用多花一毛錢建置，資安比現在更好，跟現在一樣方便，建議更換做法
有另一個做法，不用多花一毛錢建置，資安比現在更好，不過比現在麻煩一點點，建議更換做法
2.說服使用者
有另一個做法，讓你比現在更方便，要不要換？
有另一個做法，跟現在一樣方便，但是比現在要安全一些，主管要求要更換做法
3.說服你自己
我想不出什麼比現在「更好」(註)的做法，就維持現狀，等出事再說

註：「更好」的定義如下
以上說法都是圍繞在「方便」「安全」「成本」三件事情在打轉
而這三件事情在不同人眼中的「定義」和「優先」(權重)也不䀆相同
而且通常是互相衝突的
你在處理類似問題時
都可以從這三個面向去考慮如何才是解決問題的最佳方案

選我正解

最簡單的作法
開個 HFS
或是
nextcloud
或是 FTP 給他
簡單來說 要有驗證機制

他有需求
你要給他替代方案
不要只是一昧的阻止
檔案伺服器，本身是沒問題的

常有的事情
說服自已吧
說服不了自已
很多種暗的方式
舉例來說
流量限縮
懂我意思吧
嘿嘿....

公司網站當雲端沒什麼好吧, 也給我一下, 我送你圖片, 什麼圖也有.

請神容易送神難。

我的看法是，先不動聲色三個月，等大家不注意時，
偷偷限制上傳下載速度，1M花她半小時，（要一週週遞減，不要一下去露出馬腳）
然後，等主管來問。

您千萬不要先去找主管談，《漢書‧霍光傳》：「曲突徙薪亡恩澤，焦頭爛額為上客耶？」

假如她是個正妹：
這時候我會檢討自己為何沒有另外提供他暫存的FTP空間

假如她是個阿尚：
以違反資安理由上報給老闆

服務器裡面有個權限管理
可以管理每個人的容量/網頁可以顯示的權限
去設定一下吧!!!
那就不會超過1TB.....
你也不用一直刪檔案!!隨便放!反正不會超過,web也不會看到

其實，我是想給開版主一個很大的問題重點。

表面上來說是為了資安。實際上來說是為了什麼呢?
其實如果就暗黑心態來問的話。就是為了表現自已，突顯自已的重要性。
對上級者而言，這是製造麻煩的人
對平級者來說，你在挖洞給他跳。

是的，你可能會覺得為何我會先很機車的說這樣的話。
不是真的這樣說你，而是讓你明白別人可能性對你的看法是什麼。

你搞不好還會覺得吃力不討好。

當然，就我個人而言，我會覺得你做的很對。可是在職場上，我不能說你做的對。
很矛盾對不對。
其實我也是公司內資安管理的負責人。也曾經碰過這樣的問題過。
如內部測試網路，不給外連。就為了老闆一句話。還是開放了外連。
很幹對不對。但老闆說的有理，業務說的有理。
我就為了資安給氣死。久而久之，我選擇的放爛。

因為我不是決定者。但我也表示了。資安我沒辦法負責。
我很早就跟上層的人員說過。如果沒辦法照我的要求，資安事件我不會管。

上級就覺得我不負責任，製造麻煩。
所以呢???
我就選擇了離開這家公司了。

其實，如果說資安不用管，東西盡量外放。只要不是我負責。我一切都是ok的。
但又要負責資安，又要破壞資安。這等於是給我一個炸彈。

說那麼多，重點其實在於。先決定你公司的政策是如何的。
如主管確定覺得無所謂。你也無所謂。
但如果是你要負責的。你要覺得有所謂，否則就將責任給主管負責。

當然，我沒辦法保証你是否會像我之後變成被人家說是不負責且製造麻煩的人。
這就是你自已要決定的事了。

我再說一次，就個人的看法而言，你做的很對。但就職場而言。你做的很差。

1.A可以用~那B呢?C知道了也來用，1T能撐多久?

2.A放了，她有拿掉嗎?變成IT負責清掃?額外增加IT的工作?

3.有合適的工具不用偏偏要自己搞創意?
人不走大門跑來鑽狗洞，然後問說為什麼不可以?

以上理由請參考

看看有沒有辦法鎖權限?
就說這有可能會被公司以外的人看到，有些東西若放到公開場合可能會被盜用?

浩瀚星空
就個人看法而言，我跟你的意見一致，但在職場而言的看法，

我與你看法不同，原因在於資安的遵守與否與道德有關，很不巧，

每間公司願意遵守資安規範的標準線完全是看老闆的道德觀，

我曾經待過兩個極端的公司，一間非常重視資安，因為與金錢交易有關

重視到讓資安管理者都嫌麻煩的程度，各種稽核各種限制

一間完全沒有隨你高興愛怎麼放就怎麼放，

你只是不願意在一間不願意重視資安的公司工作而已，

不代表所有公司都不重視資安，當然不重視資安到底會不會爆炸?

你我都知道，就像一顆不定時炸彈，沒人說得準什麼時候爆

這就跟法務的工作一樣，你要跟公司同流合汙出事你要扛法律責任

還是直接謝絕配合，換一間公司另謀工作，這完全沒有對錯之分

我不認為這種人會聽得下去你說的話.
要不要考慮自己先塞一堆垃圾進網站, 然讓他放到爆, 接這跟老闆回報都是他放到網站掛掉的...

資安我做到現在，我只有2個心得
要讓主管幫你，他沒感受到痛苦難受，你說的都是天方夜譚
要讓同事聽話，他沒感受到要被上司盯，你說的都是狗屁不通

就如你的主管，他一定有權利要求你那位同事
其實他只要硬起來，你同事敢不聽話嗎?
總歸到底就是因為你主管也沒有感受到你同事的作法有影響到什麼
都做到主管了都在社會上一段時間了，還問"為什麼不能放"
這跟開車看到紅燈，問"為什麼一定要停"有何差別
就是因為沒有感受到危險阿
闖紅燈有機會翹辮子阿
但放檔案在公司雲端，沒感覺阿，有什麼損失造成了嗎?

所以
要嘛伸頭狠起來
要嘛縮頭忍下來

我的話會讓全公司有個資安大問題產生
然後提供資安建議時
在所有可能造成危險的目標中
把公司雲端空間移除或是控管放進建議的其中一項

多讓公司哀個幾聲，主管都會自己下達強制命令了

我現在的公司
我來之前
就是因為在之前他們自己遇到勒索病毒造成超大量文件被鎖
很多資安建議超暢通
貴貴的防火牆，正版防毒，審核的時間比申請買一台新電腦都還快

反之像最近我在這邊詢問的文件控管光是這問題就拖了要三個月多還沒定案
因為沒痛過他們考慮就多了

感覺還是要分開比較好，但如果主管知道沒意見也行，
不過在資安方面感覺會有問題呢!