推 leaderliu: DLP 05/17 12:07
→ Weky: 跟主管講你不知道怎麼做 要求主管給方法 05/17 12:37
→ Weky: 這件事情你不透過主管做自己來 保證被內部其他人砲到爽 05/17 12:38
很遺憾 我的主管不太懂資訊
所以叫我去找方法 也沒辦法給我方向
資訊部門只有我 沒有部門主管
所以我也只能悶著頭找了
推 Manu: VDI 05/17 12:59
VDI能防止檔案被寄出嗎?
推 s801107: 文件加密是指TFG這個嗎 05/17 13:21
剛剛去查了一下TFG
概念看起來跟我查到的那個差不多
都是透過一台伺服器進行解密的動作
資料攜出後 因為無法解密就打不開
達成防止資料攜出的動作
這個都是軟體式的控管
我還有查到類似硬體式的控管
但那個設備一台要幾百萬 看到價格就不想查下去了
推 michaellai: 資料要流出,只要鉛筆跟A4… 05/17 14:06
鉛筆跟A4 不在資訊部門可以做的阻擋上
跟拍照一樣 不在資訊部門的考慮範疇內
所以我只要提出資訊方面可以做的防範方式跟要花多少錢就好了
至於做不做 那就交給上層自己去決定了
推 s801107: TFG是個方法 但就在電腦要裝agent 啦..還有針對adobe或o 05/17 14:13
→ s801107: ffice會有版本差異 05/17 14:14
裝agent不是什麼大問題啦
但是什麼版本差異呢?
是某些版本的office會加密不了 還是打不開?
推 sopoor: 先問老闆預算阿,跟他說沒預算沒辦法 05/17 14:35
推 purplvampire: 聽起來就AIP吧 05/17 15:40
→ Weky: 建議你與其做加密防堵不如做監控側錄管理會更好 05/17 16:27
推 esla: 要主管給方法!?不是都說自已功課自已做嗎,怎麼叫主管做了 05/17 16:44
→ esla: TFG效果不錯,不過日常作業會有點麻煩,前公司有在用 05/17 16:45
→ Weky: TFG光每天找人解密就飽了 下去做的IT痛苦USER也痛苦 05/17 16:47
推 esla: 提案上去啊,利弊分析完就是上頭的決定了啊 05/17 16:55
→ esla: it也不會多痛苦,agent裝一裝就好,有簽ma問題不會太大 05/17 16:56
→ esla: 不過搞tfg就真的綁ma了,不然後續容易會有相容性問題 05/17 16:57
→ esla: 除非你們永遠不更新office、adober reader等 05/17 16:59
→ Weky: 如果agent裝裝就沒事就好囉 光業務要給客戶資料要解密 05/17 16:59
→ Weky: 簽核人不在代理人不在大頭不在就夠IT你煩了 05/17 17:00
→ esla: 解密是上頭的事啊,這軟體本來就是有權限的人才能同意給資料 05/17 17:00
→ esla: 隨隨便便就能把資料流出去不就失去控管資料的意義了 05/17 17:01
→ Weky: IT能置身事外大聲講解密是別人的事 看會不會被大頭砲成灰 05/17 17:01
→ esla: 利弊寫清楚,麻不麻煩是主事者該考量的 05/17 17:02
→ esla: 為啥會炮成灰,這本來就不是it的事啊 05/17 17:03
→ Weky: it導的系統 IT可以置身事外當然很好啊 但現實很常不是這樣 05/17 17:04
→ esla: 難不成你家財務主管跟代理人不在,網銀付不了錢是it的事? 05/17 17:04
→ esla: 所以我才說利弊寫清楚,主事者知道利弊在那,代理人制度弄好 05/17 17:05
→ Weky: 原PO都說他老闆不懂技術 主事者和執行者大概都是他 05/17 17:06
→ esla: 不用知道技術啊,就只要知道這玩意資料流出公司要有人解密 05/17 17:07
→ Weky: 最後被USER嫌不好用又沒人力挺 人我想不會太好做 05/17 17:07
→ esla: 這種東西一定會被user反對的啊,但這就是大頭要的效果啊 05/17 17:08
→ Weky: 那大頭不挺或不理你請你自己處理怎麼辦 就一直被user嫌嗎? 05/17 17:10
→ esla: 可能運氣好,前公司導tfg,我從來沒被炮過,上頭都知道利弊 05/17 17:10
→ esla: 不挺你還要導?這邏輯我不太懂,自已處理是解密權限給it? 05/17 17:11
→ Weky: 我八年前同事導完被嫌到離職系統也收掉了 參考參考 05/17 17:12
推 purplvampire: 推Weky大,這才是現實,理論的東西遇上人就沒意義了 05/17 17:12
→ esla: 如果不挺你,權限給it,那導這系統幹嘛,不合邏輯啊 05/17 17:12
→ Weky: 老闆只負責講我要導這系統後面XX負責 剩下沒老闆的事了 05/17 17:13
→ Weky: 本來就不是每個老闆都很會為員工講話 除非他置身事內 05/17 17:14
→ purplvampire: 老闆只負責出張嘴跟耍特權,知道跟配合是兩回事 05/17 17:15
