iT邦幫忙

2

公司擴廠,控管資料外洩的方法?

各位先進好,關於這個問題可能也已經被問爛很多次..(之前也問過一次)

會找相關的公司來幫忙做,小的沒有那樣的技術..

我知道直接問也是可以,但方式也可能五花八門,
還是想尋求各方推薦的方法,來找最合適我們的方式。

或是有推薦相關的公司(若這裡不能講這個,我會自行刪除)

公司在擴廠,想當然地,也會想到資料防止外流。

以下是新廠環境:
資料幾乎都是OFFICE檔(EXCEL、PPT),理論上不大、人數最多20~30人就差不多

新廠目前是沒有電腦設備(從0開始、應該會好做許多??),

主要使用OFFICE紀錄數據、偶爾需要網路寄發郵件給主管

目前想到的方式:
1.最簡單、單純的作法就是封鎖USB、電腦不上網。
但這樣沒有任何紀錄留下、且要寄發資料會有點麻煩。

2.或是由一台server來控管個人工作站的行為,
有想到windows ad,目前只知道這個,但沒有操作過,會比較擔心出問題。
關於第二點的相關內容,應該還有類似的方式,但想不太到關鍵字

希望能在推薦更合適我們且實用的方法。

另外有些疑問
1.如果做第一個,滑鼠、鍵盤也會被封掉嗎?

2.若是AD,費用初估是多少呢? 授權、硬體、軟體...等(純好奇)


09.16 17:15小補充
前輩都有問到一點: 檔案是否會與外網接觸?

答:
幾乎很少,都是內部人員在使用(因此才擔心會被copy走),
有接觸的話,就只有將檔案寄給上級看

另外現在這邊,因為現在同事都比較單純,沒有限制行為
只有使用nas簡單看紀錄而已。
大概會有人想問,阿這樣不是就會被copy走?
答:
目前是還沒有情況發生,因此在新廠弄好且人員還沒這麼混亂前,先做好佈署


9.17 15:40更新
先感謝給我建議的前輩們,你們的解答都有給我一些方向,也讓我再探討更多功能。
目前是還沒有決定會是朝哪個方向做,但也有一些想法。
可能會由mytiny前輩提供的方式去執行,簡便快速許多,也再次感謝其他前輩們。

看更多先前的討論...收起先前的討論...
尼克 iT邦大師 1 級 ‧ 2020-09-16 15:50:34 檢舉
你的問題大問哉!
player iT邦大師 1 級 ‧ 2020-09-16 15:54:21 檢舉
當你允許員工用Wifi,用自己攜帶的手機或平版筆電連公司網路時
就別奢望資安了
就算用個USB隨身碟
也隨時能把檔案Copy走
只有簽保密切結書吧?
簽了之後還要不時提醒他們,有保密切結喔,不要亂來,做不該做的事,
kmdodo8 iT邦新手 5 級 ‧ 2020-09-16 16:37:58 檢舉
我也知道這些防不勝防,防的了君子防不了小人。

因此才希望前輩們,能推薦有適合、類似的方法。
找廠商問問檔案加密方案
evio0502 iT邦新手 2 級 ‧ 2020-09-16 16:55:11 檢舉
檔案加密
會頻繁和外面互動文件-->個人推DVC
少量與外面文件互動-->個人推VES
kmdodo8 iT邦新手 5 級 ‧ 2020-09-16 17:11:12 檢舉
檔案加密..這部分我沒想到,我在研究看看,謝謝!!
evio0502 iT邦新手 2 級 ‧ 2020-09-16 17:19:31 檢舉
檔案加密是個左手打右手的情境,請先盤點以下
1.局部加密?全機加密?
2.加密檔案格式
3.給外面廠商的文件是否還要管理追蹤
4.拍照永遠無解
5.要跑集中式文管還是分散式文件管理
6.重點-->老闆支持,初期你會被使用者煩死
7.解密窗口,能否快速反應處理,不能的話~未來使用者絕對三不五時找你幫忙解密
Tom iT邦新手 5 級 ‧ 2020-09-22 14:58:53 檢舉
謝謝大家的分享!
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中
1
mytiny
iT邦超人 1 級 ‧ 2020-09-16 21:29:50
最佳解答

認真的來替這個專案想方案
樓主可以考慮把原來的FG-60E轉去給分公司用
分公司下面接上FortiSwitch做設備管控(現在有NOC功能)
總公司按人數另外採購Fortigate及FortiSwitch
然後建立 SD-Branch 的架構
新廠人員只要直接搬入新廠
什麼繁瑣的設定都不用
因為人員上網都需經過總公司
身分及管控都由總公司發放及處理
讓新廠就如同一個新VLAN一樣就好

