主题讨论：防止关键数据泄露，ACL访问控制列表能控制员工上网行为？

flb_2001

原帖由 shadywho 于 2008-9-12 17:21 发表
Think outside the box.

我的行业比较特殊，或许我的不同意见可以给大家的一点启发。有些人在大公司里工作，有时要“泄露”一些信息。虽然那些公司的IT做得很不错，邮件监控，禁用MSN、QQ，禁用USB，一切都好 ...

呵呵，这个当然也是最难的，有的公司会这样做：
不允许使用手机，在上班时间（象证券公司等）
或者使用公司准备的手机。

ideaz

原帖由 ruochen 于 2008-9-3 15:56 发表
其实很多接口在硬件层还是能屏蔽掉的

比如在bios中屏蔽usb接口的使用==

运行debug
-o 70 2E
-o 71 0
-q

几个字符就能把BIOS设置搞定，建议找主板厂家定制不带USB接口的^_^

flb_2001

原帖由 ideaz 于 2008-9-13 12:47 发表

运行debug
-o 70 2E
-o 71 0
-q

几个字符就能把BIOS设置搞定，建议找主板厂家定制不带USB接口的^_^

这个是有个前提的,在能启动进入DOS状态下,运行debug.
如果前面提到的光驱、软驱、USB都禁用，机箱上锁的话，估计不会给你这么轻松地去运行DEBUG命令了。

qliu00

4、数据存储如何安全管理？
计算机USB是计算机信息泄漏发生的一个重要途径，可以很轻松地通过USB存储设备将计算机本机或者网络内部的信息非法复制出去，造成信息安全威胁。USB锁能够有效地控制计算机的各种USB设备，防止计算机信息被非法拷贝。
可以试用一些软件如：巨城USB锁或USB安全存储专家，在读写方式下拉列表中选择“只读”项就可以让所有插入的USB存储设备只能读出来不能写进去，同样能起到避免数据泄漏的作用。两种控制端口的方法不是很好，因为就连我们自己的USB存储设备也不能向电脑中拷取数据了。那就用下面的控制办法吧，即灵活又方便！

qliu00

原帖由 liuxianyang 于 2008-8-28 11:26 发表
安全U盘或许可以解决

安全U盘只能防止U盘被写入，而且一般都由人为控制，没用的，

而且不可能每个人规定只能用那个U盘吧，U盘现在小，放在钥匙扣上都行

ztsd

呵呵，我现在是这样禁的先在BIOS关掉，鼠标统一PS/2键盘也是，在机箱里面把前面接USB的线拔掉，需要拷贝资料的到专人电脑上拷贝，还可以禁掉驱动DLL，如果想更彻底直接吧USB干掉

flb_2001

原帖由 ztsd 于 2008-9-17 23:20 发表
呵呵，我现在是这样禁的先在BIOS关掉，鼠标统一PS/2键盘也是，在机箱里面把前面接USB的线拔掉，需要拷贝资料的到专人电脑上拷贝，还可以禁掉驱动DLL，如果想更彻底直接吧USB干掉

你将USB线全拔掉,然后加个锁就好了,反正要拷贝的话到专人电脑上拷贝的.这样可用性比较差.
如果用那种USB管理软件的话可以做到各种权限的管理,可用性提高了

flb_2001

推荐一个方案，自己想的：
管理数据文件的话，通过文件管理系统来实现，公司重要数据文件放在文件管理系统所在的服务器（我曾面试的一家外企是这样做的，他们只记录访问文件的日志并分析，然后每天报告）。
这种系统需要考虑的安全功能有：
1、分别添加公司、部门、工作组权限，并可设置完全 、添加 、只读权限。
2、文件转发功能，可将多个文件下载地址通过邮件或短信发送给他人下载，并可设置下载次数及天数。
3、文件提取功能，可将文件下载地址发送给他人。
4、他人上传和编辑共享中的文件时记录上传用户或编辑用户，并可以查看。
5、共享目录及共享文件查看及管理，未共享的文件不会列出，充份保护用户隐私。
6、注册审核、邮件验证、防重复IP注册、时长注册功能。
7、来访IP限制设定和管理员可登录的IP设定。
8、可开启前台用户单点登录限制，同一时间只允许一台电脑登录同一帐号。
9、后台管理员可进行管理权限划分并记录操作日志并可导出日志。
10、可以将每个用户绑定IP，只有指定的IP可以登录空间。
11、可以随时查看前台用户的各种文件操作记录，实现实时监督。
12、允许/禁止的上传扩展名设定，编辑、查看、播放的扩展名设定功能。
以上只是部分安全功能，其实还有一些为了使用方便的功能：
1、在线编辑Word，Excel，PowerPoint文件，编辑时自动锁定，防止编辑冲突。
2、类似Windows中的图片缩略图预览模式，方便查看图片。
3、强大的在线图片编辑功能(缩放，旋转，水印，裁剪)。
4、文件转发功能，可将系统内文件作为邮件附件直接发送到他人邮箱中。
5、支持大文件、多文件、断点续传、进度显示上传。
6、可以按名称、时间、大小、类型、注释、子目录等元素组合搜索文件。
当然这个方案会有疏忽性和延时性：疏忽的话，可能哪一天管理员没有检查访问记录并分析行为的情况下；延时性是指不可能在泄露之前防止。
那么针对上面的问题，引入文件加密系统：就是将公司的文件进行加密，一旦拿出去的话，没有加密系统的解密是不能查看文件内容的。

chinaciscoccie

原帖由 jeffering 于 2008-8-28 18:57 发表



听华为的同学说， 华为的笔记本，只要外接过USB优盘，电脑就会有记录，并且会被网管查到 数据的传输记录，

有这么利害？

他们的笔记本我曾经见过。貌似军用的外形，HP制造，好像特殊定制的。