V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
dielianxiang
V2EX  ›  程序员

公司内外网隔离-查资料麻烦-解决方案

  •  
  •   dielianxiang · 2019-07-08 14:32:41 +08:00 · 14852 次点击
    这是一个创建于 1968 天前的主题,其中的信息可能已经有所发展或是发生改变。

    我司研发不能上外网。主要是技术保密。但是现在很多人反馈查资料太麻烦。所以现在咨询一下各位大神。有没有办法能做到可以方便的查询资料且公司的资料不能传走?

    前期我也调研了一下。大概的思路是:

    1. 先弄一个外网环境电脑( A )。
    2. 公司内网电脑远程到电脑 A。但是需要限制住远程时候不能随意文件传输(内网电脑可以从 A 拷贝。但是内网电脑不能拷贝资料到 A )。

    目前这种方案有没有成熟的软件或者硬件。

    如果正好有 V 友做 请联系我。

    第 1 条附言  ·  2019-07-09 08:24:10 +08:00
    1. 首先我对公司的文化很喜欢。不能上网肯定公司是有权衡的。我们是做设备的。技术资料 机械图纸 电气设计 bom 清单 算法 模型等等这些东西都很保密。而且我们的电脑已经是装了加密系统 并且封了所有的 USB 和 hub。这些公司的员工都是可以理解的。辞职是解决问题的办法吗?

    2. 昨天和深信服的人聊了一下,这种情况上云桌面是最合适的。公司其实之前也在考虑这个方案。这个方案唯一的缺点太贵。我司人员 1000 多人。云桌面系统大约每人的费用在 6000 左右。

    3. 我上面提到的方案。也有公司给出的方案,说是已实施 效果还行。我之前在富士通的时候就是这个办法。但是不知道具体是怎么实施的而已。

    4. 目前还在调研有没有其他的好办法。
    118 条回复    2019-07-16 20:09:31 +08:00
    1  2  
    onionKnight888
        101
    onionKnight888  
       2019-07-09 12:33:53 +08:00
    不能上外网实在是太恶心了,就和我上一家公司一样,usb 接口都给你用玻璃胶封死
    qile1
        102
    qile1  
       2019-07-09 12:56:15 +08:00 via Android
    使用网页版远程桌面,
    每个开发有自己账号,实现内网任意电脑打开远程服务器网页登录后开始使用,
    下载文件保存到自己文件夹,直接通过浏览器下载实现单向下载文件,加数字水印实现防录屏拷贝,控制端 24 小时录屏监控
    还可以配合内部文件加密防拷贝
    AndroidEngineer
        103
    AndroidEngineer  
       2019-07-09 13:02:43 +08:00
    @gavindexu 这没什么,国企,银行,军工很多都这样,关键是看做什么,编制还是外包
    wudidangteng
        104
    wudidangteng  
       2019-07-09 13:14:55 +08:00
    我们是用 nutanix+citrix 虚拟化
    abmin521
        105
    abmin521  
       2019-07-09 13:15:51 +08:00 via Android
    一个个说拍照的 阿里内网的隐形水印 办公室摄像头 了解一下?

    别和我提什么互联网,贵司的报价单敢 open 出来吗?
    wu67
        106
    wu67  
       2019-07-09 13:35:02 +08:00
    嫌 6k 贵就每人两台电脑咯, 一台外网查资料一台内网干活, 这样还是完全意义上的隔绝
    Dye8
        107
    Dye8  
       2019-07-09 14:46:16 +08:00 via Android
    我司每人两台电脑
    Orciorc
        108
    Orciorc  
       2019-07-09 14:58:48 +08:00 via Android
    我觉得,依靠法律途径,可能更能解决问题。
    还有,楼上某些人怎么阴阳怪气的,公司出于保护商业机密的目的,对上网行为加以管理防止泄密有什么奇怪的?非得造火箭才需要保密?
    geying
        109
    geying  
       2019-07-09 15:16:40 +08:00
    涉密不上网 上网不涉密
    两台电脑吧
    skylancer
        110
    skylancer  
       2019-07-09 15:19:08 +08:00
    http 代理+mitm 就行了
    好处是方便审计,不直连也没法直连外网,也满足了查资料的需求,至于 https 要不要拦截和过滤看你们公司需求上 MITM
    FrankHB
        111
    FrankHB  
       2019-07-09 15:20:45 +08:00
    @onionKnight888 这样实施是嫌 IT 成本太低了么……一般的机器,就算是瘦客户机都能直接主板配置成禁用然后密码锁死。难道你们工位周围一点监控都没,还怕你们上班拆机放电?
    DragonQuestMaou
        112
    DragonQuestMaou  
       2019-07-09 15:41:23 +08:00
    没有类似企业安全终端保护不要去开 3389 定制协议也够呛
    你开个 3389 而且给个普通用户的权限
    有洞的话人家分分钟给你提到 system 顺手还拍个马儿继续横着打
    最后再走个 IPCM 或者 DNS 把东西打包带走
    什么?防火墙?不存在的 http 都开了 你还能把 DNS 关上?
    FrankHB
        113
    FrankHB  
       2019-07-09 15:41:24 +08:00
    你这隔离方向有点问题,要审计内网资源还挺麻烦的;公用外网环境乱占用资源搞清谁的锅也麻烦。
    可以考虑内网瘦客户端远程到内网服务器,外网环境机器不限,要跨边界传输资料要申请。(不过也不便宜,主要是适合原本就有集群执行关键任务的单位。)
    (保密需求再强点的还有多级内网和人员物理隔离……)
    kxuanobj
        114
    kxuanobj  
       2019-07-09 16:34:31 +08:00
    @Rustle 还有这种东西?真神奇
    luo1215
        115
    luo1215  
       2019-07-09 18:59:10 +08:00
    云桌面好烦,每天自带电脑查资料。
    Rustle
        116
    Rustle  
       2019-07-10 10:27:08 +08:00
    http://img.bj.wezhan.cn/content/sitefiles/2020446/images/7822978_%E7%94%B5%E5%AD%90%E6%96%87%E6%A1%A32.jpeg

    随便找了一个国内防泄密软件还可以的产品示意图供参考。
    上面有兄台说可以破解,但是我认为这种是成本最低可操作的方式。没有哪一个产品不会被破解的,只是平衡投入产出比而已。肉眼看,脑子记住,默写出来一段文档(仅指人能看、理解的资料)行不行?可以在这个基础上配套管理制度。
    上网行为管理方式台弱,如果不是强需求可以采用。
    云桌面方式有点虎头蛇尾,因为它就不是为了这种场景设计的,采购、使用和维护成本也是巨大。

    无相关利益,仅供参考。

    PS,其实也利益相关,因为东家卖云桌面,但这类项目一般都是后期麻烦不断。不建议因为这个理由上云桌面。
    peng2ex
        117
    peng2ex  
       2019-07-12 09:53:57 +08:00
    我所知道的有 2 种方式的,而且部署简单。
    1 )对外发布服务器上的应用,如浏览器,目前市面有成熟的产品。我知道的一款就是异速联。
    2 )然后就是容器,之前就看到一个容器跑 firefox 的,这个部署一下应该也是可以的。
    danmu17
        118
    danmu17  
       2019-07-16 20:09:31 +08:00
    @DragonQuestMaou 国内太多连带深度包检测的 IDS 这种基本配备都没有,就觉得自己很安全的公司了。
    1  2  
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2835 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 27ms · UTC 00:26 · PVG 08:26 · LAX 16:26 · JFK 19:26
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.