想盡辦法還是擋不住後 可能自己傷神也被員工討厭 不如多多宣傳良好的網路使用習慣並揪出流量大的那些用戶吧。 |
[QUOTE=dominic]這怎麼會不行呢?好的防火牆可以做到開放部份網站的activeX封鎖其他~~ 另外好的防火牆可以分析所有的web內容~~加以製訂forbidden word 你需要問得是你要的是哪一套防火牆[/QUOTE] 請教一下先進,那您使用的防火牆是那一套呢? |
快速又不傷感情的作法 請主管發布命令 凡是上班時間做非公務使用者將遭受懲處 從管理層面下手成效會更快 |
我相信各位都知道,上有政策,下有對策! 這個公司一定都有規定,要求非公務不準上網,不準亂寄非公務郵件,禁止使用聊天軟體……等,但又如何? 而且其實這些事目前都還沒開始防,只是老闆希望這麼做,所以我們就先測試是否擋得住!我們自己鎖自己,然後再自己破自己!只是希望可以有一套比較完善的解決方案,還望各位可以集思廣益,謝謝。 |
[QUOTE=mis339]我相信各位都知道,上有政策,下有對策! 這個公司一定都有規定,要求非公務不準上網,不準亂寄非公務郵件,禁止使用聊天軟體……等,但又如何? 而且其實這些事目前都還沒開始防,只是老闆希望這麼做,所以我們就先測試是否擋得住!我們自己鎖自己,然後再自己破自己!只是希望可以有一套比較完善的解決方案,還望各位可以集思廣益,謝謝。[/QUOTE] NO FREE LUNCH 最有效的方法 就是一個一個去檔.. |
要防止商業機密外傳,最好的辦法就是把資料和網路隔開 像"不可能的任務"那部電影裡 CIA的情報主機,就是和外界隔開的,在獨立的保全室裡 然後湯姆克魯斯要盜取它的資料,只能想辦法進入保全室中用MO拷貝資料 :|||: 在一般的公司裡面 我們當然不可能也沒必要做到如此滴水不漏的地步 直覺想到的,就是分成可上網(連internet),和不可上網(只能連LAN)兩種電腦 具體的來說 可上網(連WAN)的電腦,是有設閘道器IP的,所以可連上internet 不可上網(只能連LAN)的電腦,是把閘道器IP的設定拿掉,所以無法連出LAN 而這裡要注意一個地方,只有網管人員和老闆,可以有administrator的權限 其它員工最高只能有power user,否則那些就白設了 但是上網的結果,是要找資料 所以資料要有辦法傳到"不可上網的電腦"才行 小弟公司用的是Linux samba的solution 有兩台samba 主機,姑且稱做 A主機 M B主機 之間以 NIS 協定(Network Informatin Services)互連 LAN 群組中工作站台,只能連接B主機,進入B主機的samba WAN 群組中的可上網電腦,只能連接A主機,進入A主機samba 另外,WAN 群組中的可上網電腦,禁止分享任何資料夾 或是乾脆在安全性原則裡面,禁止every one連入電腦 以防有人直接把資料丟到可上網的電腦 然後在A主機中,設定排程 每分鐘將其samba共享目錄資料,拷貝到B主機(NIS通道) 這樣就能達成所謂的「單向傳輸」 方法是達到了,但回歸到問題原點 上個網還要換電腦,有沒有搞錯,相信這種做法能接受的人一定不多 這就產生新的問題 有沒有什麼方法,只要坐在自己位置上,就能操作可上網的電腦,來上網呢? ∼當然沒有第二種解決方案了,就是「遠端遙控」! 那就是VNC吧 假設我的工作用電腦不能上internet,而公司內有可上internet的電腦 我又不想那麼麻煩,走過去用 那簡單,開個VNC連過去就好了 ;) 不過這又會有一個新問題..... 一般PRO版的WINDOWS,同時間只能允許一位使用者,遠端連入使用視窗 如果要能讓多人連入,必須有新的solution... 那大概就是所謂的「無盤工作站」吧 好像裝一種軟體就可以達成,讓windows可以允許多人連入使用視窗環境 這方面的技術,小弟就不曉得了 小弟的公司,只有一間辦公室 老闆不准員工上班上網,然後又丟幾台電腦可以上網 要上網的話,都要到那邊上 老闆主要考量的不是機密外洩問題 只是不想讓員工上班混水摸魚上網聊天那麼爽而已 :|||: :eye: [IMG]http://home.pchome.com.tw/art/linux2005/images/web/pczone/www.gif[/IMG] |
有幾個觀念怪怪的! 1、「將可上網的電腦和不可上網的電腦分開」:我想這裡指的分開應該是指不同網段或是切VLAN吧!如果是同網段的話,那資料還是可以互傳啊,又何必這樣分! 2、「從不可上網的電腦遠端連線到可上網的電腦」:啊如果是這樣的話,我還是可以把「不可上網的電腦上的資料」傳出去啊!那又必這樣分?! 3、另外,基本上老闆希望每部電腦都有作用、都有人用!所以電腦已經不夠用了,那還有電腦供大家上網!而且要上網的人太多了,也不可能大家排隊上吧! 4、無盤工作站跟可讓多人連入有什麼關係?不懂?!另外要讓Windows可以多人連入的話,可以使著用Terminal Server的應用程式模式,不過它的版權要另外買。 |
