как запретить все файлообменники
Никак. Либо всё закрывать, либо останется "дыра".
про 100% закрытие, конечно речи не идет, но закрыть просят по максимуму.черные списки не работают, работают только белые.
Привет-привет!
Если у айтишника определён список документов, которые являются конфиденциальными - Websense тебе в помощь.
Создаются цифровые отпечатки документов, которые содержат конфиденциальную информацию и для них создаются специальные правила. Ни по почте, ни по скайпу, ни на файлообменник выложить ты их уже не сможешь. Даже скриншот не снимешь.
Если у айтишника определён список документов, которые являются конфиденциальными - Websense тебе в помощь.
Создаются цифровые отпечатки документов, которые содержат конфиденциальную информацию и для них создаются специальные правила. Ни по почте, ни по скайпу, ни на файлообменник выложить ты их уже не сможешь. Даже скриншот не снимешь.
Даже скриншот не снимешь.смартфоны передают привет
смартфоны передают приветну тут ведь айтишная задача перед айтишником стоит
Какие есть мысли по этому поводу?Пример такого решения: сотрудники работают на тонких клиентах, работают по RDP с документами на одном сервере, с которого нет доступа в инет и нельзя пользоваться флешками и пр. В инет выходят с другого сервера, с которого нет доступа к корпоративным документам.
Эти 2 сервера находятся в разных VLAN (тонкие клиенты тоже в отдельном VLAN), доступ между которыми регулируется фаерволом.
Через прокси squid ( или другие ) можно запретить обращаться кСотрудник коннектится к своему домашнему компу и сливает все туда. Так что запрещать отдельные обменники это иллюзия безопасности.
заранее определенному списку файлообменников, dropbox, ubuntu one,, yandex disk и т.д.
Но, как сказано вышен, э то не решает проблему с новыми ещё неизвестными файлообменниками.
Да вообще запрещать что-то - это иллюзия безопасности
Пример такого решения: сотрудники работают на тонких клиентах, работают по RDP с документами на одном сервере, с которого нет доступа в инет и нельзя пользоваться флешками и пр. В инет выходят с другого сервера, с которого нет доступа к корпоративным документам.Телефоном-то всё равно можно сфотографировать.
Эти 2 сервера находятся в разных VLAN (тонкие клиенты тоже в отдельном VLAN), доступ между которыми регулируется фаерволом.
Зайдите лучше с другой стороны. Подписывают ли сотрудники соглашение о неразглашении? Описаны ли в нем минимальные последствия нарушения (автоматом увольнение без выходного пособия, иск по ущербу в суд), достаточно ли внятно и явно это сделано в документе?
Проводятся ли тренинги среди сотрудников по практике неразглашения?
Проводятся ли тренинги среди сотрудников по практике неразглашения?
когда и кого это останавливало?
И другая проблема в этой задаче: как "все это безобразие
запретить" , но чтобы обычные сайты при этом продолжали нормально работать,
и сотрудники могли пользоваться выкладыванием новостей в корпоративной группе вконтакте и т.п.
Это безобразие прекращается совершенно с другой стороны
Если в подвале полно крыс и они постоянно перегрызают провода, то мб стоит не пытаться менять провода и запихивать их в трубы, чтоб не грызли?
Начать надо с травли крыс!
В твоем случае следует навести порядок с доступом к информации и этого будет достаточно. В любом случае стереть память человеку ты не сможешь и нужную информацию он и на словах может слить. Твой босс не задавался вопросом: Почему рядовые сотрудники в состоянии слить конфиденциальную информацию? И уже не важно каким образом они ее будут сливать.
После наведения порядка с доступом к информации в худшем случае останется небольшой круг людей, железа, файлов, которые стоит контролировать (и это еще большой вопрос... останется ли? =))).
А файлообменники это скорее вопрос трафика, да всякой заразы которую могут притащить в сеть
Можно разрешить методы PUT и POST только на определённый белый список.
> Можно разрешить методы PUT и POST только на определённый белый список.
Могу рассказать, как передавать данные через метод GET.
---
"Vyroba umelych lidi, slecno, je tovarni tajemstvi."
Могу рассказать, как передавать данные через метод GET.
---
"Vyroba umelych lidi, slecno, je tovarni tajemstvi."
CONNECT вроде оставляют, зачем с гетом париться?
Работает там, где люди были достаточно умны, чтобы осознать, что вышеозначенные технические методы не останавливают.
да народ вообще не понимает термин "конфидициальность", если чего-то не пролазит через почту - тут же находит "простой" вариант - заливает на файлообменник и посылает ссылку. Тут вопрос не в злонамеренности, а в запредельной дурости (личный файлосервер с ней, кстати, не совместим).И на попытки что-то объяснить реакция "зачем, и так всё работает".
