首页   注册   登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
dielianxiang
V2EX  ›  程序员

公司内外网隔离-查资料麻烦-解决方案

  •  
  •   dielianxiang · 203 天前 · 9248 次点击
    这是一个创建于 203 天前的主题,其中的信息可能已经有所发展或是发生改变。

    我司研发不能上外网。主要是技术保密。但是现在很多人反馈查资料太麻烦。所以现在咨询一下各位大神。有没有办法能做到可以方便的查询资料且公司的资料不能传走?

    前期我也调研了一下。大概的思路是:

    1. 先弄一个外网环境电脑( A )。
    2. 公司内网电脑远程到电脑 A。但是需要限制住远程时候不能随意文件传输(内网电脑可以从 A 拷贝。但是内网电脑不能拷贝资料到 A )。

    目前这种方案有没有成熟的软件或者硬件。

    如果正好有 V 友做 请联系我。

    第 1 条附言  ·  202 天前
    1. 首先我对公司的文化很喜欢。不能上网肯定公司是有权衡的。我们是做设备的。技术资料 机械图纸 电气设计 bom 清单 算法 模型等等这些东西都很保密。而且我们的电脑已经是装了加密系统 并且封了所有的 USB 和 hub。这些公司的员工都是可以理解的。辞职是解决问题的办法吗?

    2. 昨天和深信服的人聊了一下,这种情况上云桌面是最合适的。公司其实之前也在考虑这个方案。这个方案唯一的缺点太贵。我司人员 1000 多人。云桌面系统大约每人的费用在 6000 左右。

    3. 我上面提到的方案。也有公司给出的方案,说是已实施 效果还行。我之前在富士通的时候就是这个办法。但是不知道具体是怎么实施的而已。

    4. 目前还在调研有没有其他的好办法。
    118 回复  |  直到 2019-07-16 20:09:31 +08:00
    1  2  
    onionKnight888
        101
    onionKnight888   202 天前
    不能上外网实在是太恶心了,就和我上一家公司一样,usb 接口都给你用玻璃胶封死
    qile1
        102
    qile1   202 天前 via Android
    使用网页版远程桌面,
    每个开发有自己账号,实现内网任意电脑打开远程服务器网页登录后开始使用,
    下载文件保存到自己文件夹,直接通过浏览器下载实现单向下载文件,加数字水印实现防录屏拷贝,控制端 24 小时录屏监控
    还可以配合内部文件加密防拷贝
    AndroidEngineer
        103
    AndroidEngineer   202 天前
    @gavindexu 这没什么,国企,银行,军工很多都这样,关键是看做什么,编制还是外包
    wudidangteng
        104
    wudidangteng   202 天前
    我们是用 nutanix+citrix 虚拟化
    abmin521
        105
    abmin521   202 天前 via Android
    一个个说拍照的 阿里内网的隐形水印 办公室摄像头 了解一下?

    别和我提什么互联网,贵司的报价单敢 open 出来吗?
    wu67
        106
    wu67   202 天前
    嫌 6k 贵就每人两台电脑咯, 一台外网查资料一台内网干活, 这样还是完全意义上的隔绝
    Dye8
        107
    Dye8   202 天前 via Android
    我司每人两台电脑
    Orciorc
        108
    Orciorc   202 天前 via Android
    我觉得,依靠法律途径,可能更能解决问题。
    还有,楼上某些人怎么阴阳怪气的,公司出于保护商业机密的目的,对上网行为加以管理防止泄密有什么奇怪的?非得造火箭才需要保密?
    geying
        109
    geying   202 天前
    涉密不上网 上网不涉密
    两台电脑吧
    skylancer
        110
    skylancer   202 天前
    http 代理+mitm 就行了
    好处是方便审计,不直连也没法直连外网,也满足了查资料的需求,至于 https 要不要拦截和过滤看你们公司需求上 MITM
    FrankHB
        111
    FrankHB   202 天前
    @onionKnight888 这样实施是嫌 IT 成本太低了么……一般的机器,就算是瘦客户机都能直接主板配置成禁用然后密码锁死。难道你们工位周围一点监控都没,还怕你们上班拆机放电?
    DragonQuestMaou
        112
    DragonQuestMaou   202 天前
    没有类似企业安全终端保护不要去开 3389 定制协议也够呛
    你开个 3389 而且给个普通用户的权限
    有洞的话人家分分钟给你提到 system 顺手还拍个马儿继续横着打
    最后再走个 IPCM 或者 DNS 把东西打包带走
    什么?防火墙?不存在的 http 都开了 你还能把 DNS 关上?
    FrankHB
        113
    FrankHB   202 天前
    你这隔离方向有点问题,要审计内网资源还挺麻烦的;公用外网环境乱占用资源搞清谁的锅也麻烦。
    可以考虑内网瘦客户端远程到内网服务器,外网环境机器不限,要跨边界传输资料要申请。(不过也不便宜,主要是适合原本就有集群执行关键任务的单位。)
    (保密需求再强点的还有多级内网和人员物理隔离……)
    kxuanobj
        114
    kxuanobj   202 天前
    @Rustle 还有这种东西?真神奇
    luo1215
        115
    luo1215   202 天前
    云桌面好烦,每天自带电脑查资料。
    Rustle
        116
    Rustle   201 天前
    http://img.bj.wezhan.cn/content/sitefiles/2020446/images/7822978_%E7%94%B5%E5%AD%90%E6%96%87%E6%A1%A32.jpeg

    随便找了一个国内防泄密软件还可以的产品示意图供参考。
    上面有兄台说可以破解,但是我认为这种是成本最低可操作的方式。没有哪一个产品不会被破解的,只是平衡投入产出比而已。肉眼看,脑子记住,默写出来一段文档(仅指人能看、理解的资料)行不行?可以在这个基础上配套管理制度。
    上网行为管理方式台弱,如果不是强需求可以采用。
    云桌面方式有点虎头蛇尾,因为它就不是为了这种场景设计的,采购、使用和维护成本也是巨大。

    无相关利益,仅供参考。

    PS,其实也利益相关,因为东家卖云桌面,但这类项目一般都是后期麻烦不断。不建议因为这个理由上云桌面。
    peng2ex
        117
    peng2ex   199 天前
    我所知道的有 2 种方式的,而且部署简单。
    1 )对外发布服务器上的应用,如浏览器,目前市面有成熟的产品。我知道的一款就是异速联。
    2 )然后就是容器,之前就看到一个容器跑 firefox 的,这个部署一下应该也是可以的。
    danmu17
        118
    danmu17   195 天前
    @DragonQuestMaou 国内太多连带深度包检测的 IDS 这种基本配备都没有,就觉得自己很安全的公司了。
    1  2  
    关于   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   1728 人在线   最高记录 5168   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.3 · 24ms · UTC 16:13 · PVG 00:13 · LAX 08:13 · JFK 11:13
    ♥ Do have faith in what you're doing.