主题讨论：防止关键数据泄露，ACL访问控制列表能控制员工上网行为？

flb_2001

原帖由 ruochen 于 2008-9-3 15:56 发表
其实很多接口在硬件层还是能屏蔽掉的

比如在bios中屏蔽usb接口的使用==

关键你屏蔽了usb接口，要使用的怎么办？（鼠标等），关键是能使用，能监控，能防止泄露。

flb_2001

对于client数量少的还可以，但多的话，就要浪费一笔钱了，而且现在的BIOS大家都会修改，密码也是会破解的。

flb_2001

先畅所欲言吧,然后针对性的总结,你看呢

flb_2001

原帖由 ruochen 于 2008-9-5 14:02 发表



但是破解是需要一些前提条件的
你将前提条件也给他干掉就好了
比如:

bios加密码
机箱上锁
没有软驱
没有usb接口

最后比较厉害的一些人就靠行政管理了

还有就是没有光驱

flb_2001

原帖由 gergro 于 2008-9-8 08:34 发表
有这样的加密软件，必须联在局域网上和服务器保持联系才能打开文件，没有服务器，就算你文件拷走了也打不开的，还有就是把一般机器的各种接口都破坏掉，留一台专人管理

那以后要用到怎么办啊?

flb_2001

也就是说,你的整体方案是什么?不能禁用后对以后的工作造成麻烦

flb_2001

总结一下ruochen的建议:
首先:
bios加密码
机箱上锁
没有软驱
禁止usb接口
没有光驱
使用上面的设备需要申请
分析:1、在bios中将usb接口禁用，所以要bios加密码
     2、为了防止员工打开机箱清bios密码，所以机箱上锁
     3、没有软驱和光驱，是为了防止通过软盘或光盘中的软件来破解bios密码
问题：有没有在windows下直接破解bios密码的软件呢？有的话还要考虑什么安全措施？如用户权限等

flb_2001

原帖由 shadywho 于 2008-9-12 17:21 发表
Think outside the box.

我的行业比较特殊，或许我的不同意见可以给大家的一点启发。有些人在大公司里工作，有时要“泄露”一些信息。虽然那些公司的IT做得很不错，邮件监控，禁用MSN、QQ，禁用USB，一切都好 ...

呵呵，这个当然也是最难的，有的公司会这样做：
不允许使用手机，在上班时间（象证券公司等）
或者使用公司准备的手机。

flb_2001

原帖由 ideaz 于 2008-9-13 12:47 发表

运行debug
-o 70 2E
-o 71 0
-q

几个字符就能把BIOS设置搞定，建议找主板厂家定制不带USB接口的^_^

这个是有个前提的,在能启动进入DOS状态下,运行debug.
如果前面提到的光驱、软驱、USB都禁用，机箱上锁的话，估计不会给你这么轻松地去运行DEBUG命令了。

flb_2001

原帖由 ztsd 于 2008-9-17 23:20 发表
呵呵，我现在是这样禁的先在BIOS关掉，鼠标统一PS/2键盘也是，在机箱里面把前面接USB的线拔掉，需要拷贝资料的到专人电脑上拷贝，还可以禁掉驱动DLL，如果想更彻底直接吧USB干掉

你将USB线全拔掉,然后加个锁就好了,反正要拷贝的话到专人电脑上拷贝的.这样可用性比较差.
如果用那种USB管理软件的话可以做到各种权限的管理,可用性提高了