公司有滿多數位美術檔案還有一些deep learning研究資料 想要進行資安工作 經與一些SI公司討論後 方案一 Sophos防勒索病毒+Sophos XG135防火牆+SmartIT Desktop Manager(端點+資產+加密) 1.用Sophos + XG防火牆 做身份認證 (AD替代方案) 有安裝Sophos登入套件的PC，才能連入防火牆，上網及進伺服器 沒有安裝登入套件的設備，防火牆就會擋掉，只給單純上網瀏覽 2.Sophos防毒、防勒索 3.SmartIT Desktop Manager作資產管理及端點管理，關掉所有USB、藍芽、監控配備 4.SmartIT Desktop Manager作檔案加密 5.資安政策 - 鎖Bios、PC權限使用者設定 方案二 IP Guard + FortiGate(FSSO) + NAS(可加密、具備類似windows AD功能認證) 1.IP Guard做端點管理、加密、關閉上傳及下傳 2.FortiGate防火牆做防毒及FORTINET SINGLE SIGN ON 3.加密NAS備份 (原本已有一台NAS) 方案三 防火牆 + 防毒軟體(兼端點管理) + NAS(可加密、具備類似windows AD功能認證) 【PC端點-防火牆-NAS，變成一個區域內網， PC端點 不能使用硬體存取、也不可以上傳資料 利用NAS 做端點連線的管理 認MAC address 未被認證的設備無法連入 至於 檔案加密 暫時不做】 PaloAlto + Traps CheckPoint + SandBlast Fortigate + Forticlient 想請教各位前輩的建議 -- ※ 文章網址: https://www.ptt.cc/bbs/NetSecurity/M.1568951697.A.4E3.html 老闆希望 ●檔案不外流 1.建立內網，PC-防火牆-伺服器 2.工作用PC(設備)都被管制，被認證的PC才能連入伺服器 3.封掉所有上傳機制 (雲端硬碟均封鎖) 4.封掉所有外傳機制 5.關閉PC硬體存取設備 ●檔案加密 就算檔案外流，至少檔案有加密，流出去的話，別人也不能讀取 ●防勒索病毒 先做PC防毒軟體的採購，之後會針對伺服器的防護以及備份機制再做方案 ※ 編輯: hooboa1122 (61.230.101.29 臺灣), 09/20/2019 16:49:12