※ 引述《hooboa1122 (伯樂)》之銘言：
: 標題: Re: [請益] 30人公司資安/檔案外流控管DLP
: 時間: Fri Sep 20 11:56:49 2019
:
上次就想回覆，不過小弟公司中勒索，我就沒時間回應了
看了一下，通常這種文章建議還是簡單畫個網路架構圖
:
: 方案一
: Sophos + Sophos XG135防火牆 + SmartIT Desktop Manager(端點+資產+加密)
:
: 1.用Sophos + XG防火牆 做身份認證 (AD替代方案)
: 有安裝Sophos登入套件的PC，才能連入防火牆，上網及進伺服器
: 沒有安裝登入套件的設備，防火牆就會擋掉，只給單純上網瀏覽
:
: 2.Sophos防毒、防勒索
Sophos 防毒就可以控管設備了，插usb可以鎖定不能使用，也可以限制到那個部門能用
那個部門不能用的群組設定
:
: 3.SmartIT Desktop Manager作資產管理及端點管理，關掉所有USB、藍芽、監控配備
資產管理，open source的ocs inventory可以滿足你的需求
安裝上網路一堆教學，如果還是要做資產管理，有人說不建議這家，如果要花錢可以找它家
至於關掉所有usb　sophos就可以做到了，不論是Sophos Central、Sophos Endpoint
Sophos Central可以控管到藍芽，Sophos Endpoint　小弟公司用的版本不是最新
所以能不能控管到藍芽，這點可能要查一下，但控管usb的確做得到
資產管理我是不知道你要只做到電腦，還是周邊設備都要有，不然OCS可以做到電腦
: 4.SmartIT Desktop Manager作檔案加密
:
: 5.資安政策 - 鎖Bios、PC權限使用者設定
LDAP，我是不知道你的NAS是用那一家，仿間市面上都有這類功能
三十人左右可以利用這個功能作控管，包括你下面留的那一台可以連到那台Server
最省成本的方法就是上面，不然牙一咬就買個server 2019來架AD，攤下來的成本應該
會讓公司比較好接受點
:
: 方案二
: IP Guard + FortiGate(FSSO) + NAS(可加密、具備類似windows AD功能認證)
:
: 1.IP Guard做端點管理、加密、關閉上傳及下傳
:
: 2.FortiGate防火牆做防毒及FORTINET SINGLE SIGN ON
:
: 3.加密NAS備份 (原本已有一台NAS)
不評論
:
: 方案三
: 防火牆 + 防毒軟體(兼端點管理) + NAS(可加密、具備類似windows AD功能認證)
: 【PC端點-防火牆-NAS，變成一個區域內網，
: PC端點 不能使用硬體存取、也不可以上傳資料
: 利用NAS 做端點連線的管理 認MAC address 未被認證的設備無法連入
: 至於 檔案加密 暫時不做】
:
: PaloAlto + Traps
: CheckPoint + SandBlast
: Fortigate + Forticlient
:
:
綁在一起不是不好，每年繳的保護費公司願不願意付
要買之前請廠商提出三到五年所需要付的費用
就算漲價也不會漲太多，先知道每年要付的成本再來考慮
: 想請教各位前輩的建議
:
:
: