20190904原文:
目前公司有25台Windows 10 PC、1台MAC、2台macbook、3台linux PC
電腦機型均為原價屋組裝 拿來跑3D美術軟體或是Tensorflow
使用中華電信 300M/100M 網路
公司內部均為區域網路，無固定IP，無網域控管
單機個人使用
有一台NAS 做為內部檔案交換及建Gitlab用
我們沒有MIS
工程師們的背景也不是專業的MIS
所以老闆要求我擔任規劃PM
想求教各位前輩該怎麼做
=============================================================
老闆期待達到的功能：
1.建置資料備份
2.同仁無法上傳雲端、用line傳檔或用USB等設備，拷走公司檔案
3.預防勒索病毒
=============================================================
稍微請教過我們的工程師後，了解我們的狀況並提供做法：
一、網路環境
1.內部防火牆、Switch、AP，其型號，無法達到MAC(Media Access Control Address)認證
(若全面更新，費用約需20來萬?)
2.全面改成wifi環境，避免員工自己私插有線到個人設備，去拷檔案或是破解server
3.不採用帳號、密碼登入的方式，因有可能被盜或是員工自帶筆電，就可以拷檔案
4.理想做法 - 限制被認證的PC主機、NB才可以進入伺服器
(但老闆願意花這20來萬嗎?)
二、PC設備的端點管理
1.現有的PC、NB等，均安裝endpoint protector軟體
2.把linux改成windows系統
3.鎖掉每一台的bios，禁止用bios、usb、網路開啟PC
(Secure Boot / Multiboot/ USB Boot)
4.限定每一台主機只能用Guest帳號登入，且無法變更。Admin帳號由我統一管理
5.白名單只開放工程師會用到的軟體，其餘雲端硬碟、usb槽等全關
6.確認工程師所用的軟體，不會有雲端備份功能
7.禁止使用teamviewer之類軟體
三、檔案瀏覽(如何避免外流)
1.因有需要提供code及作品給客戶，之後改成用server提供帳號、密碼方式供客戶登入
2.針對做為DEMO用的主機，開啟使用usb及遠端連回server功能
四、勒索病毒
1.採購comodo並設置中控密碼，員工不能任意變更
五、資料備份
1.新購一台DELL伺服器作為內網，供員工檔案交換、建gitlab及備份之用
2.所有人憑帳號、密碼登入
3.異地備援(是否有便宜的雲端?)
六、事後追蹤
1.受限經費、規模，除了事前防範外，希望也從流量、傳檔內容做紀錄，以便事後追蹤
(希望知道是哪台電腦、傳了什麼檔)
2.更換fire server?
七、資安政策
1.禁止員工私帶設備筆電
2.機房管控 (上鎖、禁止員工進入、網路線不明顯露出)
八、未來改成VDI作業?
1.如果改成VDI作業，應該可以減少很多被另存檔案的問題
(但現有主機都是10萬多的，若改成VDI作業會否有更大的成本?)

VDI不用想了 光是軟體授權就不少了

你沒說最關鍵的問題，你的總預算多少

應該是逐項加完就是預算，然後老闆就開始砍砍砍...

去參考一下forti single sign-on我相信Forti的功能是很貼近你要的資料備份來講,你丟雲端不就等同於外洩還不如在買台NAS,進行異機備份即可,只要設定排成錯開即可至於client沒有涉獵,不過這些都關係到偵測功能

那些限制要完全做到真的只能VDI其他大概就硬體做法

VDI如果途徑存在 依然會外洩 比較推薦DLP或是DRM

先看預算吧

老實說30人的公司老闆資安要求根本沒預算達成花時間處理不如多花時間在主要業務上然後30人的公司還要擔心有內賊 我覺得解散會快點光一個怎麼防止資料被手機鏡頭截圖帶出就無解了難道你要學有些公司進去先過金屬檢測門 然後禁帶手機嗎

硬體喔..你去五金行花個幾十塊買支尖嘴鉗就可以達成8成資安需求了

寫這麼多，有問老闆預算多少嗎？有多少錢做多少事123點有錢多錢少的作法都可以達成，先問預算再來吧

手機拍照目前有一些solution 但也要員工願意手機裝東西

買個加密式的file server, 防止大量帶走檔案, 還附存取記錄, 監視器裝好裝滿嚇阻一下

1. NAS 2.艾批尬 3.SOPHOS

內外網切開可以省很多錢跟很多事 看你老闆願不願意這樣幹監視器+內網作業+拔掉USB 只要與外界隔離就相對安全了這是最省錢最省事效果最好的模式(=使用者最麻煩)如果嫌麻煩 那就只能開始追加預算去建防護架構了

1.資料備份：只有內網的NAS且兩台以上2.直接透過防毒所掉URL，USB直接破壞掉3.預防勒索病毒：系統定期更新，勤勞備份就好30人的規模，買幾台NAS跟防毒就搞定了勒索病毒基本上最有效還是自己多備份在不同地方記得是不同地方，例如不同網段或設備之類的例如每天備份完成後，NAS 斷網，網段獨立等等

記得請一個警衛每天門口貼手機跟電腦鏡頭，出去檢查有沒有撕掉過XD

推樓上

30人規模 先處理防火牆跟防毒吧，用防毒管控usb甚至可以不用房，只要公布有使用了usb的電腦，然後你老闆要挺你的政策

NGFW 封鎖所有USB孔 一台備份sv 不過要培養能使用NGFW的人

不請MIS就只有被廠商當羊而已貴司的營業額跟檔案機密性 需要這麼高?還要每年買?

沒人納悶 六、事後追蹤 的第2項嗎？fire server 是啥？

買comodo....光這個部分你應該後續會忙不完上面HIPS, APP Control, Containment應該會加重很多helpdesk的人力成本, Call會接不少

我建議趨勢，因此畢竟是本土公司，需求處理也會比較快處理

某些產業跟人數多不多沒關係好嗎，為啥30人公司就不用擔心或認為30人公司沒預算管資安?我之前公司也是花上百在資安啊很多管理面的東西，讓user覺得麻煩就能達到一定效果了像solidwork或是proe之類的圖，你拿手機拍效果也很有限的認為小公司就不需要/沒能力管資安，不應該是傳統老闆的思維怎麼會連玩資訊的都會先入為主的認為玩不了不過如果貴公司真的有心碰資安，老闆要有花錢的打算如果想要不花錢，或是花個幾萬就搞定，那效果的確很有限

破解方式 user開4g wifi分享或是4g分享器帶網路孔，上傳檔案到雲端，無敵

30人的公司有預算管資安不如把錢花在產品開發或行銷更有價值讓user覺得麻煩的資安=有效果 代表你的內容不夠值錢而已XDD拿手機拍效果有限 答案是效果拔群 拍多張點工程師要重現圖沒什麼問題 東西夠有價值多花點力氣重製和拍照完全沒問題

真厲害，連產業別都不清楚就能直接下出結論其它公司做什麼行為更有價值，或是內容值不值錢都能這樣判斷看來w大應該是待過非常多產業，甚至是大老闆囉有辦法在什麼資訊都沒有的情況下，果斷的判斷其它公司的決定

你和老闆說先給個200萬我們再來談 你說的東西都要錢沒錢是做不到的