[請益] 請問各位前輩如何防止檔案被帶出公司

作者: lkklkksppspp (索爾)   2017-05-17 12:01:49
今天一早上班 就接到主管的電話
主管說 老闆要求研究一種方法
讓放在NAS上的幾個重要檔案禁止被複製或列印帶出公司
拍照則是不管 主管說 辦公室小又是開放辦公室
拍照一下子就被發現了 所以不管拍照
我本來想從NAS本身下手
結果打去問 NAS公司說 透過掛載網路磁碟機的方式
無法阻止複製檔案
後來在多方研究 一些文件控管軟體只能跑在WINDOWS上
所以在NAS上的資料也控管不了
最後想到的是文件加密 去問了廠商之後 看起來可以
透過加密軟體 可以限制檔案是否可以被複製 列印等等
拿出公司外 也因為沒有解密金鑰打不開檔案
因為是對檔案直接加密 所以檔案是不是在NAS上沒影響
但重點是 很貴....
想請教 各位前輩的公司是如何防止資料被攜出
煩請給小弟一些指導 十分感謝
作者: leaderliu (雨兒潸然落下)   2017-05-17 12:07:00
DLP
作者: Weky (Never mind)   2017-05-17 12:37:00
跟主管講你不知道怎麼做 要求主管給方法這件事情你不透過主管做自己來 保證被內部其他人砲到爽
作者: Manu (Manu Ginobili)   2017-05-17 12:59:00
VDI
作者: s801107 (wjs)   2017-05-17 13:21:00
文件加密是指TFG這個嗎
作者: michaellai (麥克賴)   2017-05-17 14:06:00
資料要流出,只要鉛筆跟A4…
作者: s801107 (wjs)   2017-05-17 14:13:00
TFG是個方法 但就在電腦要裝agent 啦..還有針對adobe或office會有版本差異
作者: sopoor (愛染秋雨醉箋札)   2017-05-17 14:35:00
先問老闆預算阿,跟他說沒預算沒辦法
作者: purplvampire (阿修雷)   2017-05-17 15:40:00
聽起來就AIP吧http://imgur.com/aA0YllK
作者: Weky (Never mind)   2017-05-17 16:27:00
建議你與其做加密防堵不如做監控側錄管理會更好
作者: esla (無限解、解無限)   2017-05-17 16:44:00
要主管給方法!?不是都說自已功課自已做嗎,怎麼叫主管做了TFG效果不錯,不過日常作業會有點麻煩,前公司有在用
作者: Weky (Never mind)   2017-05-17 16:47:00
TFG光每天找人解密就飽了 下去做的IT痛苦USER也痛苦
作者: esla (無限解、解無限)   2017-05-17 16:55:00
提案上去啊,利弊分析完就是上頭的決定了啊it也不會多痛苦,agent裝一裝就好,有簽ma問題不會太大不過搞tfg就真的綁ma了,不然後續容易會有相容性問題除非你們永遠不更新office、adober reader等
作者: Weky (Never mind)   2017-05-17 16:59:00
如果agent裝裝就沒事就好囉 光業務要給客戶資料要解密簽核人不在代理人不在大頭不在就夠IT你煩了
作者: esla (無限解、解無限)   2017-05-17 17:00:00
解密是上頭的事啊,這軟體本來就是有權限的人才能同意給資料隨隨便便就能把資料流出去不就失去控管資料的意義了
作者: Weky (Never mind)   2017-05-17 17:01:00
IT能置身事外大聲講解密是別人的事 看會不會被大頭砲成灰
作者: esla (無限解、解無限)   2017-05-17 17:02:00
利弊寫清楚,麻不麻煩是主事者該考量的為啥會炮成灰,這本來就不是it的事啊
作者: Weky (Never mind)   2017-05-17 17:04:00
it導的系統 IT可以置身事外當然很好啊 但現實很常不是這樣
作者: esla (無限解、解無限)   2017-05-17 17:04:00
難不成你家財務主管跟代理人不在,網銀付不了錢是it的事?所以我才說利弊寫清楚,主事者知道利弊在那,代理人制度弄好
作者: Weky (Never mind)   2017-05-17 17:06:00
原PO都說他老闆不懂技術 主事者和執行者大概都是他
作者: esla (無限解、解無限)   2017-05-17 17:07:00
不用知道技術啊,就只要知道這玩意資料流出公司要有人解密
作者: Weky (Never mind)   2017-05-17 17:07:00
最後被USER嫌不好用又沒人力挺 人我想不會太好做
作者: esla (無限解、解無限)   2017-05-17 17:08:00
這種東西一定會被user反對的啊,但這就是大頭要的效果啊
作者: Weky (Never mind)   2017-05-17 17:10:00
那大頭不挺或不理你請你自己處理怎麼辦 就一直被user嫌嗎?
