这是一个创建于 1964 天前的主题,其中的信息可能已经有所发展或是发生改变。
我司研发不能上外网。主要是技术保密。但是现在很多人反馈查资料太麻烦。所以现在咨询一下各位大神。有没有办法能做到可以方便的查询资料且公司的资料不能传走?
前期我也调研了一下。大概的思路是:
- 先弄一个外网环境电脑( A )。
- 公司内网电脑远程到电脑 A。但是需要限制住远程时候不能随意文件传输(内网电脑可以从 A 拷贝。但是内网电脑不能拷贝资料到 A )。
目前这种方案有没有成熟的软件或者硬件。
如果正好有 V 友做 请联系我。
第 1 条附言 · 2019-07-09 08:24:10 +08:00
1. 首先我对公司的文化很喜欢。不能上网肯定公司是有权衡的。我们是做设备的。技术资料 机械图纸 电气设计 bom 清单 算法 模型等等这些东西都很保密。而且我们的电脑已经是装了加密系统 并且封了所有的 USB 和 hub。这些公司的员工都是可以理解的。辞职是解决问题的办法吗?
2. 昨天和深信服的人聊了一下,这种情况上云桌面是最合适的。公司其实之前也在考虑这个方案。这个方案唯一的缺点太贵。我司人员 1000 多人。云桌面系统大约每人的费用在 6000 左右。
3. 我上面提到的方案。也有公司给出的方案,说是已实施 效果还行。我之前在富士通的时候就是这个办法。但是不知道具体是怎么实施的而已。
4. 目前还在调研有没有其他的好办法。
2. 昨天和深信服的人聊了一下,这种情况上云桌面是最合适的。公司其实之前也在考虑这个方案。这个方案唯一的缺点太贵。我司人员 1000 多人。云桌面系统大约每人的费用在 6000 左右。
3. 我上面提到的方案。也有公司给出的方案,说是已实施 效果还行。我之前在富士通的时候就是这个办法。但是不知道具体是怎么实施的而已。
4. 目前还在调研有没有其他的好办法。
 |
101
onionKnight888 2019-07-09 12:33:53 +08:00
不能上外网实在是太恶心了,就和我上一家公司一样,usb 接口都给你用玻璃胶封死
|
 |
102
qile1 2019-07-09 12:56:15 +08:00 via Android
使用网页版远程桌面,
每个开发有自己账号,实现内网任意电脑打开远程服务器网页登录后开始使用, 下载文件保存到自己文件夹,直接通过浏览器下载实现单向下载文件,加数字水印实现防录屏拷贝,控制端 24 小时录屏监控 还可以配合内部文件加密防拷贝 |
 |
103
AndroidEngineer 2019-07-09 13:02:43 +08:00
@gavindexu 这没什么,国企,银行,军工很多都这样,关键是看做什么,编制还是外包
|
 |
104
wudidangteng 2019-07-09 13:14:55 +08:00
我们是用 nutanix+citrix 虚拟化
|
 |
105
abmin521 2019-07-09 13:15:51 +08:00 via Android
一个个说拍照的 阿里内网的隐形水印 办公室摄像头 了解一下?
别和我提什么互联网,贵司的报价单敢 open 出来吗? |
 |
106
wu67 2019-07-09 13:35:02 +08:00
嫌 6k 贵就每人两台电脑咯, 一台外网查资料一台内网干活, 这样还是完全意义上的隔绝
|
 |
107
Dye8 2019-07-09 14:46:16 +08:00 via Android
我司每人两台电脑
|
 |
108
Orciorc 2019-07-09 14:58:48 +08:00 via Android
我觉得,依靠法律途径,可能更能解决问题。
还有,楼上某些人怎么阴阳怪气的,公司出于保护商业机密的目的,对上网行为加以管理防止泄密有什么奇怪的?非得造火箭才需要保密? |
 |
109
geying 2019-07-09 15:16:40 +08:00
涉密不上网 上网不涉密
两台电脑吧 |
 |
110
skylancer 2019-07-09 15:19:08 +08:00
http 代理+mitm 就行了
好处是方便审计,不直连也没法直连外网,也满足了查资料的需求,至于 https 要不要拦截和过滤看你们公司需求上 MITM |
 |
111
FrankHB 2019-07-09 15:20:45 +08:00
@onionKnight888 这样实施是嫌 IT 成本太低了么……一般的机器,就算是瘦客户机都能直接主板配置成禁用然后密码锁死。难道你们工位周围一点监控都没,还怕你们上班拆机放电?
|
 |
112
DragonQuestMaou 2019-07-09 15:41:23 +08:00
没有类似企业安全终端保护不要去开 3389 定制协议也够呛
你开个 3389 而且给个普通用户的权限 有洞的话人家分分钟给你提到 system 顺手还拍个马儿继续横着打 最后再走个 IPCM 或者 DNS 把东西打包带走 什么?防火墙?不存在的 http 都开了 你还能把 DNS 关上? |
|
113
FrankHB 2019-07-09 15:41:24 +08:00
你这隔离方向有点问题,要审计内网资源还挺麻烦的;公用外网环境乱占用资源搞清谁的锅也麻烦。
可以考虑内网瘦客户端远程到内网服务器,外网环境机器不限,要跨边界传输资料要申请。(不过也不便宜,主要是适合原本就有集群执行关键任务的单位。) (保密需求再强点的还有多级内网和人员物理隔离……) |
 |
115
luo1215 2019-07-09 18:59:10 +08:00
云桌面好烦,每天自带电脑查资料。
|
 |
116
Rustle 2019-07-10 10:27:08 +08:00
http://img.bj.wezhan.cn/content/sitefiles/2020446/images/7822978_%E7%94%B5%E5%AD%90%E6%96%87%E6%A1%A32.jpeg
随便找了一个国内防泄密软件还可以的产品示意图供参考。 上面有兄台说可以破解,但是我认为这种是成本最低可操作的方式。没有哪一个产品不会被破解的,只是平衡投入产出比而已。肉眼看,脑子记住,默写出来一段文档(仅指人能看、理解的资料)行不行?可以在这个基础上配套管理制度。 上网行为管理方式台弱,如果不是强需求可以采用。 云桌面方式有点虎头蛇尾,因为它就不是为了这种场景设计的,采购、使用和维护成本也是巨大。 无相关利益,仅供参考。 PS,其实也利益相关,因为东家卖云桌面,但这类项目一般都是后期麻烦不断。不建议因为这个理由上云桌面。 |
 |
117
peng2ex 2019-07-12 09:53:57 +08:00
我所知道的有 2 种方式的,而且部署简单。
1 )对外发布服务器上的应用,如浏览器,目前市面有成熟的产品。我知道的一款就是异速联。 2 )然后就是容器,之前就看到一个容器跑 firefox 的,这个部署一下应该也是可以的。 |
 |
118
danmu17 2019-07-16 20:09:31 +08:00
@DragonQuestMaou 国内太多连带深度包检测的 IDS 这种基本配备都没有,就觉得自己很安全的公司了。
|
Select Language