Chinaunix

标题: 问个既安全又想唔明的问题，恳请大家多多提点。 [打印本页]

---

作者: zymh_zy    时间: 2004-11-01 10:03
标题: 问个既安全又想唔明的问题，恳请大家多多提点。
这天客户问我，有什么办法可以令客户电脑只可以上网，但就不可以允许任何资料从客户电脑泄露出去，包括，不可以通过MSN，QQ，ICQ等即时通讯方式，也不可以通过EMAIL，更加不可以在一些论坛、社区，BBS，聊天室通过复制、粘贴功能将资料传播泄露出去。我第一反应就说封端口，只开放80端口，但客户说还是不行，还是会存在信息外泄的问题，总之就是只可以上网浏览，就不可以泄露资料出去，客户是一间律师事务所，对信息安全看得很重，不允许入侵不在说，也不允许信息外泄，但我想来想去都想不通，既然你允许上网，就表示跟外界有了联络与通信，又怎可以做到丝毫信息不外泄呢？除非就是直接拔掉网线。俺真的想不通，大家有啥好办法，好思路，尽管说出来，俺谢了。

---

作者: 小虎当家    时间: 2004-11-01 15:53
标题: 问个既安全又想唔明的问题，恳请大家多多提点。
把服务器设为域，给客户机设权限。

---

作者: fwizard    时间: 2004-11-01 17:09
标题: 问个既安全又想唔明的问题，恳请大家多多提点。
这个能做到？？学习ing

---

作者: witchtt    时间: 2004-11-02 11:16
标题: 问个既安全又想唔明的问题，恳请大家多多提点。

实际上，传统的安全产品已经不能完全满足用户对信息安全的要求了，
在这种背景下，我国产生的网络隔离产品，
它实现了网络隔离，同时，又为用户进行安全的信息交换提供了可能。

看看信标安全隔离系统就能实现。

---

作者: sexpanda    时间: 2004-11-02 15:00
标题: 问个既安全又想唔明的问题，恳请大家多多提点。
信标信息隔离系统是么东西~~~从来没听说过，好用吗？？？

---

作者: witchtt    时间: 2004-11-02 15:35
标题: 问个既安全又想唔明的问题，恳请大家多多提点。
www.netepoch.com
信标安全隔离与信息交换系统
由内网控制端 、外网控制端与管理控制台三个物理部件组成：系统通过议转换的模式在网络中不同安全区域之间建立了彻底隔离TCP/IP协议的安全通道，同时对网间信息交易的客体、内容、过程实施了严格的用户认证、解码分析、信息重构等一系列安全防护机制，在此基础上构建完成了一整套有效防范未知风险的安全解决方案。

---

作者: onebuyone    时间: 2004-11-08 10:52
标题: 问个既安全又想唔明的问题，恳请大家多多提点。
这样的要求我认为几乎不可能实现！除非断开网络连接，不然，用户总可以找到方法把数据传出去。当然了，如果用户的水平一般可以采用放水墙、安全隔离设备等实现基本的防止信息泄露！

---

作者: 人生五十年    时间: 2004-11-08 11:50
标题: 问个既安全又想唔明的问题，恳请大家多多提点。

原帖由 "witchtt" 发表：
www.netepoch.com
信标安全隔离与信息交换系统
由内网控制端 、外网控制端与管理控制台三个物理部件组成：系统通过议转换的模式在网络中不同安全区域之间建立了彻底隔离TCP/IP协议的安全通道，同时对网间信息交易?.........

P话，还不就是安全域的概念，通过安全域的划分，确定不同区域之间的权限。
少在这里玩概念
这个同志的想法可以作到，通过操作行为的检测，根据行为禁止操作。现在很多公司都在做防水墙，你可以去了解下。事前的禁止很难完全做到，可以做到事后的监控和追究。

---

作者: dddkkk213    时间: 2004-11-08 13:20
标题: 问个既安全又想唔明的问题，恳请大家多多提点。
现在有些防火墙，支持信息过滤
我只用过关键字过滤，比如可以过滤“BBS”那么，一般就上不了论坛了

---

作者: godfather1215    时间: 2004-11-08 15:37
标题: 问个既安全又想唔明的问题，恳请大家多多提点。
我同意楼上的看法，目前只能进行监控，作到预前防范很难

---

作者: witchtt    时间: 2004-11-08 17:04
标题: 问个既安全又想唔明的问题，恳请大家多多提点。

原帖由 "人生五十年" 发表：

P话，还不就是安全域的概念，通过安全域的划分，确定不同区域之间的权限。
少在这里玩概念
这个同志的想法可以作到，通过操作行为的检测，根据行为禁止操作。现在很多公司都在做防水墙，你可以去了解下。事前的禁..........