作者: esla (無限解、解無限)   2017-05-17 17:10:00
可能運氣好,前公司導tfg,我從來沒被炮過,上頭都知道利弊不挺你還要導?這邏輯我不太懂,自已處理是解密權限給it?
作者: Weky (Never mind)   2017-05-17 17:12:00
我八年前同事導完被嫌到離職系統也收掉了 參考參考
作者: purplvampire (阿修雷)   2017-05-17 17:12:00
推Weky大,這才是現實,理論的東西遇上人就沒意義了
作者: esla (無限解、解無限)   2017-05-17 17:12:00
如果不挺你,權限給it,那導這系統幹嘛,不合邏輯啊
作者: Weky (Never mind)   2017-05-17 17:13:00
老闆只負責講我要導這系統後面XX負責 剩下沒老闆的事了本來就不是每個老闆都很會為員工講話 除非他置身事內
作者: purplvampire (阿修雷)   2017-05-17 17:15:00
老闆只負責出張嘴跟耍特權,知道跟配合是兩回事
作者: esla (無限解、解無限)   2017-05-17 17:17:00
這種東西就是要讓資料沒那麼容易出去,才有其效果啊
作者: Weky (Never mind)   2017-05-17 17:17:00
今天原PO老闆不懂技術 光用文筆寫利弊老闆真的會懂嗎?老闆一定是只要功能達到他目標 他會想到執行難處嗎?
作者: esla (無限解、解無限)   2017-05-17 17:18:00
這是需要懂什麼技術,就是沒人解密,資料就流不出去利就是檔案控管,弊就是沒人在資料出去跟ma費用而已如果你focus的是在it會被user狗幹,那我沒話說,這是事實但說沒人解密要it處理我就真的沒辦法認同了
作者: Weky (Never mind)   2017-05-17 17:21:00
跟USER處不好的IT能過的有多開心 很難想像就是
作者: esla (無限解、解無限)   2017-05-17 17:22:00
導個tfg就能跟user處不好,那我也沒話說了
作者: Weky (Never mind)   2017-05-17 17:24:00
今天業務有大訂單要跟客戶討論資料解不了密 情境很多吧
作者: esla (無限解、解無限)   2017-05-17 17:24:00
老闆要求,我也很無奈,我也增加工作,我們都是受害者類似的說詞不難吧,而且也是事實啊,老闆不要求會想找事做嗎老實說,解不了密我會覺得是公司代理人制度出問題
作者: Weky (Never mind)   2017-05-17 17:26:00
那我只能說我不會推TFG 我會如前面提的找其他模式
作者: esla (無限解、解無限)   2017-05-17 17:27:00
同意啊,這只是一個方案,也不是絕對的
作者: dennisxkimo (Dennis(一上B就糟糕))   2017-05-17 18:21:00
這樣要設專區瀏覽 手機攝影裝置出入管制了吧?
作者: HiJimmy (å—¨ 吉米)   2017-05-17 18:24:00
不能用內網 鎖USB??
作者: kreety (想再見到藍天白雲的天空)   2017-05-17 20:23:00
感謝分享!正當還在思索中時,看到了原po最後的處理方式
作者: goodga ( )   2017-05-17 20:23:00
做的再好 老闆也不會幫你加薪 塊陶啊
作者: qmaw (~\^.^/~)   2017-05-17 21:11:00
鎖USB 只能讀不能寫。印出來的文件都加浮水印。
作者: zuso ( )   2017-05-17 22:09:00
VNC......是不能截圖嗎
作者: blackhippo (PH6.0 微.酸民)   2017-05-17 22:32:00
連TSMC那麼搞剛的公司都能被攜出了..
作者: zuso ( )   2017-05-17 22:33:00
沒辦法完全封鎖的啦 記在腦海的你能抹除嗎XD
作者: esla (無限解、解無限)   2017-05-18 08:05:00
上面這種土炮方式照weky的說法,更會比user狗幹吧^被it會更累,業務要給客戶資料,it要開網芳開網路然後還沒辦法限制誰去做這個傳資料的動作你開給上頭去做,他們還得連進去虛擬機傳出來,更麻煩然後上面說的負責人代理人不在家的問題同樣存在這樣大頭若不挺你,user也會嫌到爆,你會被炮成灰哦
作者: KKANT (高高)   2017-05-18 09:04:00
領多少錢做多少事
作者: chang0206 (Eric Chang)   2017-05-18 09:07:00
以柔的DMP 可以防截圖 但是那絕對是大工程結果看到你說幾十萬被打槍...標準鬼島老闆心態啊
作者: SALONPAS1 (VerBal)   2017-05-18 10:17:00
User數量,nas硬體規格?
