问题描述:
现在主要想解决的问题是:
1、在内网中,文件服务器以及员工电脑上的公司资料及技术文档不能进一步控制和管理。(没办法控制员工是否有意或者无意把公司资料带回家然后导致公司资料泄露。)
2、出差人员笔记本上携带的公司资料和技术文档完全没有控制和管理
3、通过U盘等可移动存储设备作为内网与外网通信的桥梁,不但有可能把病毒带入公司内网,还有可能造成U盘里的数据泄漏在外网。对U盘没有统一的管理。
希望大家提出宝贵意见及解决方案。。。多谢。。
公司内网和外网完全物理隔离! 对U盘也没有严格的管理
我是网管 不要钱的软件是解决不了问题的
为了方面员工工作需要,肯定不能封掉USB。
现在只能上内网安全管理系统了,针对数据加密和U盘管理来着手。。 大家能否介绍几款内网安全管理系统的厂家? 一定要有数据加密和USB外设管理模块的。 谢谢
价格让老板去说。
感谢大家的回答。。 wozeisha 兄弟说的 我也想过。3点都是我考虑过的,也和老板提过。。谢谢你 心有灵犀 呵呵
问题解答:
看了半天我也没明白你要解决什么问题
如果你们真能下力气整改的话,可以参照我下面给你提的几个建议
第一:购买移动介质认证系统,对U盘、移动硬盘等介质进行认证。
第二:参照国家保密网的标准和文件、便携式电脑的管理办法,对你们的内网和文件等方面进行整改。
第三:如果你只是为了防止外网的病毒进入内网,只要在内外网之间设立一台或几台摆渡机,把外网的资料刻成光盘后再导入内网
1在bios里,禁用掉usb设备(只有文件服务器可用)。
2出差人员的笔记本,应该给他的保密数据进行EFS加密。EFS的意义在于,即使文件被复制,其他用户的其他电脑都无法打开。还要禁止证书复制出去。这个要另外想办法。当然还有很多别的解决方案。细节很难讲清楚。员工重装系统也没用,因为重装系统后这个文件就打不开了,永远打不开了。你是网管,你应该有点电脑知识,知道经过RSA,DESX,AES加密的数据没有密码是什么状况。
3员工的USB要禁止,要down数据,就从文件服务器下,只有文件服务器有USB。而文件服务器有专人负责,出问题找他。
我看你还是给钱吧200元怎么样?我可以全部告诉你,并且把原理讲的清清楚楚。对于加密和防止文件外泄,我研究过很多了。
你可以打我电话。事成付款,要违背原则,不给钱,我也没办法(如果你良心过的去的话)。
要是信得过我的话,给我发信息。我把我手机号告诉你(通过发信息的方式)。
U盘这种东西只能公司通过一些方式来强制的.
假如你那真有必要内外网物理隔离....
那么对于资料安全只能采用加密的方式外带,可以去软件公司定制专门的软件,只能看,就像PDF那种类型,用口令控件权限.
病毒带入公司内网这个问题,建议你对交换机采用对端口分配IP的方式,这样可以确定IP的物理地址,发现问题可以尽快解决.
文件服务器可以用等级式的权限管理,这样就算泄露也能控制在一定的范围.
说到头还是得靠公司的制度来解决.这些东西已经不属于网络安全了.
补:
内网安全管理系统??
恕我孤陋寡闻...有这东西么...难道类似网吧管理软件?
那样的东西一上,那员工就没什么方便可说的了..
U盘加密的倒是有很多,用U盘的指纹来做验证口令,用专门的软件才可以读出来.
这个去专门做软件的公司定制就可以的.自己做都可以..
