※ 引述《hooboa1122 (伯乐)》之铭言：
: 标题: Re: [请益] 30人公司资安/档案外流控管DLP
: 时间: Fri Sep 20 11:56:49 2019
:
上次就想回复，不过小弟公司中勒索，我就没时间回应了
看了一下，通常这种文章建议还是简单画个网络架构图
:
: 方案一
: Sophos + Sophos XG135防火墙 + SmartIT Desktop Manager(端点+资产+加密)
:
: 1.用Sophos + XG防火墙 做身份认证 (AD替代方案)
: 有安装Sophos登入套件的PC，才能连入防火墙，上网及进服务器
: 没有安装登入套件的设备，防火墙就会挡掉，只给单纯上网浏览
:
: 2.Sophos防毒、防勒索
Sophos 防毒就可以控管设备了，插usb可以锁定不能使用，也可以限制到那个部门能用
那个部门不能用的群组设定
:
: 3.SmartIT Desktop Manager作资产管理及端点管理，关掉所有USB、蓝芽、监控配备
资产管理，open source的ocs inventory可以满足你的需求
安装上网络一堆教学，如果还是要做资产管理，有人说不建议这家，如果要花钱可以找它家
至于关掉所有usb　sophos就可以做到了，不论是Sophos Central、Sophos Endpoint
Sophos Central可以控管到蓝芽，Sophos Endpoint　小弟公司用的版本不是最新
所以能不能控管到蓝芽，这点可能要查一下，但控管usb的确做得到
资产管理我是不知道你要只做到电脑，还是周边设备都要有，不然OCS可以做到电脑
: 4.SmartIT Desktop Manager作档案加密
:
: 5.资安政策 - 锁Bios、PC权限使用者设定
LDAP，我是不知道你的NAS是用那一家，仿间市面上都有这类功能
三十人左右可以利用这个功能作控管，包括你下面留的那一台可以连到那台Server
最省成本的方法就是上面，不然牙一咬就买个server 2019来架AD，摊下来的成本应该
会让公司比较好接受点
:
: 方案二
: IP Guard + FortiGate(FSSO) + NAS(可加密、具备类似windows AD功能认证)
:
: 1.IP Guard做端点管理、加密、关闭上传及下传
:
: 2.FortiGate防火墙做防毒及FORTINET SINGLE SIGN ON
:
: 3.加密NAS备份 (原本已有一台NAS)
不评论
:
: 方案三
: 防火墙 + 防毒软件(兼端点管理) + NAS(可加密、具备类似windows AD功能认证)
: 【PC端点-防火墙-NAS，变成一个区域内网，
: PC端点 不能使用硬件存取、也不可以上传资料
: 利用NAS 做端点连线的管理 认MAC address 未被认证的设备无法连入
: 至于 档案加密 暂时不做】
:
: PaloAlto + Traps
: CheckPoint + SandBlast
: Fortigate + Forticlient
:
:
绑在一起不是不好，每年缴的保护费公司愿不愿意付
要买之前请厂商提出三到五年所需要付的费用
就算涨价也不会涨太多，先知道每年要付的成本再来考虑
: 想请教各位前辈的建议
:
:
: