看了很久這篇文章 總算看出一點眉目 ※ 引述《hooboa1122 (伯樂)》之銘言： : 目前公司有25台Windows 10 PC、1台MAC、2台macbook、3台linux PC : 電腦機型均為原價屋組裝 拿來跑3D美術軟體或是Tensorflow : 使用中華電信 300M/100M 網路 : 公司內部均為區域網路，無固定IP，無網域控管 看現有資產沒什麼錢 電腦外面隨便組 無網域 無專線 無網路設備 : 單機個人使用 : 有一台NAS 做為內部檔案交換及建Gitlab用 : 我們沒有MIS : 工程師們的背景也不是專業的MIS : 所以老闆要求我擔任規劃PM : 想求教各位前輩該怎麼做 : ============================================================= : 老闆期待達到的功能： : 1.建置資料備份 隨便買台電腦塞硬碟做RAID每天COPY資料 錢多點買好點 : 2.同仁無法上傳雲端、用line傳檔或用USB等設備，拷走公司檔案 禁用Line 封掉網路硬碟網址 USB孔物理破壞 : 3.預防勒索病毒 買防毒 發放防中毒小卡宣導 ================= 老闆要求三點 老闆又外行 隨便都能達成 然後下面多了一卡車不務實的內容 然後我看原PO是擔任PM 我似乎懂了什麼 這不就是某個職務最擅長的事情嗎? 30人小公司然後拿別人ISO文件亂抄說要做 錢這麼多不請個專業MIS處理 能說什麼呢? : ============================================================= : 稍微請教過我們的工程師後，了解我們的狀況並提供做法： : 一、網路環境 : 1.內部防火牆、Switch、AP，其型號，無法達到MAC(Media Access Control Address)認證 : (若全面更新，費用約需20來萬?) : 2.全面改成wifi環境，避免員工自己私插有線到個人設備，去拷檔案或是破解server : 3.不採用帳號、密碼登入的方式，因有可能被盜或是員工自帶筆電，就可以拷檔案 : 4.理想做法 - 限制被認證的PC主機、NB才可以進入伺服器 : (但老闆願意花這20來萬嗎?) : 二、PC設備的端點管理 : 1.現有的PC、NB等，均安裝endpoint protector軟體 : 2.把linux改成windows系統 : 3.鎖掉每一台的bios，禁止用bios、usb、網路開啟PC : (Secure Boot / Multiboot/ USB Boot) : 4.限定每一台主機只能用Guest帳號登入，且無法變更。Admin帳號由我統一管理 : 5.白名單只開放工程師會用到的軟體，其餘雲端硬碟、usb槽等全關 : 6.確認工程師所用的軟體，不會有雲端備份功能 : 7.禁止使用teamviewer之類軟體 : 三、檔案瀏覽(如何避免外流) : 1.因有需要提供code及作品給客戶，之後改成用server提供帳號、密碼方式供客戶登入 : 2.針對做為DEMO用的主機，開啟使用usb及遠端連回server功能 : 四、勒索病毒 : 1.採購comodo並設置中控密碼，員工不能任意變更 : 五、資料備份 : 1.新購一台DELL伺服器作為內網，供員工檔案交換、建gitlab及備份之用 : 2.所有人憑帳號、密碼登入 : 3.異地備援(是否有便宜的雲端?) : 六、事後追蹤 : 1.受限經費、規模，除了事前防範外，希望也從流量、傳檔內容做紀錄，以便事後追蹤 : (希望知道是哪台電腦、傳了什麼檔) : 2.更換fire server? : 七、資安政策 : 1.禁止員工私帶設備筆電 : 2.機房管控 (上鎖、禁止員工進入、網路線不明顯露出) : 八、未來改成VDI作業? : 1.如果改成VDI作業，應該可以減少很多被另存檔案的問題 : (但現有主機都是10萬多的，若改成VDI作業會否有更大的成本?) -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 123.194.128.44 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/MIS/M.1567603253.A.1D7.html