作者 主題: 老闆要求要能允許員工收發email又要不讓其外洩企業資料...求助  (閱讀 17916 次)

0 會員 與 1 訪客 正在閱讀本文。

b90220208

  • 鑽研的研究生
  • *****
  • 文章數: 557
    • 檢視個人資料
如題(不許員工上網)
請教大家有何可行之道?
(電腦數8,預算不超過六位數)

u8526425

  • 俺是博士!
  • *****
  • 文章數: 1135
  • 性別: 男
    • 檢視個人資料
單純思考作法的話
不許上網很簡單
mail server放內網
Gateway只允許Server的IP通過就可以

至於機密外洩
你就要弄mail audit + RMS之類的管理套件
多見者博,多聞者智,拒諫者塞,專己者孤

slime

  • 俺是博士!
  • *****
  • 文章數: 1692
    • 檢視個人資料
如題(不許員工上網)
請教大家有何可行之道?
(電腦數8,預算不超過六位數)

建議順便考慮:
1. 不允許使用隨身碟
2. 不允許照相手機
3. 不允許錄音設備
冷笑話: 我的 IP 是 127.0.0.1

wenlien

  • 憂鬱的高中生
  • ***
  • 文章數: 119
  • 性別: 男
    • 檢視個人資料
    • Open or not open, that is the stupid question.
如題(不許員工上網)
請教大家有何可行之道?
(電腦數8,預算不超過六位數)

建議順便考慮:
1. 不允許使用隨身碟
2. 不允許照相手機
3. 不允許錄音設備

4. 不允許照相/錄音手錶
5. 不允許照相/錄音眼鏡
6. 不允許照相/錄音香煙盒
... (族繁不及備載)
總之,不允許任何針孔攝影機及側錄系統,
那可能要脫光光上班了.... ;D (逃)
regards,

Stanley Huang

slime

  • 俺是博士!
  • *****
  • 文章數: 1692
    • 檢視個人資料
如題(不許員工上網)
請教大家有何可行之道?
(電腦數8,預算不超過六位數)
建議順便考慮:
1. 不允許使用隨身碟
2. 不允許照相手機
3. 不允許錄音設備
總之,不允許任何針孔攝影機及側錄系統,
那可能要脫光光上班了.... ;D (逃)

"媒體/管道"本來就是可以傳送不同的資料,
所以老闆要的是"公司機密不外泄", 如果只想到公司內的網路,
那員工拿外接硬碟, 或透過拍照, 3G 上網等管道, 都可以洩密.
所以才建議在可以想到的管道, 都有同等級的保護措施, 這才合理.

至於脫光光上班....可能會增加"產能"吧....(遠目)

冷笑話: 我的 IP 是 127.0.0.1

redjack

  • 活潑的大學生
  • ***
  • 文章數: 426
    • 檢視個人資料
我不清楚mail audit + RMS 可以做到什麼程度,但是不管要實施什麼措施之前。
最好先知道:任何方法那只能降低風險。

另外可以簽署文件,讓USER知道所有的mail 都會被監看,然後也真的往來mail 自動轉寄到某信件,定時抽查。
這樣也有預防的效果。

如果人數不多的話,MAIL 主機最好用租的,順便找套裝服務。
Knowledge is Power

andyj

  • 鑽研的研究生
  • *****
  • 文章數: 957
    • 檢視個人資料
電腦不開機,資料不外洩...

要做到面面俱到...那預算可能有難度...
只能一條一條的把路封了...

要開放的路,要擺個監管者...

湯包

  • 榮譽博士
  • 鑽研的研究生
  • *****
  • 文章數: 921
  • 性別: 男
    • 檢視個人資料
    • 湯包的部落格
如題(不許員工上網)
請教大家有何可行之道?
(電腦數8,預算不超過六位數)

預算不超過99萬....那很多耶...^_^|||

不許上網,只要防火牆一擋就好了呀,當然你得用好一點的Firewall,不要想說用個 IP 分享器就能解決,
像 Fortigate 就可以擋掉 Proxy or Tunnel 的軟體

至於允許員工收發 Mail ,就弄個 Mail Server,會 Always BCC 到特定帳號,公告給大家,就不會有人傻到去越線

至於其他隨身裝置或是藍芽、3G等裝置,你會需要 Group Policy 把它 Disable

至於其他可能的途徑,不在樓主的主題範圍,也不是貴公司這種規模該花錢解決的(例如:X Ray, 金屬探測器, ...)
建議從管理面下手...
人必先置於死地而後生
科技來自人性
想像是科技之母