至於Fortigate的功能
在下於這一篇略有提到
大部分的跨網段資安及管控都可以做到
如果在公司沒有建置過AD的情況下
對檔案的管理與紀錄
可以考慮端點管控的IP-Guard(或類似產品)
它對於檔案的新增、刪除、複製、移動都可以做到備份與紀錄

這樣的規劃已經有企業採用
對於新廠或新辦公室的IT環境建立快速而有效
在講究快速競爭的現代
只要硬體環境完成,400-600人可在當日完成進駐
馬上公司業務進入日常工作狀態
對企業而言是很有利的新常態

看更多先前的回應...收起先前的回應...
kmdodo8 iT邦新手 5 級 ‧ 2020-09-17 09:44:33 檢舉

先感謝前輩屢次回答我的問題,也相當精闢。
您提到的功能,因為我沒使用過,會先琢磨、多了解一下。

說來也慚愧,手上有一個很好用的Fortigate,卻不知道如何善用他,也因此對它非常不熟悉。

若照您的方式,網路頻寬會需要很大嗎? (全公司加起來能100多人已經很多了,目前才30人左右)

有想到一個簡單的方式,若總公司、新廠兩台間做成VPN,新廠只剩下連線總公司的功能、及USB封鎖,資料都由總公司中NAS做存取,是否也可行?
(好像講下來,跟前輩說的方式有點相似)
有個小小的問題:
Fortigate 60E是否無查看內部人員的上網行為之功能?是有看到一些在轉發流量中目的地而已。想問有更詳細的嗎?或是我應該在哪邊設定才對?

若要做到監控,60E是否還不夠?

也再次感謝前輩的回答。

mytiny iT邦超人 1 級 ‧ 2020-09-17 11:12:23 檢舉

有關您說的VPN式的架構是正確的方向
Fortigate的SD-WAN能合併專線、MPLS、4G/LTE、光世代、PPPoE以及各式VPN,並同時給予資安防護,在國外的評價很高,國內多半還不會用(可惜!免費的說.)

猜想貴公司目前的FG-60E並未購買UTM相關功能
同時此台無法紀錄LOG,所以很多東西看不到
未來,如果新廠的流量都導回總公司再決定去NAS或上網
就只要總公司那台買UTM授權就好,這樣就什麼都看的到
可說採用SD-Branch架構還會比較省錢

如果全公司100人,要啟用各式資安防護及管理、監控
會建議選用FG-101F,它具備2個10G介面,價格又很親民
未來如果要擴充及新增功能會比較有足夠能量
關於SD-Branch的方案在官網YT上有許多影片
並可以直接聯繫台灣Fortinet會有專人服務

kmdodo8 iT邦新手 5 級 ‧ 2020-09-17 15:36:06 檢舉

您說的UTM應該是圖上這個吧!其實這個買了,也都沒甚麼使用到,可以說是有點浪費它裡面的許多功能(因為目前上面還沒有太多要求說要去限制行為,但未來可能會了。)https://ithelp.ithome.com.tw/upload/images/20200917/20116915lho4ev8d4a.png

它之中是有紀載一些系統事件、轉發流量而已,沒有太多詳細的紀錄。

最後,感謝您提供的建議,有跟主管討論一下,雖然還沒決定該怎麼做,但可能會是您說的方式去執行。

mytiny iT邦超人 1 級 ‧ 2020-09-18 11:32:19 檢舉

有買UTM但沒用就太可惜了
如果政策沒開"全部會話連線"紀錄
就算有forticloud也不成
就不會有完整的session log
沒開UTM防護,就不會有資安log

強烈建議您如果採用SD-branch方案
請詢問是否有建置過的經驗工程師
會對於專案進行較有幫助

kmdodo8 iT邦新手 5 級 ‧ 2020-09-18 13:38:15 檢舉

是的,因為目前上級還沒限制上網行為,因此使用UTM是有點可惜,但將來很大的機會需要。所以也是先購買。

另外政策是有打開全部連線會話紀錄,也打開過FORTICLUD,但有點有看沒懂...。

若未來照您提供的建議做,在採購新的FORTINET設備時,也會同時詢問是否有相關技術上的支援。

1
evio0502
iT邦新手 2 級 ‧ 2020-09-16 16:38:55

問題是~
1.資料是完全不會和外面傳遞的?
2.同1會與外面傳遞的話-->請評估文件加密/文管中心/檔案協同作業
3.USB請佈署裝置ID驗證機制,然後只允許你信任的USB,要使用都得申請
4.安裝IM軟體~萬一出事~可能/或許有機率知道人是誰殺的
5.鎖USB還要鎖BIOS~不然PE進去一樣死
6.重點-->有沒有做AD登入/權限控卡

