小公司的資安/端點、防毒、加密 - 資安

By Isla
at 2019-09-20T11:54

Table of Contents

公司有滿多數位美術檔案還有一些deep learning研究資料
想要進行資安工作
經與一些SI公司討論後

方案一
Sophos防勒索病毒+Sophos XG135防火牆+SmartIT Desktop Manager(端點+資產+加密)

1.用Sophos + XG防火牆做身份認證 (AD替代方案)
有安裝Sophos登入套件的PC，才能連入防火牆，上網及進伺服器
沒有安裝登入套件的設備，防火牆就會擋掉，只給單純上網瀏覽

2.Sophos防毒、防勒索

3.SmartIT Desktop Manager作資產管理及端點管理，關掉所有USB、藍芽、監控配備

4.SmartIT Desktop Manager作檔案加密

5.資安政策 - 鎖Bios、PC權限使用者設定

方案二
IP Guard + FortiGate(FSSO) + NAS(可加密、具備類似windows AD功能認證)

1.IP Guard做端點管理、加密、關閉上傳及下傳

2.FortiGate防火牆做防毒及FORTINET SINGLE SIGN ON

3.加密NAS備份 (原本已有一台NAS)

方案三
防火牆 + 防毒軟體(兼端點管理) + NAS(可加密、具備類似windows AD功能認證)
【PC端點-防火牆-NAS，變成一個區域內網，
PC端點不能使用硬體存取、也不可以上傳資料
利用NAS 做端點連線的管理認MAC address 未被認證的設備無法連入
至於檔案加密暫時不做】

PaloAlto + Traps
CheckPoint + SandBlast
Fortigate + Forticlient

想請教各位前輩的建議

--
※ 文章網址: https://www.ptt.cc/bbs/NetSecurity/M.1568951697.A.4E3.html

→ mimick: 您要的方向是什麼？ 09/20 12:05

老闆希望

●檔案不外流
1.建立內網，PC-防火牆-伺服器
2.工作用PC(設備)都被管制，被認證的PC才能連入伺服器
3.封掉所有上傳機制 (雲端硬碟均封鎖)
4.封掉所有外傳機制
5.關閉PC硬體存取設備

●檔案加密
就算檔案外流，至少檔案有加密，流出去的話，別人也不能讀取

●防勒索病毒
先做PC防毒軟體的採購，之後會針對伺服器的防護以及備份機制再做方案

→ mimick: SI公司用的都有符合規畫唷！建議要想一下之後管理及未來 09/20 14:09

推 comp2468: 缺proxy跟dlp 09/20 16:20

※ 編輯: hooboa1122 (61.230.101.29 臺灣), 09/20/2019 16:49:12

推 isaacc: 同一樓，請問貴公司有多少IT人員可以管理這些資安設備? 09/20 20:24

→ isaacc: 這些資安solution不是買來裝好就OK了，後面還有管理的工作 09/20 20:26

推 ym7834: 都算有合到需求，建議可以p一下 09/21 23:18

→ ym7834: 同時這些設備也要看是不是有足夠人力來管理 09/21 23:20

推 DINJIAPC: 猜老闆獨大或老闆與管理員兩人 09/22 16:21

→ justoncetime: 資安是人的問題最大，有效的教育訓練會最有幫助 09/27 23:03

Tags: 資安