[QUOTE=mis339]有幾個觀念怪怪的! 1、「將可上網的電腦和不可上網的電腦分開」:我想這裡指的分開應該是指不同網段或是切VLAN吧!如果是同網段的話,那資料還是可以互傳啊,又何必這樣分! 2、「從不可上網的電腦遠端連線到可上網的電腦」:啊如果是這樣的話,我還是可以把「不可上網的電腦上的資料」傳出去啊!那又必這樣分?! 3、另外,基本上老闆希望每部電腦都有作用、都有人用!所以電腦已經不夠用了,那還有電腦供大家上網!而且要上網的人太多了,也不可能大家排隊上吧! 4、無盤工作站跟可讓多人連入有什麼關係?不懂?!另外要讓Windows可以多人連入的話,可以使著用Terminal Server的應用程式模式,不過它的版權要另外買。[/QUOTE] 1. 同網段的話,「可上網電腦」要設安全性原則 不同網段的話,基本上因為「不可上網的工作站台電腦」閘道器設定已經拿掉了,所以絕對不可能通。圖中samba-a主機因為是路由器,所以可以跨網段,將資料上傳samba-b主機。 兩種方法都是可以的,視電腦數量而定 量多的話,分成兩網段,可順便做subnetting子網路分割,減輕網路負載 [IMG]http://home.pchome.com.tw/art/linux2005/images/web/pczone/denyeveryone.gif[/IMG] 項目:拒絕從網路存取這台電腦 值:Everyone 測試方法:(檢驗安全性原則的可靠性) ------------------------------------------ 在本機電腦用指令:net share 查出該台電腦是否有分享資料夾 假設有c$這個分享,且該台電腦ip:192.168.0.1 從別台電腦,使用網址:\\192.168.0.1\c$,連過去 此時會出現權限不足視窗,無法連接 因此證明安全性原則是有效的... 2. 沒辦法傳,因為假如「可上網電腦」沒開任何"分享資料夾" 就無法將資料傳過去 windows本身預設就會開啟一些"分享資料夾",拿掉就行了 單純的VNC,並無法傳檔 當然,「可上網電腦」也有權限限制 一般使用者登入,最多只能取得user權限 所以一般使用者,無法自行開啟分享資料夾,或安裝傳檔軟體 只是上網看網頁的話,user權限已足夠 不需要開到power user,以免被安裝傳檔軟體 或其實絕一點,guest權限也夠了,guest權限就能開瀏覽器看網頁了 這部分是屬於基本網管,比較容易做到 3.老闆一定會說,要禁止員工傳檔案出去 然後又要網路流通順暢,甚至還要可以自行安裝軟體 又要馬兒肥,又要馬吃草,那是不可能的 假如資料真的外洩,造成公司損失 第一個被叫去開刀的,肯定是MIS人員 老闆平時問MIS "資安"可不可靠 當然只能回答很安全,難道還回答不確定(不確定就是回家吃自己了) :eye: 但哪天如真的出問題,也就百口莫辯了 因為既然安全可靠,那搞鬼的除了MIS這個守門人,還會有誰呢 :|||: 所以就算不去分「可不可上網電腦」 proxy server 都是一定要架的 由路由器直接指定連外全部得過proxy,沒有例外 因為唯有透過proxy 紀錄,才能抓出原兇,以免到時自己背黑鍋 4. 這個問題,就是電腦不足的解決方案 如果採用這套"電腦分級"sulotion,來解決機密檔案外傳的問題 「可上網電腦」一定會人人搶著用 "一台電腦如果能讓更多人使用,那就太好了"...這是一般的想法 方法就是「無盤工作站」 Terminal Server是「無盤工作站」的一種solution 其它還有很多方法 這個solution只是小弟的想法而已啦,不一定完全正確 小弟的公司頂多也只做到"電腦分級",分成兩種電腦 要上網得自己過去另一台電腦上,並沒有用到VNC之類的遠端過去上網 因為老闆的意思,就是不希望員工上班摸魚上網,這樣不方便的做法,反而正合他意 大家有興趣的話,不妨一起討論這種solution有什麼漏洞可以破解 或是有其它更好更安全的解決方案 :) |
如果是同網段的話,你忽略一件事!也許別人不能存取192.168.0.1的電腦,但是192.168.0.1的電腦可以存取別人的電腦啊! 如果是不同網段的話,請問我要怎麼去整合在同一條線路出去啊?天曉得我又需要增購多少設備?或做多少設定? 另外,我覺得好像有點偏離主題了!我的重點是想知道怎麼讓大家可以正常上網,但是卻沒辦法上傳檔案或登入WebMail、WebHD之類的! |
[QUOTE=mis339]如果是同網段的話,你忽略一件事!也許別人不能存取192.168.0.1的電腦,但是192.168.0.1的電腦可以存取別人的電腦啊! 如果是不同網段的話,請問我要怎麼去整合在同一條線路出去啊?天曉得我又需要增購多少設備?或做多少設定? 另外,我覺得好像有點偏離主題了!我的重點是想知道怎麼讓大家可以正常上網,但是卻沒辦法上傳檔案或登入WebMail、WebHD之類的![/QUOTE] 回應之前所說的....... 如果只鎖ActiveX是不足以阻擋webmail~~如果鎖java則勢必不少網站都將受到影響 主要能做到就是forbidden word的設定~~然後設定關鍵字積分多少後阻擋該網頁... 目前還有一種iss orangeweb filter....主要由某個商業網站整合所有的網站分門別類~~而透過此功能能封鎖某一分類的網站~~ 我所推薦的是軟體防火牆是kerio winroute....上述功能都有~~而且又整合ad...可針對網域使用者做直接的上網權限控制~流量限制等等 |
所有時間均為 +8。現在的時間是 09:35 AM。 |
XML | RSS 2.0 | RSS |
本論壇所有文章僅代表留言者個人意見,並不代表本站之立場,討論區以「即時留言」方式運作,故無法完全監察所有即時留言,若您發現文章可能有異議,請 email :[email protected] 處理。