→ fatstan: 以你們公司預算列出願望清單後再來討論才有意義 09/19 12:58
→ fatstan: 還是圖內的牌子都可以 09/19 13:07
→ fatstan: 另外端點管理方面應該去資安版問會比較好 09/19 14:16
→ fatstan: 防勒索病毒就圖中平均以上的知名防毒都可問問看 09/19 14:20
公司有滿多數位美術檔案還有一些deep learning研究資料
想要進行資安工作
經與一些SI公司討論後
方案一
Sophos防勒索病毒+Sophos XG135防火牆+SmartIT Desktop Manager(端點+資產+加密)
1.用Sophos + XG防火牆 做身份認證 (AD替代方案)
有安裝Sophos登入套件的PC,才能連入防火牆,上網及進伺服器
沒有安裝登入套件的設備,防火牆就會擋掉,只給單純上網瀏覽
2.Sophos防毒、防勒索
3.SmartIT Desktop Manager作資產管理及端點管理,關掉所有USB、藍芽、監控配備
4.SmartIT Desktop Manager作檔案加密
5.資安政策 - 鎖Bios、PC權限使用者設定
方案二
IP Guard + FortiGate(FSSO) + NAS(可加密、具備類似windows AD功能認證)
1.IP Guard做端點管理、加密、關閉上傳及下傳
2.FortiGate防火牆做防毒及FORTINET SINGLE SIGN ON
3.加密NAS備份 (原本已有一台NAS)
方案三
防火牆 + 防毒軟體(兼端點管理) + NAS(可加密、具備類似windows AD功能認證)
【PC端點-防火牆-NAS,變成一個區域內網,
PC端點 不能使用硬體存取、也不可以上傳資料
利用NAS 做端點連線的管理 認MAC address 未被認證的設備無法連入
至於 檔案加密 暫時不做】
PaloAlto + Traps
CheckPoint + SandBlast
Fortigate + Forticlient
想請教各位前輩的建議
推 chang0206: 1.資料備份還是要做 2.檔案加密記得要分級 3.連手機 09/20 12:14
→ chang0206: 都交出來吧(奸笑 09/20 12:15
→ chang0206: 4.這樣作下來,成本會很高唷,老闆不痛? 09/20 12:15
→ chang0206: 沒有安裝套件的設備 連接入網路都不應該讓他通 09/20 12:17
→ chang0206: 最後就是一定會有特權user,這些user通常才是大洞 09/20 12:18
推 fatstan: 樓上中肯 09/20 12:41
推 chang0206: 看不太懂3在寫什麼 原本的sophos方案不錯啊,只要補上 09/20 14:49
→ chang0206: 資料備份的功能就差不多了 09/20 14:50
推 chang0206: 不過吼,我如果用隨身碟開機(這個不太需要進bios調) 09/20 14:52
→ chang0206: 進入Live! Linux,然後接手機上網,你就管不到了呀 09/20 14:53
謝謝提醒 已更新用詞
※ 編輯: hooboa1122 (61.230.101.29 臺灣), 09/20/2019 16:49:33
推 chang0206: 你如果有跟外界交換檔案的需求 那加密就真的很不建議做 09/20 17:59
推 chang0206: NAS可以作到你說的方案三的功能? 09/20 18:01
→ DINJIAPC: 你選的代理會比防毒原廠還重要,產品象限並不是唯一的 09/21 03:53
→ DINJIAPC: 指標。 09/21 03:53
→ DINJIAPC: 電腦鎖櫃 有洞就灌膠 再來才是軟體的事 09/21 04:01
推 mathrew: 你的需求,一堆方法可以做,你的問題應該是要找到好的廠 09/21 13:15
→ mathrew: 商才比較重要 09/21 13:16
推 KevinYu0504: DINJIAPC 出來了呀。不過他確實提到個重點,就是廠 09/21 17:43
→ KevinYu0504: 商售後服務的部分也是考量重點。 09/21 17:43
推 x20165: 目前公司用cp 還不錯 針對勒索病毒 09/21 22:38