推 esla: 這種東西就是要讓資料沒那麼容易出去,才有其效果啊 05/17 17:17
→ Weky: 今天原PO老闆不懂技術 光用文筆寫利弊老闆真的會懂嗎? 05/17 17:17
→ Weky: 老闆一定是只要功能達到他目標 他會想到執行難處嗎? 05/17 17:18
→ esla: 這是需要懂什麼技術,就是沒人解密,資料就流不出去 05/17 17:18
→ esla: 利就是檔案控管,弊就是沒人在資料出去跟ma費用而已 05/17 17:19
→ esla: 如果你focus的是在it會被user狗幹,那我沒話說,這是事實 05/17 17:20
→ esla: 但說沒人解密要it處理我就真的沒辦法認同了 05/17 17:21
→ Weky: 跟USER處不好的IT能過的有多開心 很難想像就是 05/17 17:21
→ esla: 導個tfg就能跟user處不好,那我也沒話說了 05/17 17:22
→ Weky: 今天業務有大訂單要跟客戶討論資料解不了密 情境很多吧 05/17 17:24
→ esla: 老闆要求,我也很無奈,我也增加工作,我們都是受害者 05/17 17:24
→ esla: 類似的說詞不難吧,而且也是事實啊,老闆不要求會想找事做嗎 05/17 17:25
→ esla: 老實說,解不了密我會覺得是公司代理人制度出問題 05/17 17:26
→ Weky: 那我只能說我不會推TFG 我會如前面提的找其他模式 05/17 17:26
→ esla: 同意啊,這只是一個方案,也不是絕對的 05/17 17:27
感謝以上兩位朋友的熱心回覆
剛剛主管在問 我就把TFG等相關的軟體跟他報告
結果聽到要幾十萬就打槍了
主管說公司小 不可能花幾十萬買那個
要我想一個0成本的土砲方法
最後討論出來的結論
就是用在機房架一台虛擬機 把只能看不能流出的檔案放進去
將RDP關掉剪貼簿跟磁碟重新導向的功能
虛擬機的IP也從防火牆封死不能上網
內網封掉網芳 讓內部電腦連不進去
登入的帳號只有USER權限
這樣資料應該就不能從那台電腦傳出來
就類似唯讀的方式
也不用花額外的成本
這樣上報給老闆看看老闆買不買單嘍
→ dennisxkimo: 這樣要設專區瀏覽 手機攝影裝置出入管制了吧? 05/17 18:21
推 HiJimmy: 不能用內網 鎖USB?? 05/17 18:24
→ kreety: 感謝分享!正當還在思索中時,看到了原po最後的處理方式 05/17 20:23
推 goodga: 做的再好 老闆也不會幫你加薪 塊陶啊 05/17 20:23
推 qmaw: 鎖USB 只能讀不能寫。印出來的文件都加浮水印。 05/17 21:11
推 zuso: VNC......是不能截圖嗎 05/17 22:09
嗯嗯 目前不管是用VNC或者是RDP
都無法阻止print screen或截圖軟體 其實還蠻頭痛的
google相關資料也說print screen關不掉 除非用第三方軟體管控
但若改成一台單機的查詢機
把所有對外傳輸管道封死
就不用在意print screen
但主管又嫌麻煩
→ blackhippo: 連TSMC那麼搞剛的公司都能被攜出了.. 05/17 22:32
→ zuso: 沒辦法完全封鎖的啦 記在腦海的你能抹除嗎XD 05/17 22:33
完全封鎖當然是不可能
聽主管說 老闆也沒要完全封鎖
他說 老闆覺得一兩張資料被帶走無所謂
但不能輕鬆讓人整批資料都全部帶走
※ 編輯: lkklkksppspp (59.127.176.105), 05/18/2017 01:14:52
推 esla: 上面這種土炮方式照weky的說法,更會比user狗幹吧 05/18 08:05
→ esla: ^被 05/18 08:06
→ esla: it會更累,業務要給客戶資料,it要開網芳開網路 05/18 08:07
→ esla: 然後還沒辦法限制誰去做這個傳資料的動作 05/18 08:09
→ esla: 你開給上頭去做,他們還得連進去虛擬機傳出來,更麻煩 05/18 08:10
→ esla: 然後上面說的負責人代理人不在家的問題同樣存在 05/18 08:11
推 esla: 這樣大頭若不挺你,user也會嫌到爆,你會被炮成灰哦 05/18 08:12
推 KKANT: 領多少錢做多少事 05/18 09:04
推 chang0206: 以柔的DMP 可以防截圖 但是那絕對是大工程 05/18 09:07
→ chang0206: 結果看到你說幾十萬被打槍...標準鬼島老闆心態啊 05/18 09:08
→ SALONPAS1: User數量,nas硬體規格? 05/18 10:17
推 esla: 幾十萬被打槍,表示資料不值這幾十萬啊,的確鬼島慣老闆心態 05/18 11:11
→ rodchi: 覺得這是溝通的問題,通常導系統IT被狗幹的原因不外乎 05/18 12:46
→ rodchi: 成效或痛苦指數不如主管或使用者預期,尤其痛苦指數這個 05/18 12:47
