※ 引述《arsehole (又骑又磨姿势且佳)》之铭言:
: ※ 引述《hooboa1122 (伯乐)》之铭言:
: : 标题: Re: [请益] 30人公司资安/档案外流控管DLP
: : 时间: Fri Sep 20 11:56:49 2019
: 上次就想回复,不过小弟公司中勒索,我就没时间回应了
: 看了一下,通常这种文章建议还是简单画个网络架构图
是指网络拓朴吗? https://imgur.com/d57zvmY
这是之前的资讯厂商帮我们画的
大致上没有变动
只有增加了PC台数及新购一台Nusoft的UTM650防火墙
: : 方案一
: : Sophos + Sophos XG135防火墙 + SmartIT Desktop Manager(端点+资产+加密)
: : 1.用Sophos + XG防火墙 做身份认证 (AD替代方案)
: : 有安装Sophos登入套件的PC,才能连入防火墙,上网及进服务器
: : 没有安装登入套件的设备,防火墙就会挡掉,只给单纯上网浏览
: : 2.Sophos防毒、防勒索
: Sophos 防毒就可以控管设备了,插usb可以锁定不能使用,也可以限制到那个部门能用
: 那个部门不能用的群组设定
: : 3.SmartIT Desktop Manager作资产管理及端点管理,关掉所有USB、蓝芽、监控配备
: 资产管理,open source的ocs inventory可以满足你的需求
: 安装上网络一堆教学,如果还是要做资产管理,有人说不建议这家,如果要花钱可以找它家
: 至于关掉所有usb sophos就可以做到了,不论是Sophos Central、Sophos Endpoint
: Sophos Central可以控管到蓝芽,Sophos Endpoint 小弟公司用的版本不是最新
: 所以能不能控管到蓝芽,这点可能要查一下,但控管usb的确做得到
: 资产管理我是不知道你要只做到电脑,还是周边设备都要有,不然OCS可以做到电脑
资产管理不是老板要的重点
老板要的是【档案不能外流】
SI厂商介绍这台 SmartIT
是因为可以做端点管理
而且公司能控管员工 不会偷拔公司的电脑零件去用
所以 资产管理 不算是现在必须要执行的
谢谢您介绍的ocs inventory
我会跟我们的SI厂商讨论一下
毕竟我不是技术者 不知道使用上怎么处理
: : 4.SmartIT Desktop Manager作档案加密
: : 5.资安政策 - 锁Bios、PC权限使用者设定
: LDAP,我是不知道你的NAS是用那一家,仿间市面上都有这类功能
: 三十人左右可以利用这个功能作控管,包括你下面留的那一台可以连到那台Server
: 最省成本的方法就是上面,不然牙一咬就买个server 2019来架AD,摊下来的成本应该
: 会让公司比较好接受点
NAS 我们用的是QNAP的TS-453A
: : 方案二
: : IP Guard + FortiGate(FSSO) + NAS(可加密、具备类似windows AD功能认证)
: : 1.IP Guard做端点管理、加密、关闭上传及下传
: : 2.FortiGate防火墙做防毒及FORTINET SINGLE SIGN ON
: : 3.加密NAS备份 (原本已有一台NAS)
: 不评论
: : 方案三
: : 防火墙 + 防毒软件(兼端点管理) + NAS(可加密、具备类似windows AD功能认证)
: : 【PC端点-防火墙-NAS,变成一个区域内网,
: : PC端点 不能使用硬件存取、也不可以上传资料
: : 利用NAS 做端点连线的管理 认MAC address 未被认证的设备无法连入
: : 至于 档案加密 暂时不做】
: : PaloAlto + Traps
: : CheckPoint + SandBlast
: : Fortigate + Forticlient
: 绑在一起不是不好,每年缴的保护费公司愿不愿意付
: 要买之前请厂商提出三到五年所需要付的费用
: 就算涨价也不会涨太多,先知道每年要付的成本再来考虑
非常谢谢您的建议
: : 想请教各位前辈的建议
: :