Re: [请益] 30人公司资安/档案外流控管DLP

楼主: arsehole (又骑又磨姿势且佳)   2019-09-24 13:01:32
※ 引述《hooboa1122 (伯乐)》之铭言:
: 标题: Re: [请益] 30人公司资安/档案外流控管DLP
: 时间: Fri Sep 20 11:56:49 2019
:
上次就想回复,不过小弟公司中勒索,我就没时间回应了
看了一下,通常这种文章建议还是简单画个网络架构图
:
: 方案一
: Sophos + Sophos XG135防火墙 + SmartIT Desktop Manager(端点+资产+加密)
:
: 1.用Sophos + XG防火墙 做身份认证 (AD替代方案)
: 有安装Sophos登入套件的PC,才能连入防火墙,上网及进服务器
: 没有安装登入套件的设备,防火墙就会挡掉,只给单纯上网浏览
:
: 2.Sophos防毒、防勒索
Sophos 防毒就可以控管设备了,插usb可以锁定不能使用,也可以限制到那个部门能用
那个部门不能用的群组设定
:
: 3.SmartIT Desktop Manager作资产管理及端点管理,关掉所有USB、蓝芽、监控配备
资产管理,open source的ocs inventory可以满足你的需求
安装上网络一堆教学,如果还是要做资产管理,有人说不建议这家,如果要花钱可以找它家
至于关掉所有usb sophos就可以做到了,不论是Sophos Central、Sophos Endpoint
Sophos Central可以控管到蓝芽,Sophos Endpoint 小弟公司用的版本不是最新
所以能不能控管到蓝芽,这点可能要查一下,但控管usb的确做得到
资产管理我是不知道你要只做到电脑,还是周边设备都要有,不然OCS可以做到电脑
: 4.SmartIT Desktop Manager作档案加密
:
: 5.资安政策 - 锁Bios、PC权限使用者设定
LDAP,我是不知道你的NAS是用那一家,仿间市面上都有这类功能
三十人左右可以利用这个功能作控管,包括你下面留的那一台可以连到那台Server
最省成本的方法就是上面,不然牙一咬就买个server 2019来架AD,摊下来的成本应该
会让公司比较好接受点
:
: 方案二
: IP Guard + FortiGate(FSSO) + NAS(可加密、具备类似windows AD功能认证)
:
: 1.IP Guard做端点管理、加密、关闭上传及下传
:
: 2.FortiGate防火墙做防毒及FORTINET SINGLE SIGN ON
:
: 3.加密NAS备份 (原本已有一台NAS)
不评论
:
: 方案三
: 防火墙 + 防毒软件(兼端点管理) + NAS(可加密、具备类似windows AD功能认证)
: 【PC端点-防火墙-NAS,变成一个区域内网,
: PC端点 不能使用硬件存取、也不可以上传资料
: 利用NAS 做端点连线的管理 认MAC address 未被认证的设备无法连入
: 至于 档案加密 暂时不做】
:
: PaloAlto + Traps
: CheckPoint + SandBlast
: Fortigate + Forticlient
:
:
绑在一起不是不好,每年缴的保护费公司愿不愿意付
要买之前请厂商提出三到五年所需要付的费用
就算涨价也不会涨太多,先知道每年要付的成本再来考虑
: 想请教各位前辈的建议
:
:
:

Links booklink

Contact Us: admin [ a t ] ucptt.com