→ rodchi: 最容易讓IT被幹爆,建議分析給主管時一定要提幾點 05/18 12:49
→ rodchi: 1.絕對做不到(防不住)的點 2.絕對會用得很痛苦的點 05/18 12:50
→ rodchi: 3.絕對要花的(大)錢 05/18 12:51
所有利弊 所有可能發生的問題 我都提上去了
但主管就是堅持先作再說
之後有困難無法執行再來討論
人家是僅次於老闆的大主管 我只是小員工
所以我也沒轍 只能照辦
推 purplvampire: AIP去查過了沒?它可以防截圖阿 05/18 13:09
→ purplvampire: 而且它也沒有十幾萬,靠北怎麼現在不能連續推文阿 05/18 13:10
真的不好意思 我真不知道AIP是什麼
我現在備份用的AIP(ActiveImage Protector)
似乎沒有加密還是防截圖的功能
所以不知道您說的是哪套軟體
推 esla: 同意rodchi說的,所以才會說,提方案上去分析利弊啊 05/18 13:22
→ rodchi: 我覺得重點是要讓決策者知道所謂的痛苦是有多痛苦 05/18 13:31
→ rodchi: 因為想像是美好的,現實是殘酷的,IT也要換位思考 05/18 13:34
推 alair99: 防洩很難 但至少要有合理之保密措施才可說是營業秘密 05/18 14:05
→ alair99: 所以要問問看老闆的想法 到底是為防洩還是為舉證而已 05/18 14:06
老闆是要防洩 避免他花費多年整理的資料被帶走
推 alair99: 那為何要省錢? 如果有便宜大碗的方案 誰要花大錢 XDDD 05/18 15:22
→ Weky: 因為這些資料不值這麼多錢...很單純的理由 05/18 15:43
那些資料值不值錢我不知道啦 畢竟不是我的專業
但主管假如能0元搞定 他老闆報告的時候就是大功一件
我又不能直接對老闆報告 其他的就不多說了...
→ u341153: 若照原po的想法,若只是要封掉截圖軟體,只要限定user遠 05/18 15:46
→ u341153: 端登入使用的電腦,將剪貼簿封掉就可以了吧? 05/18 15:47
我有封掉遠端連線的剪貼簿
但本機的剪貼簿不能封掉 以免影響user其他作業
所以在遠端連線時 假如是全畫面時 print screen是沒用的沒錯
但縮小成視窗時 就可以print screen截圖了
因為連進去看的檔案 只有少部分幾個重要的機密資料
大部分的檔案還是在NAS內 所以也不能要求USER全部用遠端作業
※ 編輯: lkklkksppspp (61.216.99.132), 05/18/2017 16:07:03
推 purplvampire: azure information protection 05/18 16:03
推 Manu: VDI+隔離網段形成一個封閉環境,機密資料就在裡面作業 05/18 16:36
推 Manu: 要有個觀念:要完全封鎖資料外流是不可能的(截圖、拍照...) 05/18 16:40
→ Manu: 但至少做到讓資料沒辦法"輕易"的外流 05/18 16:42
推 esla: 只有少部份資料,那要不要乾脆印紙本借閱算了 05/18 17:45
→ esla: 或是直接限定一台pc操作,少量資料會一直一堆人重覆查閱嗎? 05/18 17:46
推 JamesGO: 首先要有批律師團.... 05/18 19:21
推 purplvampire: 我也覺得直接架一台電腦在資訊室或人資室比較有用 05/18 20:25
→ deadwood: 機密資料集中儲存在一台電腦,電腦鎖在小櫃子裡 05/18 21:35
→ deadwood: 不接網路線,唯一的鑰匙給主管保管 05/18 21:37
→ deadwood: 如果再把電腦放在主管辦公室,請主官要求用這台電腦的 05/18 21:38
→ deadwood: 人交出手機,查閱資料時主管全程在一旁監看就更完美了 05/18 21:39
→ u341153: 還有一個方式,要使用這些資料前若有事先批核的動作,批 05/19 00:07
→ u341153: 可後,就乾脆遠端到使用者的電腦上關閉或psexec去執行批 05/19 00:08
→ u341153: 次,把該關一關,一小時後把虛擬機關閉後,在遠端解除這 05/19 00:08
→ u341153: 些封掉的功能 05/19 00:09
推 openlien: DVC? 05/19 18:27
→ coflame: 要防指檔案流出,又要不花錢,唯一的選擇就是不連網 05/23 01:21
→ coflame: 都本機前操作,進Console Room前要把手機繳出 05/23 01:22
→ coflame: 並且設備上只有DVD-ROM作為唯一的檔案攜入管道, USB全封 05/23 01:24
推 punding: 有這種老闆還是早點走對你比較好 05/23 08:50
推 AngelGT: 推薦EFM,我公司有在用。 05/23 12:03
推 junorn: 想要零成本責任又會往你身上推那真的建議早點走比較好 05/27 13:21