20190904原文:
目前公司有25台Windows 10 PC、1台MAC、2台macbook、3台linux PC
电脑机型均为原价屋组装 拿来跑3D美术软件或是Tensorflow
使用中华电信 300M/100M 网络
公司内部均为局域网路，无固定IP，无网域控管
单机个人使用
有一台NAS 做为内部档案交换及建Gitlab用
我们没有MIS
工程师们的背景也不是专业的MIS
所以老板要求我担任规划PM
想求教各位前辈该怎么做
=============================================================
老板期待达到的功能：
1.建置资料备份
2.同仁无法上传云端、用line传档或用USB等设备，拷走公司档案
3.预防勒索病毒
=============================================================
稍微请教过我们的工程师后，了解我们的状况并提供做法：
一、网络环境
1.内部防火墙、Switch、AP，其型号，无法达到MAC(Media Access Control Address)认证
(若全面更新，费用约需20来万?)
2.全面改成wifi环境，避免员工自己私插有线到个人设备，去拷档案或是破解server
3.不采用帐号、密码登入的方式，因有可能被盗或是员工自带笔电，就可以拷档案
4.理想做法 - 限制被认证的PC主机、NB才可以进入服务器
(但老板愿意花这20来万吗?)
二、PC设备的端点管理
1.现有的PC、NB等，均安装endpoint protector软件
2.把linux改成windows系统
3.锁掉每一台的bios，禁止用bios、usb、网络开启PC
(Secure Boot / Multiboot/ USB Boot)
4.限定每一台主机只能用Guest帐号登入，且无法变更。Admin帐号由我统一管理
5.白名单只开放工程师会用到的软件，其余云端硬盘、usb槽等全关
6.确认工程师所用的软件，不会有云端备份功能
7.禁止使用teamviewer之类软件
三、档案浏览(如何避免外流)
1.因有需要提供code及作品给客户，之后改成用server提供帐号、密码方式供客户登入
2.针对做为DEMO用的主机，开启使用usb及远端连回server功能
四、勒索病毒
1.采购comodo并设置中控密码，员工不能任意变更
五、资料备份
1.新购一台DELL服务器作为内网，供员工档案交换、建gitlab及备份之用
2.所有人凭帐号、密码登入
3.异地备援(是否有便宜的云端?)
六、事后追踪
1.受限经费、规模，除了事前防范外，希望也从流量、传档内容做纪录，以便事后追踪
(希望知道是哪台电脑、传了什么档)
2.更换fire server?
七、资安政策
1.禁止员工私带设备笔电
2.机房管控 (上锁、禁止员工进入、网络线不明显露出)
八、未来改成VDI作业?
1.如果改成VDI作业，应该可以减少很多被另存盘案的问题
(但现有主机都是10万多的，若改成VDI作业会否有更大的成本?)

VDI不用想了 光是软件授权就不少了

你没说最关键的问题，你的总预算多少

应该是逐项加完就是预算，然后老板就开始砍砍砍...

去参考一下forti single sign-on我相信Forti的功能是很贴近你要的资料备份来讲,你丢云端不就等同于外泄还不如在买台NAS,进行异机备份即可,只要设定排成错开即可至于client没有涉猎,不过这些都关系到侦测功能

那些限制要完全做到真的只能VDI其他大概就硬件做法

VDI如果途径存在 依然会外泄 比较推荐DLP或是DRM

先看预算吧

老实说30人的公司老板资安要求根本没预算达成花时间处理不如多花时间在主要业务上然后30人的公司还要担心有内贼 我觉得解散会快点光一个怎么防止资料被手机镜头截图带出就无解了难道你要学有些公司进去先过金属检测门 然后禁带手机吗

硬件喔..你去五金行花个几十块买支尖嘴钳就可以达成8成资安需求了

写这么多，有问老板预算多少吗？有多少钱做多少事123点有钱多钱少的作法都可以达成，先问预算再来吧

手机拍照目前有一些solution 但也要员工愿意手机装东西

买个加密式的file server, 防止大量带走档案, 还附存取记录, 监视器装好装满吓阻一下

1. NAS 2.艾批尬 3.SOPHOS

内外网切开可以省很多钱跟很多事 看你老板愿不愿意这样干监视器+内网作业+拔掉USB 只要与外界隔离就相对安全了这是最省钱最省事效果最好的模式(=使用者最麻烦)如果嫌麻烦 那就只能开始追加预算去建防护架构了

1.资料备份：只有内网的NAS且两台以上2.直接透过防毒所掉URL，USB直接破坏掉3.预防勒索病毒：系统定期更新，勤劳备份就好30人的规模，买几台NAS跟防毒就搞定了勒索病毒基本上最有效还是自己多备份在不同地方记得是不同地方，例如不同网段或设备之类的例如每天备份完成后，NAS 断网，网段独立等等

记得请一个警卫每天门口贴手机跟电脑镜头，出去检查有没有撕掉过XD

推楼上

30人规模 先处理防火墙跟防毒吧，用防毒管控usb甚至可以不用房，只要公布有使用了usb的电脑，然后你老板要挺你的政策

NGFW 封锁所有USB孔 一台备份sv 不过要培养能使用NGFW的人

不请MIS就只有被厂商当羊而已贵司的营业额跟档案机密性 需要这么高?还要每年买?

没人纳闷 六、事后追踪 的第2项吗？fire server 是啥？

买comodo....光这个部分你应该后续会忙不完上面HIPS, APP Control, Containment应该会加重很多helpdesk的人力成本, Call会接不少

我建议趋势，因此毕竟是本土公司，需求处理也会比较快处理

某些产业跟人数多不多没关系好吗，为啥30人公司就不用担心或认为30人公司没预算管资安?我之前公司也是花上百在资安啊很多管理面的东西，让user觉得麻烦就能达到一定效果了像solidwork或是proe之类的图，你拿手机拍效果也很有限的认为小公司就不需要/没能力管资安，不应该是传统老板的思维怎么会连玩资讯的都会先入为主的认为玩不了不过如果贵公司真的有心碰资安，老板要有花钱的打算如果想要不花钱，或是花个几万就搞定，那效果的确很有限

破解方式 user开4g wifi分享或是4g分享器带网络孔，上传档案到云端，无敌

30人的公司有预算管资安不如把钱花在产品开发或行销更有价值让user觉得麻烦的资安=有效果 代表你的内容不够值钱而已XDD拿手机拍效果有限 答案是效果拔群 拍多张点工程师要重现图没什么问题 东西够有价值多花点力气重制和拍照完全没问题

真厉害，连产业别都不清楚就能直接下出结论其它公司做什么行为更有价值，或是内容值不值钱都能这样判断看来w大应该是待过非常多产业，甚至是大老板囉有办法在什么资讯都没有的情况下，果断的判断其它公司的决定

你和老板说先给个200万我们再来谈 你说的东西都要钱没钱是做不到的