我很想帮你研究下 但是现在没时间啊 哎~~
(没办法控制员工是否有意或者无意把公司资料带回家然后导致公司资料泄露。)
首先就别那么多工作压迫着,虽然是废话,但是很重要。通过修改注册表禁止向U盘中传输数据,然后卸载U口驱动,最后在BIOS中禁用该口。防止修改这些内容的话你可以建立一个专门的管理员账号,上述权限只给这个账号,然后账号设置密码,再想隐藏深点就在cmd下用命令建立隐藏账号,用命令和账户管理器都看不到。还要设置BIOS密码。
出差员工笔记本实在是不好控制,建立管理员账号设置密码,修改注册表禁止向U盘写入数据,再不成就用8楼兄弟的办法,给他的保密数据进行EFS加密,这个是最保险的,我见过华为工程师的电脑,大概就是这样做的。但是通过网络和移动硬盘拷贝数据就没事!这个我也没想到解决办法。
具体的操作或者软件什么的你就要自己上网查了,这个就是我的思路,仅供参考。
网吧也是内网的。
你可以学网吧里面的管理方法。
如果你技术到手的话这个相信你会知道怎么做的。
宽带路由器是内网的大门,负责内网终端共享上网的任务。从用户理解来说,上网效果的优劣,取决于宽带路由器的性能,这好像是顺理成章的事情。
但实际情况并非如此。
现状是一旦接入internet,企业内网的问题就始终没有断过,掉线、卡滞、被盗号、难管理、效率低下的顽症,一直在困扰着用户、网管、以及系统集成商。内网长期稳定、高速的运行已经成了网络应用的一种奢求。问题的关键在于,在复杂的外网环境和无序的上网行为下,内网的问题已经不是单纯的宽带路由器就能解决的了。
藏在网络中大量的木马、黑客病毒攻击是造成内网不稳定的罪魁祸首,无节制的下载、不安全的访问极大影响了全网的高速通畅,因此,宽带路由器必须解决内网的系统安全和管理问题,否则,再高级的路由器也是不合格产品。用户应用的效果是衡量产品品质的标准,无法在中国网络普遍恶劣的环境下运行,产品厂商和代理商与用户的争论和官司是永远打不赢的。
免疫墙路由器就是解决这个问题的良方,它是一种具有内网系统安全和上网行为管理功能的企业级宽带路由器。以免疫墙路由器组建企业内网,可以达到普通路由器难以企及的应用效果,在上网的稳定、高速、安全、可管理能力上,远远超过了普通路由的组网方案。
网络问题必须网络解决,欣全向公司基于这样的技术思路,让免疫墙路由器不仅在宽带接入端起到安全管理的作用,也能够深入到整个内网的每一个终端进行控制和保护。同时,在内网中还有一台监控中心,对整个内网的运行进行统计、显示、控制、告警、策略分发等工作,全网的状态时时刻刻一目了然。这样,网络的稳定性、高速通畅性才能得到根本的保障。
免疫墙路由器是一个功能性、方案性的产品。它由硬件、嵌入式软件、C-S系统软件、专有协议共同组成。与普通路由方案不同,它采用了独特的软、硬结合架构,所有功能的实现都是基于这个完整的平台。
免疫墙路由器的突出性能体现在:
一、更高的稳定性
可靠的硬件设计和铲除网络病毒攻击双管齐下,能够从每一个终端阻断攻击源,使网络病毒无法发作。通过对攻击的最有效防范,免疫墙路由器能够全面保持纯净的网络环境,保证内网网络设备超级稳定地工作。因此,免疫墙路由器的内网稳定性能远高于普通路由器和单纯软件方案
二、高速通畅性
快速NAT算法、分组带宽管理、欣向弹性带宽管理、多WAN技术的应用等功能,保证了高转发效率和带宽管理,整个内网井然有序。免疫墙路由器所具有的高速通畅性能表现令普通路由器望尘莫及。
三、系统安全性
免疫墙路由器关注内网的系统级安全,以解决以太网协议漏洞为主要方向。不同于防火墙、杀毒软件等,它的作用机理目前没有任何方案可以替代。第一个方面在于保持系统健壮,可以防止arp攻击、洪水包、tcp syn、ip分片、ddos等病毒对网络的破坏,避免路由、交换等网络设备因为攻击而系统崩溃,酿成网络灾难。第二个方面在于信息的安全,可以彻底杜绝Arp欺骗,通过路由arp先天免疫和终端看守式绑定技术,保护银行密码、qq、msn、游戏等重要帐号不被arp欺骗盗走。另外,在外网安全防护上,也有一套特殊的有效措施。
四、可管理性
安全和管理密不可分,没有有效的网络管理就不可能保证网络的安全畅通。免疫墙路由器可以对每一个终端的传输和行为进行控制,从网络最末端和最底层协议开始,全面把控网络运行的方方面面。它包括:
·分组管理
可对每一个IP进行时间段、流量、控制和报警策略进行精细化控制,约束某个分组或终端按指定的时间段、以指定的最大流量上网
·身份控制
免疫墙模块可以自动安装到每一台终端,对没有安装免疫墙的终端进行上网控制,保证全面的网络管理,严密防护没有死角
·集中监控,网络状况时时刻刻一目了然
安装在服务器上的监控中心,可以对每一个IP的内外网流量、攻击发生、防护策略等信息进行实时监控。通过监控中心,可以瞬间调整并分发控制策略,不必抓包查障,全网尽在掌握。
·行为管理
顺应企业网络管理规章制度,允许封锁QQ、MSN、网络银行、股票买卖、游戏等非正当业务行为,同时进行监控审计。
除此之外,免疫墙路由器具备大多数普通路由拥有的功能,DMZ、VPN、VOIP穿透、VLAN、DHCP等等,甚至包括MAC地址克隆、网络尖兵下连接等特殊功能。
为了保证免疫墙路由器组网方案的实施,每一台终端都被强制约束为必须具备免疫墙身份。所以,简易化、人性化安装在免疫墙路由器中做了充分的考虑。一键下载安装,对每一个用户都是轻而易举的。
免疫墙路由器是欣全向公司高度创新的科技突破。它具备全面独特的功能,前所未有地解决了目前企业内网普遍存在的棘手问题,为用户和网络建设者带来了不可低估的价值。预计不远的将来,免疫墙路由器将全面替代单纯的普通路由器,成为企业网络的主流核心产品。以多WAN和带机能力区分,“欣向”全系列免疫墙路由器将为千千万万中国企业带来新一代的组网革命。
上海旅游网