kmdodo8 iT邦新手 5 級 ‧ 2020-09-17 08:58:41 檢舉

嗨您好,
1、2:
檔案都是內部人員在看,有外傳的話,只有傳給上級。
3、4、5:
這些是有想到的,只是相關的軟體我還得找找。
6:
因為AD我沒使用過,所以操作的部分,我還是需要再研究。

evio0502 iT邦新手 2 級 ‧ 2020-09-17 13:43:09 檢舉

如果沒有文件與外面供應商/客戶郵寄的卡控~那可以玩VES的集中式文件管理+(NAS OR fileserver)管理
1.用VES限定檔案存放區域
2.(NAS OR fileserver)增加三種層級共用區(各人資料/部門資料/特定群組資料夾)然後透過VES限定PC存檔只能存在這三個層級
3.檔案分享不透過MAIL,而是透過他的協同檔案共用機制
4.關閉USER外寄權限

kmdodo8 iT邦新手 5 級 ‧ 2020-09-17 15:04:17 檢舉

好的,VES我會再多了解。因為也沒使用過..

若使用得宜,也能在資料上多加一層防範,謝謝。

1
IT 癡
iT邦高手 1 級 ‧ 2020-09-16 17:07:38
  1. 新廠內架 AD 方便控管,同時安裝企業級防毒軟體,裡面都有可封鎖 USB 的功能
  2. 新廠對外必須透過跳板主機,新廠內對跳板沒有管制,但廠外要連到跳板需要權限,
    這樣廠內要寄送出去檔案都先放到跳板,人員到廠外再依權限上跳板抓檔案處理
  3. 鍵盤 & 滑鼠上只要沒有存取功能的 (有些有附 SD 插槽),
    都不會被列入到 USB 管制範圍,甭擔心,以後壞掉也直接更換即可
  4. AD 價格可問公司配合的 SI 或廠商,要看買 "處理器方式" 或 "使用者方式",google 很多資料可參考
kmdodo8 iT邦新手 5 級 ‧ 2020-09-17 09:07:38 檢舉

您好,感謝您提供的訊息。
我會先記錄下來,若未來使用AD的話,會一並考慮,再次感謝您。

1
richardsuma
iT邦大師 1 級 ‧ 2020-09-17 01:43:10

資安是錢堆出來的,不可能一個AD就可以控管你想要的資料外洩,即使有DLP軟體都無法避免資料外洩,是因為敏感資料要怎麼定義都是問題,加上是有權限的員工誤傳,那怎麼辦?

內部員工是一個潛在的大問題,因為你完全不知道誰會做什麼事?軟體無法完全避免,只能盡量控管。
如果你真的想,我可以給你資料參考一下:
1.AD 就不用講了,你已經知道。
2.DLP
3.BBS UEM
4.comodo
5.QSAN NAS(要 WORM功能)

費用你可以問問看,這是我理想架構。
希望有時間寫 安全與管理,
沒有安全就沒有資訊,沒有管理就沒有安全,
所以所有都能夠控管才有機會有安全可言,
沒有控管到的、或是不能控管都是弱點,
隨時會出狀況,尤其勒索病毒跟駭客可以跟你耗幾年,
你怎麼防?

kmdodo8 iT邦新手 5 級 ‧ 2020-09-17 09:52:24 檢舉

感謝前輩回答,像您講的,這些不可能有防得完的一天。

尤其在我技術不成熟,也是對我一大的考驗,唯一能做的就是去盡量防範,至少資料不該輕易的被拿走。

再次感謝前輩所推薦的方式及功能!

0
klcg24yy
iT邦見習生 ‧ 2020-09-18 13:14:08

看起來你是要防止多種管道資料外洩,這可用DLP的產品來達到,例如Forcepoint DLP這樣的工具

0

根據你的需求+避免複雜的管理成本,個人建議桌面虛擬化解決方案(VDI) 可能相對適合~ 這市場上有一些選擇 VMware、Microsoft、Citrix 都可以評估看看~^^

我要發表回答

立即登入回答