其实先进的概念就是成功的开始啊，也许再产品在实现上还可能不是很成熟，但是白名单的机制如果技术上成熟的话，会是网络安全上的一个新思路！
（另外，以后不要说P话之类的词好不好，也许的技术认识得比较粗浅，但我们只是讨论技术本身，这样的口气真让人不舒服哦！ ）

---

作者: scsi-user    时间: 2004-11-09 20:32
标题: 问个既安全又想唔明的问题，恳请大家多多提点。
哈哈。。这个容易，既然是律师事务所，对安全又看得很重，那就花点银子，另外配一台电脑上网好了！涉密的电脑不上网，做一些安全上的设置就行了！如果是台式机又想省银子，考虑加硬盘隔离卡也是可以的！

---

作者: yu10101    时间: 2004-11-09 21:32
标题: 问个既安全又想唔明的问题，恳请大家多多提点。
完全控制，感觉很困难，不过还是要关注一下，学习中ing~~~~~

---------------------------------------
喜欢自由，喜欢这里

---

作者: yatle    时间: 2004-11-09 23:20
标题: 问个既安全又想唔明的问题，恳请大家多多提点。
(我觉得你的客户问这个问题比较厉害，说明你也很厉害，他才问你这个问题)

我觉得可以做到，但想用技术来控制，除了content filtering之外，重要的是还要建立苛刻的操作守则，并以严厉的行政手段来执行，比如不准某个部门的员工（非IT部门）私自下载任何软件...又如告诉他们，it's  workstation but not Personal computer

另外，如果员工有心把东西加密以加密的方式传出去，这个单靠技术控制起来比较困难吧..一句话，一定要综合解决。

---

作者: maqing    时间: 2004-11-10 12:22
标题: 问个既安全又想唔明的问题，恳请大家多多提点。
禁止http的put动作，就可以禁止通过http协议外发信息，这个我知道防火墙产品里面checkpoint可以做到

禁止使用外部邮件服器，并使用mimesweeper此类软件对outgoing mail server的邮件进行检查

禁止qq,msn,yahoo的端口

这就可以了

楼上的都把事情想得复杂化了

---

作者: wannahack    时间: 2004-11-10 23:47
标题: 问个既安全又想唔明的问题，恳请大家多多提点。
[quote]原帖由 "scsi-user"]哈哈。。这个容易，既然是律师事务所，对安全又看得很重，那就花点银子，另外配一台电脑上网好了！涉密的电脑不上网，做一些安全上的设置就行了！如果是台式机又想省银子，考虑加硬盘隔离卡也是可以的！[/quote 发表：


顶破头！

我们玩技术。但是不能一味的。。。

---

作者: 悠闲的猪    时间: 2004-11-11 11:36
标题: 问个既安全又想唔明的问题，恳请大家多多提点。
可以设专业的工作主机，由专人来负责输入输出。其他的人都不许用电脑不就成了

---

作者: yu10101    时间: 2004-11-12 14:02
标题: 问个既安全又想唔明的问题，恳请大家多多提点。
[quote]原帖由 "悠闲的猪"]可以设专业的工作主机，由专人来负责输入输出。其他的人都不许用电脑不就成了[/quote 发表：


恩，很好的办法。太思维定势了

--------------------
菜鸟，学习中

---

作者: Eg_zm    时间: 2004-11-12 17:20
标题: 问个既安全又想唔明的问题，恳请大家多多提点。
三分技术,七分管理.