С политикой смены паролей та же самая фишка. Зачем вообще пароли? А давайте 123, ой умная софтина не даёт поставить - ну на держи "zxvasf*(8098_adf", только он обязательно будет лежать на бумажке под клавиатурой.
Имхо дурость пользователей ничем не лечится, но не нанимать идиотов на работу как-то не получается, ибо интеллектуальное большинство
С политикой смены паролей та же самая фишка. Зачем вообще пароли? А давайте 123, ой умная софтина не даёт поставить - ну на держи "zxvasf*(8098_adf", только он обязательно будет лежать на бумажке под клавиатурой.
Имхо дурость пользователей ничем не лечится, но не нанимать идиотов на работу как-то не получается, ибо интеллектуальное большинство
Ну тут вообще тред нужно было начать с вопроса, с чем бороться-то нужно. А вариантов несколько:
1. Со специально обученными шпионами, которых внедрили конкуренты.
2. С разгильдяйством сотрудников наподобие описанного Айвенго.
3. С ветряными мельницами. Т.е. ни с чем бороться не нужно, а безопасность нужно скорее изобразить, чем обеспечить, не мешая при этом сотрудникам работать.
Большинство как-то на первом сценарии сосредоточилось, а он наименее вероятный на мой взгляд.
1. Со специально обученными шпионами, которых внедрили конкуренты.
2. С разгильдяйством сотрудников наподобие описанного Айвенго.
3. С ветряными мельницами. Т.е. ни с чем бороться не нужно, а безопасность нужно скорее изобразить, чем обеспечить, не мешая при этом сотрудникам работать.
Большинство как-то на первом сценарии сосредоточилось, а он наименее вероятный на мой взгляд.
Модель угроз, как учат нас спецслужбы.
кстати, в моём случае можно попробовать сделать прозрачный сквид и резать все запросы больше пяти метров. Или не резать, а логировать, и потом забанить целевые сайты или безалаберных сотрудников в зависимости от степени хардкорности предприятия
Да , в итоге решили, что служба информационной безопасности
будет контролировать метод CONNECT своими инструментами,
и по-прежнему будут присылать мне список свежвыявленных файлообменников,
которые нужно заблокировать.
а я только ограничу максимальный размер тела запроса.
Действительно, раз отдел безопасников создали,
то это их головная боль.
будет контролировать метод CONNECT своими инструментами,
и по-прежнему будут присылать мне список свежвыявленных файлообменников,
которые нужно заблокировать.
а я только ограничу максимальный размер тела запроса.
Действительно, раз отдел безопасников создали,
то это их головная боль.
есть ещё такая маза. Вместо бана файлообменников подменять содержимое закачиваемой информации. Совать туда альбомы чёрного властелина. Это поможет наглядно показать одно из направлений угроз хранения конфиденциальной информации на серверах третьих лиц.
С этим аккуратнее, подменять некоторые данные чревато уголовкой по 272 статье.
за файрволл и за сквид, я так понимаю теперь тоже статья?
тут надо предварительно внутренним приказом запретить пользоваться файлообменниками.
Запрещать ты можешь сколько угодно, пока люди не поймут,
почему так делать не надо, ты можешь хоть узапрещаться.
---
Vyroba umelych lidi, slecno, je tovarni tajemstvi.
почему так делать не надо, ты можешь хоть узапрещаться.
---
Vyroba umelych lidi, slecno, je tovarni tajemstvi.
а чтобы поняли, я уже предлагал лепить вместо файлов чёрно властелина
можно не чв, а скан соответствующего распоряжения, можно с подставленными ФИО юзера и упоминанием, что "incident will be reported"
Оставить комментарий
Barin7109
Привет всем!тут вопрос возник интересный на работе.
Интернет-технологии развиваются бешенными темпами.
Собственным облаком и файлообменником на нем уже мало кого удивишь.
Вопрос вот в в чем.
Как айтишнику неайтишной компании гарантировать директору,
что конфиденциальная информация не будет выложена через
файлообменники? Гарантировать хотя бы на 95%
Через прокси squid ( или другие ) можно запретить обращаться к
заранее определенному списку файлообменников, dropbox, ubuntu one,, yandex disk и т.д.
Но, как сказано вышен, э то не решает проблему с новыми ещё неизвестными файлообменниками.
И другая проблема в этой задаче: как "все это безобразие
запретить" , но чтобы обычные сайты при этом продолжали нормально работать,
и сотрудники могли пользоваться выкладыванием новостей в корпоративной группе вконтакте и т.п.
Какие есть мысли по этому поводу?
про 100% закрытие, конечно речи не идет,
но закрыть просят по максимуму.