看了很久这篇文章 总算看出一点眉目
※ 引述《hooboa1122 (伯乐)》之铭言:
: 目前公司有25台Windows 10 PC、1台MAC、2台macbook、3台linux PC
: 电脑机型均为原价屋组装 拿来跑3D美术软件或是Tensorflow
: 使用中华电信 300M/100M 网络
: 公司内部均为局域网路,无固定IP,无网域控管
看现有资产没什么钱
电脑外面随便组 无网域 无专线 无网络设备
: 单机个人使用
: 有一台NAS 做为内部档案交换及建Gitlab用
: 我们没有MIS
: 工程师们的背景也不是专业的MIS
: 所以老板要求我担任规划PM
: 想求教各位前辈该怎么做
: =============================================================
: 老板期待达到的功能:
: 1.建置资料备份
随便买台电脑塞硬盘做RAID每天COPY资料 钱多点买好点
: 2.同仁无法上传云端、用line传档或用USB等设备,拷走公司档案
禁用Line 封掉网络硬盘网址 USB孔物理破坏
: 3.预防勒索病毒
买防毒 发放防中毒小卡宣导
=================
老板要求三点 老板又外行 随便都能达成
然后下面多了一卡车不务实的内容 然后我看原PO是担任PM 我似乎懂了什么
这不就是某个职务最擅长的事情吗?
30人小公司然后拿别人ISO文件乱抄说要做
钱这么多不请个专业MIS处理 能说什么呢?
: =============================================================
: 稍微请教过我们的工程师后,了解我们的状况并提供做法:
: 一、网络环境
: 1.内部防火墙、Switch、AP,其型号,无法达到MAC(Media Access Control Address)认证
: (若全面更新,费用约需20来万?)
: 2.全面改成wifi环境,避免员工自己私插有线到个人设备,去拷档案或是破解server
: 3.不采用帐号、密码登入的方式,因有可能被盗或是员工自带笔电,就可以拷档案
: 4.理想做法 - 限制被认证的PC主机、NB才可以进入服务器
: (但老板愿意花这20来万吗?)
: 二、PC设备的端点管理
: 1.现有的PC、NB等,均安装endpoint protector软件
: 2.把linux改成windows系统
: 3.锁掉每一台的bios,禁止用bios、usb、网络开启PC
: (Secure Boot / Multiboot/ USB Boot)
: 4.限定每一台主机只能用Guest帐号登入,且无法变更。Admin帐号由我统一管理
: 5.白名单只开放工程师会用到的软件,其余云端硬盘、usb槽等全关
: 6.确认工程师所用的软件,不会有云端备份功能
: 7.禁止使用teamviewer之类软件
: 三、档案浏览(如何避免外流)
: 1.因有需要提供code及作品给客户,之后改成用server提供帐号、密码方式供客户登入
: 2.针对做为DEMO用的主机,开启使用usb及远端连回server功能
: 四、勒索病毒
: 1.采购comodo并设置中控密码,员工不能任意变更
: 五、资料备份
: 1.新购一台DELL服务器作为内网,供员工档案交换、建gitlab及备份之用
: 2.所有人凭帐号、密码登入
: 3.异地备援(是否有便宜的云端?)
: 六、事后追踪
: 1.受限经费、规模,除了事前防范外,希望也从流量、传档内容做纪录,以便事后追踪
: (希望知道是哪台电脑、传了什么档)
: 2.更换fire server?
: 七、资安政策
: 1.禁止员工私带设备笔电
: 2.机房管控 (上锁、禁止员工进入、网络线不明显露出)
: 八、未来改成VDI作业?
: 1.如果改成VDI作业,应该可以减少很多被另存盘案的问题
: (但现有主机都是10万多的,若改成VDI作业会否有更大的成本?)