iT邦幫忙

1

如何收管公司內散落各地的NAS(及內含資料)?

各位先進前輩大神好
一般而言,公司IT單位都會為各部門建好Files Sharing Folder or sharepoint or KM等的公用資料平台,並架構好版控、備份、稽核等措施,也期望使用者和各單位能把資料集中到上面去。不過事情總是難以如此順利,使用者在各種理由下(怕被監控、習慣性不放、宣稱業務極機密等等)就是不會把資料集中上去,然後用自己單位的預算買NAS、買dropbox空間來放(想當然瞞著IT),各單位越買越多,這樣的情況行之有年後就是NAS散落在內網各部門的角落,每每發現NAS可能在一個滿是灰塵的角落、不起眼的櫃子、風水水族缸的後面中運作,裡面的資料像是垃圾山一樣沒有分類加密也無主(離職10年以上的私人檔也在),成為資安風險與無法保障的資料漏洞,也吃定IT拿他沒轍。這議題涵蓋了設備不當保管、資料生命週期管理、資源配置、公用儲存空間不足和管制政策結構不明確等等。

是說如果遇到上述這個情境(可能也是很多公司內的情境),試問該如何去收斂收管?

小弟我這邊試擬兩種方案作為拋磚草案,請大家用力鞭
方案一:集中託管
1.集中:行政命令要求所有NAS都集中放置於機房,由IT負責管理維護
2.託管:交出NAS設備最高權限,內部資料進行分級加密、權限套用

方案二:集中式大熔爐
1.由IT提案建立一個足以滿足所有資料量與成長性的儲存空間(或M365 sharepoint等方案)。
2.海納百川,要求各單位將NAS內資料傳遞到該儲存空間,使之資料集中化管控。限期傳完後封鎖NAS接入內網、從此禁用部門NAS。

上述很粗淺的構想方向,執行上也會遇到許多層面的挑戰,望請各位大神指點更好的方法。

感激不盡

6
CyberSerge
iT邦好手 1 級 ‧ 2020-12-12 22:28:18

拒絕要有替代,方案二長期來說會是比較適合管理的做法,畢竟不用顧慮各NAS廠牌不同的問題,需要一直更新。而且若公司有提供M365 SharePoint/One Drive,也可順便宣導捨棄Dropbox。

或者先從方案一開始,一旦由IT負責管理後,自行逐步將該NAS轉至方案二;也可以依各部門配合度採取兩個方案同時進行,願意配合方案二的部門就直接轉換,暫時不想馬上換只能配合方案一的就先收回管理權,日後再轉換。

無論那種方案,建議都需要與高層主管們達成共識、同意、與各部門協調後再執行,避免日後負面聲音造成專案流產。強調轉換的好處如版控、備份、稽核、有IT專門支援等等,盡量讓使用者體驗和原本一樣。

轉換完成後除了要從網路層面防堵私接NAS設備,還要注意私接的USB硬碟,否則各單位私自買USB硬碟儲存資料,日後又是另一個問題。

的確,可能需要從方案一過渡到方案二的漫漫長路。負面的抗拒聲音一定強烈,我得好好找個強力靠山來支持這措施了。
防堵私接NAS可能得用NAC,USB硬碟靠端點防護阻擋,使用者會到處找洞鑽,如同生命會找到出路、User會想新的私藏資料管道(笑)
感謝大神分享

0
dscwferp
iT邦高手 1 級 ‧ 2020-12-12 23:58:08

為何要收管?
您都說那是"裡面的資料像是垃圾山一樣沒有分類加密也無主"
您要做的就是基於:
"資安風險" 與 "資料保密" 與 "資源分項"
原則來建立公司的"知識中心"
讓同仁有放心(不會被刪被鎖)且適用(找的到想要的資料)資料放置處
這樣同仁就會主動放上他認為很重要的資料
您的專業及心力應該是要放在對的地方->"知識中心"
散落各地的NAS不用理會!
PS:
可以允許同仁私人的檔案放在"知識中心"嗎?
我的建議是"可以"
因為
這樣才能營造"公司就是家"!
這樣才能讓同仁向心力更大!

dscwferp iT邦高手 1 級 ‧ 2020-12-13 00:02:26 檢舉

我想可能有人會歪樓
我先歪:
可以放"d碟"嗎?
...
以前我會買顆大HDD來放
現在4G時代
網路上就是我的"D碟", 大HDD已丟了!
未來是 3秒下載的5G時代
更不需要了!
不是嗎?

3
Livingston
iT邦新手 5 級 ‧ 2020-12-13 13:13:24

我想不管是哪個方案,最大的因素還是有沒有最上頭老闆的支持
今年年初我就經歷過這樣的風波
但因為是有ISO 27001的大前題下,老闆答應支持
建立HA,建立異地快照備份
再來就是和各部門主管溝通(沒有老闆支持這步驟真的很難)
集中之後,列出檔3年以上沒異動過的檔案清單,各部門開始篩選,開始封存加密或刪除
然後個資檔案清查列管

這些步驟不管哪步都會被人嫌,但已經大老闆說話了,我都以此當原則去溝通
才能順利完成

/images/emoticon/emoticon46.gif
唉~組織內,說服老闆、各部門山頭的溝通遠比IT技術執行面難的多了。
如同你說有個大旗才有立場說服,近年越趨熱談的"營業秘密保護"、"勒索檔案預防"也是可用的大前提(大旗),謝謝分享~

2
humming
iT邦研究生 3 級 ‧ 2020-12-13 17:56:06

主要是替代方案與管理辦法要先準備好,
我在去年九月初處理完新公司的散落各處nas問題,
120人的公司,nas有15台,rd部門的nas就擺在空座位那一區桌上,
被人抱走大概都不會有人發現。