Luke Lin

  • 活潑的大學生
  • ***
  • 文章數: 244
  • 性別: 男
  • 家裡的少爺
    • 檢視個人資料
預算不用破百萬皆可嗎?
那有非常多的選擇,不用擔心找到產品
況且,電腦數「8」,很容易解決的
當好人叫行善  當壞人叫造孽 當爛好人叫自做孽

u8526425

  • 俺是博士!
  • *****
  • 文章數: 1135
  • 性別: 男
    • 檢視個人資料
應該是不超過十萬吧
多見者博,多聞者智,拒諫者塞,專己者孤

b90220208

  • 鑽研的研究生
  • *****
  • 文章數: 557
    • 檢視個人資料
各位別開我玩笑了, 8台pc, 老闆年薪都沒99萬 :-*

if 需求為上網的控管 and 所有的收發信都做稽核或存檔 ^^
可否推薦設備(低~中階)...感謝大家!


FortiGate-80C ($100000...已達預算上限)
DLP 資訊洩漏防護支援如下,但不知其是如何運作 and 效用如何 ?
HTTP/HTTPS
SMTP/SMTPS
POP3/POP3S
IMAP/IMAPS
« 上次編輯: 2010-07-16 16:34 由 b90220208 »

u8526425

  • 俺是博士!
  • *****
  • 文章數: 1135
  • 性別: 男
    • 檢視個人資料
上網控管就是防火牆部份調一下就好了
郵件稽核
你google一下就有了
找到就可以找廠商做詢價與進一步瞭解或demo事宜
多見者博,多聞者智,拒諫者塞,專己者孤

hikohan

  • 俺是博士!
  • *****
  • 文章數: 1288
    • 檢視個人資料
全公司只有八台電腦的企業喔,這標題下太大了吧。

一個火牆管理網路對外,不准外部webmail,不准員工MSN,不准對外MTA 25port傳輸,全部送件都要bcc給天眼.....

馬上業務就會跳說,沒辦法跟客戶聯繫,你封MSN那改打國際電話嗎?(老闆馬上會叫你....)

員工自備3.5G上網,然後又要使用FBI發射干擾器嗎?...

--

原來,人跟人的信任是這麼這麼寶貴,尤其你花了老闆很多錢以後,大概一點都沒有實質效果。

我記得 以前以前+以前 有一位 江XX 也跟我這樣要求過,可是,他從來沒有去天眼帳號翻過。
lifeIsFunWithPHP.

gwstudy

  • 活潑的大學生
  • ***
  • 文章數: 205
    • 檢視個人資料
每個人可被信任的機率為 p(p<0),八個員工能被同時信任的機率為 p^8。老闆還是 p。
一家公司該不該用信任來經營? 值得討論。

對樓主的問題而言,任何防堵都不可能 100%,但堵最常用的管道也就夠了。剩下的就用行政命令處理了。

原來,人跟人的信任是這麼這麼寶貴,尤其你花了老闆很多錢以後,大概一點都沒有實質效果。

redjack

  • 活潑的大學生
  • ***
  • 文章數: 426
    • 檢視個人資料
我記得 以前以前+以前 有一位 江XX 也跟我這樣要求過,可是,他從來沒有去天眼帳號翻過。

話說某個在x港的某資安公司也有搞這個,結果變成網管人員整天在看老闆和主管的信件。
所以~ 這該怎麼說呢 :p

權限分級不到位的話,不如不做
Knowledge is Power

Luke Lin

  • 活潑的大學生
  • ***
  • 文章數: 244
  • 性別: 男
  • 家裡的少爺
    • 檢視個人資料
所以~10萬是上限嗎?
Fortigate 80c(空機)+一台Mail Server(國產)應該就把預算花光了吧…
Fortigate、Mail Server說不定要自已設定及安裝…
而軟體更新或版本更新…是另一筆預算

不可能要馬兒好又要馬兒不吃草
做好相關產品評估與計畫,呈報及建議
當好人叫行善  當壞人叫造孽 當爛好人叫自做孽

吉他之繩

  • 憂鬱的高中生
  • ***
  • 文章數: 175
    • 檢視個人資料
你要清楚告知,現在的方案只有COVER哪些部分。藍圖要清楚。有哪些沒做,是因為目前的經費因素。
否則到頭來他會怪你:不是給你們經費做資安了嗎?
為什麼企業的祕密還是會經由USB傳出去?從網芳傳出去?從無線網路傳出去?從3G傳出去?