问个既安全又想唔明的问题，恳请大家多多提点。

witchtt

原帖由 "人生五十年" 发表：

P话，还不就是安全域的概念，通过安全域的划分，确定不同区域之间的权限。
少在这里玩概念
这个同志的想法可以作到，通过操作行为的检测，根据行为禁止操作。现在很多公司都在做防水墙，你可以去了解下。事前的禁..........

其实先进的概念就是成功的开始啊，也许再产品在实现上还可能不是很成熟，但是白名单的机制如果技术上成熟的话，会是网络安全上的一个新思路！
（另外，以后不要说P话之类的词好不好，也许的技术认识得比较粗浅，但我们只是讨论技术本身，这样的口气真让人不舒服哦！ ）

scsi-user

哈哈。。这个容易，既然是律师事务所，对安全又看得很重，那就花点银子，另外配一台电脑上网好了！涉密的电脑不上网，做一些安全上的设置就行了！如果是台式机又想省银子，考虑加硬盘隔离卡也是可以的！

yu10101

完全控制，感觉很困难，不过还是要关注一下，学习中ing~~~~~

---------------------------------------
喜欢自由，喜欢这里

yatle

(我觉得你的客户问这个问题比较厉害，说明你也很厉害，他才问你这个问题)

我觉得可以做到，但想用技术来控制，除了content filtering之外，重要的是还要建立苛刻的操作守则，并以严厉的行政手段来执行，比如不准某个部门的员工（非IT部门）私自下载任何软件...又如告诉他们，it's  workstation but not Personal computer

另外，如果员工有心把东西加密以加密的方式传出去，这个单靠技术控制起来比较困难吧..一句话，一定要综合解决。

maqing

禁止http的put动作，就可以禁止通过http协议外发信息，这个我知道防火墙产品里面checkpoint可以做到

禁止使用外部邮件服器，并使用mimesweeper此类软件对outgoing mail server的邮件进行检查

禁止qq,msn,yahoo的端口

这就可以了

楼上的都把事情想得复杂化了

wannahack

[quote]原帖由 "scsi-user"]哈哈。。这个容易，既然是律师事务所，对安全又看得很重，那就花点银子，另外配一台电脑上网好了！涉密的电脑不上网，做一些安全上的设置就行了！如果是台式机又想省银子，考虑加硬盘隔离卡也是可以的！[/quote 发表：


顶破头！

我们玩技术。但是不能一味的。。。

悠闲的猪

可以设专业的工作主机，由专人来负责输入输出。其他的人都不许用电脑不就成了

yu10101

[quote]原帖由 "悠闲的猪"]可以设专业的工作主机，由专人来负责输入输出。其他的人都不许用电脑不就成了[/quote 发表：


恩，很好的办法。太思维定势了

--------------------
菜鸟，学习中

Eg_zm

三分技术,七分管理.

只有有了需求，才会有新的技术..
某些要求,技术实现起来非常困难,而如果用管理方面来实现,却是一件粉肠简单的事情。安全，的确如此。

gyh_dream

现在对于在局域网中的数据保密存在以下三个漏洞：
1、用户可以通过物理介质（U盘、软盘、刻录盘等）将公司的机密数据拷贝出去，给公司造成一定的损失。
2、用户可以通过各种网络通讯将公司的机密数据拷贝出去（MSN、QQ、论坛、EMAIL等）将相关机密数据拷贝出去。
3、用户可以在自己的计算机上安装SNIFF（一种网络监听工具），同时将网卡设置成混杂模式，就能过截取在他所在的局域网络内的一些数据，然后经过分析得到他有用的信息，通过上面两种方式外传数据。

我公司根据局域网络内产生的以上三中情况，为了确保数据的安全性，开发了《数据防盗专家网络版》，使用户既能正常的用电脑上网工作，也同时不能将一些机密数据拷贝出去。这套软件具体的特点如下：
1、集中式的数据管理
    将公司的数据集中的管理到一台或者多台计算机上，我们称之为加解密服务器，并且对这些数据进行加密。
2、完善的授权机制
    为能够访问这些数据用户专门分配一个帐号以及密码，如果该用户通过服务器帐号和密码的认证，则认为进入了授权环境，在授权环境下他能登入服务器，查看相关的机密资料，同时下载这些资料并且修改编辑这些资料。但是在授权环境下该用户不能上网，而且这些资料不能通过任何物理介质和通讯工具拷贝外带，即使强行要拷贝他在非授权环境下也只能看到已经加密的数据，丝毫没有任何价值这些数据。
    当该用户退出授权环境下后他在授权环境下所做的任何文件操作都已经被自动加密了。他同时又能自由上网和使用任何通讯工具。同时，某个用户在授权环境下也不会影响其他用户上网的影响。
3、强大的数据加密手段
    对于数据加密安全性而言，无非从两方面来看，一方面是加密的密码，一方面是密码的算法。我们对服务器上文件的密码采用的是采集环境指纹的方式，即通过对你整个局域网络中硬件的分析产生出一串64位的密码。以确保即使用户将加密文件拷贝出去，离开了您这个网络环境也不能方便的将机密数据破解出来，对文件采用的加密算法是采用了高强度的分组加密算法，对文件进行加密。同时为了防止网络中传输的数据被拦截，在授权环境的通讯模式下用户和服务器的数据通过网络交流的过程中采用了高强度的加密算法，您用SNIFF拦截到的只能是一无所用的加密数据。
4、细致的审计功能
    对所有在加解密服务器上保存的机密数据我们每天都会为他们产生相关的日志，例如、谁对他们进行了打开、读取、删除、保存等一系列操作的相关记录。您可以方便的保存。同时，为了确保不通过打印机将这些数据外带，我们还提供了打印机监控和打印机授权功能。

整套软件分为三个部分授权服务器、加解密服务器以及客户端节点。操作方便，功能强大。不但能支持一个网段同时还能支持多个网段多台加解密服务器的使用。
5、与操作系统无缝嵌接，低资源占有率。
6、有效的帐号防伪技术。

如果你有需要或者想在这方面的技术进行进一步的讨论可以发MAIL：yuhuaguo2004@yahoo.com.cn
我将为您提供软件的相关截图和更详细的功能说明书。