我的步驟
1.簽呈:說明資料管理在資安面與資管面的重要性,再來說明資料對公司的重要性,以及現有使用方式的風險。先取得建置集中資料的nas、備份主機、磁帶機的經費。
2.在寫簽呈時已統計資料總量,先整理目錄,區分為各部門相關區域與公用區、私人備份區。
3.將資料全部複製到新nas,並開始做重複資料過濾(別想太多經費關係所以是人工)、比對並歸類入相應的部門資料夾。
4.套用權限、公告啟用日期。
5.啟用後確認資料無漏失,強制回收各部門儲存設備,並通知會計部門,各部門"任何"資訊類支出均須有資訊部主管簽名確認。
6.等著被眾人罵。

現在眾人已經習慣新的儲存空間使用及管理方式,
要改變眾人的習慣、
很少能當白臉的,事情可以上正軌比較重要,
如果想不得罪人而做好資訊管理及資安,
除非剛好發生重大事件完,不然應該是不可能的任務,
參考一下吧。

現在正在換一套使用數十年的erp,
比換nas更恐怖,嘿嘿。

/images/emoticon/emoticon12.gif
謝謝大神,這正是我想要得參考典範,習慣改變真的不容易,現在我也是藉著重大事件或長官登高一呼,才可能把預期阻力降低些。祝換ERP順利

0
cklouie
iT邦新手 5 級 ‧ 2020-12-13 21:17:38

用Google Workspace(G Suite)Business,有Google Drive無限空間,可以分部門,Folder設定權限,放到你爽為止...
PS:不過我賣了8年 Google Cloud產品,製造業跟傳產不用的還是不會用,我就講來爽的!
你們就聽聽吧!

1
Kert
iT邦新手 1 級 ‧ 2020-12-14 05:56:36

強勢IT 就照樓主方式 收繳
跨國公司 你如何去查 有些分公司不但有黑NAS 還有黑網路
內部防火牆設備比對外還多
IT有時做事會捲入權鬥 不是有上方寶劍就能亂砍

我的方法是區分責任 放公司NAS接受IT管制 IT負責檔案安全

黑戶設備 自負生死 發公告

如果有人喜歡幫IT工作 還自負成敗 我是樂觀其成
如果出事就兩手一攤 同請的說:要是放在我這我就幫你找回了

推!!/images/emoticon/emoticon12.gif

0
sam0407
iT邦高手 1 級 ‧ 2020-12-14 08:58:57

  看情況辦事吧~~看IT在公司政策是徧重屬於服務單位還是管理單位?每家公司的情況不同....

  在我現在的這家公司,IT角色是以徧重服務為主,所以我會採取樓上Kert大的方式,建好該有的服務並宣傳,我有提供檔案服務喔,檔案放我這裡有保障,無論是中毒或是有人手殘誤刪檔案我都會幫忙找回檔案,你自己搞的就自行負責!

卑職隸屬單位近年正在從服務單位轉型為管理單位,之前就像您的執行模式,有放主機上的才有保障。轉型後是可以開始較有力的改善,相對責任也多,即便他自己搞的部分也延伸到是"IT單位管理不善"被連坐,跟住海邊一樣深廣。

0
賽門
iT邦超人 1 級 ‧ 2020-12-14 09:14:13

這個, 公司內的政治問題比較嚴重, 這不是技術問題.

0
froce
iT邦大師 1 級 ‧ 2020-12-14 09:14:41

禁新購NAS,然後自建nextcloud之類的私有雲。
然後併用上面kert講的,你放在我這我幫你備份、維護,你不放的話你自己看著辦,出事你負責。

0
vc0528
iT邦新手 5 級 ‧ 2020-12-14 10:27:02

長官給的指令? 你提供技術部分的想法就好,長官同意你的想法,請長官去擺平人的問題.
長官沒下指令? 你別去捅蜂窩,把自己負責的NAS管好就好.

長官通常只提一個概念阿,其他技術、溝通、協調、配套措施、漸進階段、成本時程都含在廣義的"規劃"兩個字,馬蜂窩有時候是從天上掉下來剛好被我接到。要擺平人?長官表示:那是規劃中的一環,怎沒事先考慮到呢?整體請再改善!~

(sorry變抱怨文了)

0
harrytsai
iT邦新手 2 級 ‧ 2020-12-14 14:18:54

RD的東西基本上是動不了,其他單位則加入AD就可以管控了

RD東西得誘之以利,嘗試過用獨立規劃高規建置共同持有管理權的方式嘗試去溝通,避免為黑區域之一。

0
santanalee
iT邦新手 2 級 ‧ 2020-12-18 17:08:04

你的狀況我也遇過,讓老闆去擺平其他主管,我是做第二方案,但相對的備份和log的方案也要做好,不然容易背鍋,因為很多使用者都亂刪資料。
一開始的反彈大多是因為其他部門怕資料怕被管理單位看光!!
其實後來也證明了這樣的做法,反而減輕了其他單位的負擔,有人維護何樂而不為。

0
Andy
iT邦新手 3 級 ‧ 2020-12-22 11:58:36

資料儲存需要成本,成本該如何合理支出(保護級別),只有高階主管才能認定(他不簽甚麼都無法做),舉個例子,公司有2個事業部,A事業部營收佔比90%,B事業部營收佔比只有10%,但B事業部資料佔了絕大多數(超過70%),這時候資料儲存解決方案,是不是要為2個事業部量身訂做,因為保護級別或許就大不同。

我要發表回答

立即登入回答