【討論】請教先進如何完善控管公司內部資料不外移 - 第2頁

FYI

小弟對於這個問題的看法很悲觀, 解決辦法也很極端, 首先, 這是防不勝防的, 先要簽保密條款, 其次要有罰則, 第三, 防堵還是要的, 避免輕易就資料外洩, 第四, 監控能起一定的作用, 小弟沒有萬全的辦法, 但是小弟從破解的角度提供您參考, 請您設法預防

1. IM & Web Mail 限制傳檔功能:
　a) Binary to Text, Text to Binary, 甚至先加密再解密
　b) 透過Forum, BBS, 以SSL 或VPN 方式
　c) 改用其他軟體

2. 1394, USB & 燒錄器限制使用:
　a) 修改CMOS, 安裝內接式裝置, 資料拷光光
　b) 修改CMOS, 以外接式裝置開機, WinPE/BartPE/XPE, 資料拷光光
　c) 破解管理員密碼, 解除外接式裝置限制
　d) 如果大家都是超級管理員, 那麼根本不需破解, 或者被植入木馬而不自知

若無法確保BIOS 密碼不被修改, 則一切都是枉然
公司配發的電腦是否可以無線上網?
員工是否可以攜帶行動裝置(筆記本電腦, 行動碟, 記憶卡, 外接式燒錄器, 手機, 數位相機)連結公司電腦或網路?
公司是否有權利搜索員工的物品, 包含電磁資料? 如果資料經過加密又如何處理? 請詢問您的法律顧問, 可否訂定於保密條款或員工合約之內?

alec5106

引用:

作者: mis339

防不勝防，總是有辦法傳出去的...

同意~~凡是管過網路的就知道, 只要有心人要傳送你的資料, 有網路是幾乎無法百分百防止. 所以重要資料的管控也要做到不必要的人不能接觸. 以求降低風險...

flight88

我現在是用一套叫IP Guard的 agent,,大致上符合需求,,可鎖usb,1394,光碟機,燒錄機,本地印表機,網路印表機等等一大堆週邊,連網路設定都可以鎖掉,就算他另外插一張網卡,mac改變,主控端立刻警示,,IM的部份,,他比較弱一點,,要嘛全擋,要嘛給過,沒辦法光傳訊息而不傳檔案,但他可以記錄user所有的行為,傳過哪些檔案,執行過哪些程式,看過哪些網站(還有條狀圖與百分圖報表),IM 的所有對話記錄(skype訊息因為有加密,只能看到local端,遠端無法看到),,主控端也可以隨時監看user的畫面,甚至直接遠端控制user端
其實還是有破解的方法,,只要進bios 設成光碟開機,再用類似windows pe之類的光碟載入OS,還是一樣可以傳出去,,真的沒有十全十美的解決方案

FYI

另一個資料外洩的管道就是影印, 列印和傳真, 如果這方面有良好的對策, 那麼也不至於持續傳出檢調單位, 公家單位, 銀行, 股票上市公司等洩漏公司機密或客戶資料的新聞, 然而也不能坐視資料輕易外洩而不管, 消極的方法是影印機必須由晶片卡控管, 而且自動加上浮水印(全錄應該有這種機器吧), 列印則統一由機房管理, 由網管彙整裝訂後交到員工手上, 浮水印自然是必要的, 目的是由網管把關, 不過網管不是神, 而且只要資料能帶出辦公室, 那麼要去除浮水印也並非難事, 積極的作法還是限制只有少數人能接觸重要資料, 以將危險因子控制在一定範圍以內

再來對於禁止傳檔, 小弟也有疑慮, 第一是禁止何種管道? 第二是禁止何種內容? 與第一種相反的作法是正面表列, 也就是只允許某些管道, 然而關鍵還是在於第二道內容過濾, 但究竟要禁止或過濾哪些內容? 範圍實在太廣泛, 因為能隱藏資料的方法太多了, 小弟只能留給您去思考, 如果連小弟這種外行人都能想出這麼多方法, 這也是小弟不表樂觀的原因, 不過小弟原本就是外行, 以上純粹是小弟杞人憂天, 如果您真有此顧慮, 則還是詢問資安專家方為上策

aabssb

之前在網路上有看到一個ITMate 資訊設備監管系統，不知道這個有沒有幫上您的忙。

ulimie · 04:17 PM

鎖 usb?

我曾用 Printer, RS232 port 傳送過資料,
怎麼鎖呀?

影印太麻煩, 如果用相機, 攝錄機拍下 screen 畫面, 會有記錄嗎?

鎖 BIOS 密碼?
目前所有主機板的設計, 好像是電池拔掉再放回就忘光光? 有的還有 reset jump 吧.

如果我打開機箱把我帶來的私人硬碟當 C: 來 BOOT, 原有 HD 當其他資料碟, 一樣 GHOST 光光...?
被GHOST 不會有記錄吧.

mis339

總而言之，防君子不防小人啦！

no1debby

嗨,

請參考精品科技產品其功能應該符合您的需求.
www.fineart-tech.com:)

reddan

我投精品科技一票
網路行為部份x-gate應該就可以勝任而且他有50u的產品
檔案資產管理部份可以參考x-fort這產品不過這產品是以pc數量計費的可能不便宜

jill

SmartIT5使用上來說
算還不錯~
可以限制3.USB限制使用..4.燒錄器限制使用
還可以用資產管理
本公司使用來說~相當不錯

aabssb 會員	回覆: 【討論】請教先進如何完善控管公司內部資料不外移之前在網路上有看到一個ITMate 資訊設備監管系統，不知道這個有沒有幫上您的忙。
	回覆

mis339 我是嫩咖	回覆: 【討論】請教先進如何完善控管公司內部資料不外移總而言之，防君子不防小人啦！
	回覆

no1debby 會員	回覆: 【討論】請教先進如何完善控管公司內部資料不外移嗨, 請參考精品科技產品其功能應該符合您的需求. www.fineart-tech.com:)
	回覆

reddan 會員	回覆: 【討論】請教先進如何完善控管公司內部資料不外移我投精品科技一票網路行為部份x-gate應該就可以勝任而且他有50u的產品檔案資產管理部份可以參考x-fort這產品不過這產品是以pc數量計費的可能不便宜
	回覆

jill 會員	回覆: 【討論】請教先進如何完善控管公司內部資料不外移 SmartIT5使用上來說算還不錯~ 可以限制3.USB限制使用..4.燒錄器限制使用還可以用資產管理本公司使用來說~相當不錯
	回覆