作者: esla (無限解、解無限)   2017-05-18 11:11:00
幾十萬被打槍,表示資料不值這幾十萬啊,的確鬼島慣老闆心態
作者: rodchi (Rod)   2017-05-18 12:46:00
覺得這是溝通的問題,通常導系統IT被狗幹的原因不外乎成效或痛苦指數不如主管或使用者預期,尤其痛苦指數這個最容易讓IT被幹爆,建議分析給主管時一定要提幾點1.絕對做不到(防不住)的點 2.絕對會用得很痛苦的點3.絕對要花的(大)錢
作者: purplvampire (阿修雷)   2017-05-18 13:09:00
AIP去查過了沒?它可以防截圖阿而且它也沒有十幾萬,靠北怎麼現在不能連續推文阿
作者: esla (無限解、解無限)   2017-05-18 13:22:00
同意rodchi說的,所以才會說,提方案上去分析利弊啊
作者: rodchi (Rod)   2017-05-18 13:31:00
我覺得重點是要讓決策者知道所謂的痛苦是有多痛苦因為想像是美好的,現實是殘酷的,IT也要換位思考
作者: alair99 (I think home)   2017-05-18 14:05:00
防洩很難 但至少要有合理之保密措施才可說是營業秘密所以要問問看老闆的想法 到底是為防洩還是為舉證而已那為何要省錢? 如果有便宜大碗的方案 誰要花大錢 XDDD
作者: Weky (Never mind)   2017-05-18 15:43:00
因為這些資料不值這麼多錢...很單純的理由
作者: u341153 (練雲)   2017-05-18 15:46:00
若照原po的想法,若只是要封掉截圖軟體,只要限定user遠端登入使用的電腦,將剪貼簿封掉就可以了吧?
作者: purplvampire (阿修雷)   2017-05-18 16:03:00
azure information protection
作者: Manu (Manu Ginobili)   2017-05-18 16:36:00
VDI+隔離網段形成一個封閉環境,機密資料就在裡面作業要有個觀念:要完全封鎖資料外流是不可能的(截圖、拍照...)但至少做到讓資料沒辦法"輕易"的外流
作者: esla (無限解、解無限)   2017-05-18 17:45:00
只有少部份資料,那要不要乾脆印紙本借閱算了或是直接限定一台pc操作,少量資料會一直一堆人重覆查閱嗎?
作者: JamesGO (SquareFace)   2017-05-18 19:21:00
首先要有批律師團....
作者: purplvampire (阿修雷)   2017-05-18 20:25:00
我也覺得直接架一台電腦在資訊室或人資室比較有用
作者: deadwood (T_T)   2017-05-18 21:35:00
機密資料集中儲存在一台電腦,電腦鎖在小櫃子裡不接網路線,唯一的鑰匙給主管保管如果再把電腦放在主管辦公室,請主官要求用這台電腦的人交出手機,查閱資料時主管全程在一旁監看就更完美了
作者: u341153 (練雲)   2017-05-19 00:07:00
還有一個方式,要使用這些資料前若有事先批核的動作,批可後,就乾脆遠端到使用者的電腦上關閉或psexec去執行批次,把該關一關,一小時後把虛擬機關閉後,在遠端解除這些封掉的功能
作者: openlien (爛泥一片天)   2017-05-19 18:27:00
DVC?
作者: coflame (吾養吾浩然之氣)   2017-05-23 01:21:00
要防指檔案流出,又要不花錢,唯一的選擇就是不連網都本機前操作,進Console Room前要把手機繳出並且設備上只有DVD-ROM作為唯一的檔案攜入管道, USB全封
作者: punding (新拍子 新節奏)   2017-05-23 08:50:00
有這種老闆還是早點走對你比較好
作者: AngelGT (旦旦)   2017-05-23 12:03:00
推薦EFM,我公司有在用。
作者: junorn (威廉華勒斯)   2017-05-27 13:21:00
想要零成本責任又會往你身上推那真的建議早點走比較好
繼續閱讀
[討論] 各位覺得下週會很多災情嗎? (勒索病毒)Non[心得] 網域內針對Win10的GPO管理-頭痛adearlover[討論] 大家來聊聊最近SI界的大八卦吧bigoldtwo[公告] mango0128 水桶Non[市調] [email protected]

Links booklink

Contact Us: admin [ a t ] ucptt.com