作者 主題: 如何防止 user 透過 http 80 port 的服務外洩公司資料  (閱讀 17757 次)

0 會員 與 1 訪客 正在閱讀本文。

b90220208

  • 鑽研的研究生
  • *****
  • 文章數: 557
    • 檢視個人資料
如題,如何才能防止 user 透過 http 80 port 的服務外洩公司資料?
還有,讀卡機能否針對隸屬於不同group的user來封?

hoyo

  • 榮譽博士
  • 俺是博士!
  • *****
  • 文章數: 4027
  • 性別: 男
  • 有需要的時候,學習就不會分階段。
    • 檢視個人資料
    • 樂咖黑電腦學習網
根據最近的討論,我會建議使用 web proxy 來提供公司的人員上網,

然後搞對岸的長城計畫,將所有有關公司資料的關鍵字消除或取代 ...
受人與魚,不如授人與漁
上海自來水來自海上;倫敦好奇人奇好敦倫

b90220208

  • 鑽研的研究生
  • *****
  • 文章數: 557
    • 檢視個人資料
感謝 hoyo 兄.
請教 proxy server 要怎麼個擋法?
假若使用者自行變更proxy設定(不用proxy)呢?

hoyo

  • 榮譽博士
  • 俺是博士!
  • *****
  • 文章數: 4027
  • 性別: 男
  • 有需要的時候,學習就不會分階段。
    • 檢視個人資料
    • 樂咖黑電腦學習網
是 web proxy 不是瀏覽器設定的 proxy server ,
所以不用怕使用者變更 proxy server 設定,

如果你對這個「亂答」有興趣,可以自行搜尋一下這個網站有關 web proxy 的討論
受人與魚,不如授人與漁
上海自來水來自海上;倫敦好奇人奇好敦倫

aknine

  • 懷疑的國中生
  • **
  • 文章數: 47
    • 檢視個人資料
感謝 hoyo 兄.
請教 proxy server 要怎麼個擋法?
假若使用者自行變更proxy設定(不用proxy)呢?

主要是透過Transparecy Proxy方式,把連外80 port 轉到 Proxy去。

按你的需求: "如何防止 user 透過 http 80 port 的服務外洩公司資料"
說真的,你如真的要過濾外傳資料,你需要花$,$$$,$$$去買資安產品才有這功能。
Open Source這類的內容過濾...還未見過...(可能有吧..哈..本人沒認真找過)
(看過有人以iptables -m string...但問題很多.不是好主意)

我是使用比較白爛的方式在處理-->使用Squid Proxy: 1.限制上傳大小, 2.限制HTTP CONNECT,POST,PUT的使用.
雖然不能過濾內容,至少,讓想傳大量資料變得很不便...再透過Log去稽核誰POST了資料到外面.

總之,把握基本原則,要做到什麼程度,給老闆決定,你比較作法與成本效益就對了。






comochen

  • 可愛的小學生
  • *
  • 文章數: 21
    • 檢視個人資料
請問如果是透過port443上傳檔案有辦法限制嗎?

Darkhero

  • 酷!學園 學長們
  • 俺是博士!
  • *****
  • 文章數: 3728
  • 性別: 男
    • 檢視個人資料
    • ㄚ凱隨手紀
請問如果是透過port443上傳檔案有辦法限制嗎?

直接擋掉所有經過 443 的吧...
希望我們的討論是為了把問題解決,而不是爭論誰對誰錯.
『灌水才是重點,發文只是順便』
『我寧可讓不會釣魚的工程師餓死,也不想讓會餓死的工程師去攪沉公司....』
Blog: http://blog.darkhero.net/
秘密基地: http://www.darkhero.net/comic/
目前服務的網站: http://www.libook.com.tw/

吉他之繩

  • 憂鬱的高中生
  • ***
  • 文章數: 175
    • 檢視個人資料
這分屬兩種不同產品。
HTTP要從防火牆類的產品下手。有些產品已經可以做到CONTENT FILTER了,即使是HTTPS也可以透過MAN IN THE MIDDLE下手解密。沒辦法,因為現在的CPU越來越快了,以前做不到的事情慢慢都做得到。
至於讀卡機的禁用或可使用,針對群組下政策,這是端點防護資安軟體的基本功能。建議往這些方向下手。

harrier

  • 榮譽博士
  • 俺是博士!
  • *****
  • 文章數: 1856
  • 性別: 男
    • 檢視個人資料
    • 國屬武裝兵
請問如果是透過port443上傳檔案有辦法限制嗎?
直接擋掉所有經過 443 的吧...

SSL proxy,目前很多 UTM 都有了。
...90Net(90:1200/1203),GameNET(99:700/707),ALLNet(92:9200/3111),InfoNet(30:100/103)..MaximusCBCS(浮懷),AirNet,TenderNet,StormNet,FidoNet...
<<- www.nas.vg ->>

harrier

  • 榮譽博士
  • 俺是博士!
  • *****
  • 文章數: 1856
  • 性別: 男
    • 檢視個人資料
    • 國屬武裝兵
樓主,如果你的需求是 DLP,這是大計畫,不但錢要夠多決心也要夠。
因為 DLP 的宗旨仍是資料不得亂放,違者一率懲處。

如果不想搞大,用端點防護+UTM+content filter 通常可以做到一定成效,用文件無縫加密也可以。
別用 DRM,DRM 的原本設計宗旨不是用來防堵文件外流。

切記計畫要全面性,上次去某銀行說要推行 DLP,結果影印、傳真、列印都沒管理...
...90Net(90:1200/1203),GameNET(99:700/707),ALLNet(92:9200/3111),InfoNet(30:100/103)..MaximusCBCS(浮懷),AirNet,TenderNet,StormNet,FidoNet...
<<- www.nas.vg ->>