只有有了需求，才会有新的技术..
某些要求,技术实现起来非常困难,而如果用管理方面来实现,却是一件粉肠简单的事情。安全，的确如此。

---

作者: gyh_dream    时间: 2004-11-14 12:13
标题: 问个既安全又想唔明的问题，恳请大家多多提点。
现在对于在局域网中的数据保密存在以下三个漏洞：
1、用户可以通过物理介质（U盘、软盘、刻录盘等）将公司的机密数据拷贝出去，给公司造成一定的损失。
2、用户可以通过各种网络通讯将公司的机密数据拷贝出去（MSN、QQ、论坛、EMAIL等）将相关机密数据拷贝出去。
3、用户可以在自己的计算机上安装SNIFF（一种网络监听工具），同时将网卡设置成混杂模式，就能过截取在他所在的局域网络内的一些数据，然后经过分析得到他有用的信息，通过上面两种方式外传数据。

我公司根据局域网络内产生的以上三中情况，为了确保数据的安全性，开发了《数据防盗专家网络版》，使用户既能正常的用电脑上网工作，也同时不能将一些机密数据拷贝出去。这套软件具体的特点如下：
1、集中式的数据管理
    将公司的数据集中的管理到一台或者多台计算机上，我们称之为加解密服务器，并且对这些数据进行加密。
2、完善的授权机制
    为能够访问这些数据用户专门分配一个帐号以及密码，如果该用户通过服务器帐号和密码的认证，则认为进入了授权环境，在授权环境下他能登入服务器，查看相关的机密资料，同时下载这些资料并且修改编辑这些资料。但是在授权环境下该用户不能上网，而且这些资料不能通过任何物理介质和通讯工具拷贝外带，即使强行要拷贝他在非授权环境下也只能看到已经加密的数据，丝毫没有任何价值这些数据。
    当该用户退出授权环境下后他在授权环境下所做的任何文件操作都已经被自动加密了。他同时又能自由上网和使用任何通讯工具。同时，某个用户在授权环境下也不会影响其他用户上网的影响。
3、强大的数据加密手段
    对于数据加密安全性而言，无非从两方面来看，一方面是加密的密码，一方面是密码的算法。我们对服务器上文件的密码采用的是采集环境指纹的方式，即通过对你整个局域网络中硬件的分析产生出一串64位的密码。以确保即使用户将加密文件拷贝出去，离开了您这个网络环境也不能方便的将机密数据破解出来，对文件采用的加密算法是采用了高强度的分组加密算法，对文件进行加密。同时为了防止网络中传输的数据被拦截，在授权环境的通讯模式下用户和服务器的数据通过网络交流的过程中采用了高强度的加密算法，您用SNIFF拦截到的只能是一无所用的加密数据。
4、细致的审计功能
    对所有在加解密服务器上保存的机密数据我们每天都会为他们产生相关的日志，例如、谁对他们进行了打开、读取、删除、保存等一系列操作的相关记录。您可以方便的保存。同时，为了确保不通过打印机将这些数据外带，我们还提供了打印机监控和打印机授权功能。

整套软件分为三个部分授权服务器、加解密服务器以及客户端节点。操作方便，功能强大。不但能支持一个网段同时还能支持多个网段多台加解密服务器的使用。
5、与操作系统无缝嵌接，低资源占有率。
6、有效的帐号防伪技术。

如果你有需要或者想在这方面的技术进行进一步的讨论可以发MAIL：yuhuaguo2004@yahoo.com.cn
我将为您提供软件的相关截图和更详细的功能说明书。

---

作者: unixyeah    时间: 2004-12-09 09:55
标题: 问个既安全又想唔明的问题，恳请大家多多提点。
限制出流量

---

作者: crystalos    时间: 2004-12-09 12:05
标题: 问个既安全又想唔明的问题，恳请大家多多提点。
只有相对安全，没有绝对的安全。如果有心泄漏资料，你再怎么搞也是没用的。
只能是花心思用在监控上。

---

作者: chenjiakai    时间: 2004-12-09 16:14
标题: 问个既安全又想唔明的问题，恳请大家多多提点。

原帖由 "gyh_dream" 发表：
现在对于在局域网中的数据保密存在以下三个漏洞：
1、用户可以通过物理介质（U盘、软盘、刻录盘等）将公司的机密数据拷贝出去，给公司造成一定的损失。
2、用户可以通过各种网络通讯将公司的机密数据拷贝出去（MSN..........

这个思路我觉得不错，与其控制出口，不如将重要信息保护起来。

---

欢迎光临 Chinaunix (http://bbs.chinaunix.net/)

Powered by Discuz! X3.2