【討論】請教先進如何完善控管公司內部資料不外移

**FYI** · 2007-07-07, 08:02 PM

小弟對於這個問題的看法很悲觀, 解決辦法也很極端, 首先, 這是防不勝防的, 先要簽保密條款, 其次要有罰則, 第三, 防堵還是要的, 避免輕易就資料外洩, 第四, 監控能起一定的作用, 小弟沒有萬全的辦法, 但是小弟從破解的角度提供您參考, 請您設法預防

1. IM & Web Mail 限制傳檔功能:
　a) Binary to Text, Text to Binary, 甚至先加密再解密
　b) 透過Forum, BBS, 以SSL 或VPN 方式
　c) 改用其他軟體

2. 1394, USB & 燒錄器限制使用:
　a) 修改CMOS, 安裝內接式裝置, 資料拷光光
　b) 修改CMOS, 以外接式裝置開機, WinPE/BartPE/XPE, 資料拷光光
　c) 破解管理員密碼, 解除外接式裝置限制
　d) 如果大家都是超級管理員, 那麼根本不需破解, 或者被植入木馬而不自知

若無法確保BIOS 密碼不被修改, 則一切都是枉然
公司配發的電腦是否可以無線上網?
員工是否可以攜帶行動裝置(筆記本電腦, 行動碟, 記憶卡, 外接式燒錄器, 手機, 數位相機)連結公司電腦或網路?
公司是否有權利搜索員工的物品, 包含電磁資料? 如果資料經過加密又如何處理? 請詢問您的法律顧問, 可否訂定於保密條款或員工合約之內?

**alec5106** · 2007-07-07, 11:05 PM

作者：mis339

防不勝防，總是有辦法傳出去的...

同意~~凡是管過網路的就知道, 只要有心人要傳送你的資料, 有網路是幾乎無法百分百防止. 所以重要資料的管控也要做到不必要的人不能接觸. 以求降低風險...

**flight88** · 2007-07-08, 10:26 AM

我現在是用一套叫IP Guard的 agent,,大致上符合需求,,可鎖usb,1394,光碟機,燒錄機,本地印表機,網路印表機等等一大堆週邊,連網路設定都可以鎖掉,就算他另外插一張網卡,mac改變,主控端立刻警示,,IM的部份,,他比較弱一點,,要嘛全擋,要嘛給過,沒辦法光傳訊息而不傳檔案,但他可以記錄user所有的行為,傳過哪些檔案,執行過哪些程式,看過哪些網站(還有條狀圖與百分圖報表),IM 的所有對話記錄(skype訊息因為有加密,只能看到local端,遠端無法看到),,主控端也可以隨時監看user的畫面,甚至直接遠端控制user端
其實還是有破解的方法,,只要進bios 設成光碟開機,再用類似windows pe之類的光碟載入OS,還是一樣可以傳出去,,真的沒有十全十美的解決方案

**FYI** · 2007-07-09, 09:00 PM

另一個資料外洩的管道就是影印, 列印和傳真, 如果這方面有良好的對策, 那麼也不至於持續傳出檢調單位, 公家單位, 銀行, 股票上市公司等洩漏公司機密或客戶資料的新聞, 然而也不能坐視資料輕易外洩而不管, 消極的方法是影印機必須由晶片卡控管, 而且自動加上浮水印(全錄應該有這種機器吧), 列印則統一由機房管理, 由網管彙整裝訂後交到員工手上, 浮水印自然是必要的, 目的是由網管把關, 不過網管不是神, 而且只要資料能帶出辦公室, 那麼要去除浮水印也並非難事, 積極的作法還是限制只有少數人能接觸重要資料, 以將危險因子控制在一定範圍以內

再來對於禁止傳檔, 小弟也有疑慮, 第一是禁止何種管道? 第二是禁止何種內容? 與第一種相反的作法是正面表列, 也就是只允許某些管道, 然而關鍵還是在於第二道內容過濾, 但究竟要禁止或過濾哪些內容? 範圍實在太廣泛, 因為能隱藏資料的方法太多了, 小弟只能留給您去思考, 如果連小弟這種外行人都能想出這麼多方法, 這也是小弟不表樂觀的原因, 不過小弟原本就是外行, 以上純粹是小弟杞人憂天, 如果您真有此顧慮, 則還是詢問資安專家方為上策

**aabssb** · 2007-07-24, 12:59 PM

之前在網路上有看到一個ITMate 資訊設備監管系統，不知道這個有沒有幫上您的忙。

**ulimie** · 2007-07-24, 03:39 PM

鎖 usb?

我曾用 Printer, RS232 port 傳送過資料,
怎麼鎖呀?

影印太麻煩, 如果用相機, 攝錄機拍下 screen 畫面, 會有記錄嗎?

鎖 BIOS 密碼?
目前所有主機板的設計, 好像是電池拔掉再放回就忘光光? 有的還有 reset jump 吧.

如果我打開機箱把我帶來的私人硬碟當 C: 來 BOOT, 原有 HD 當其他資料碟, 一樣 GHOST 光光...?
被GHOST 不會有記錄吧.