请教大家个保密文件管理的问题

2020-04-25 06:51

swordmen2020-04-25 06:51
目前公司的网络环境是域控管理，域控也做文件服务器，大家根据文件夹上的共享权限，对相应文件夹里的文件进行访问或者读写。
现在的需求是，想把一些敏感文件，对一部分人开放，但需求是只能看，不能通过u盘拷贝走，也不能通过网络（即时通讯软件或者邮件）发送出公司以外。
获得的支持是，可以购买新设备，需要浏览敏感信息的人可以配置2台电脑，用来浏览敏感文件的电脑，如何合理封闭usb口（毕竟现在键盘鼠标基本都已经是usb接口了），还怎么杜绝有人恶意把封堵的usb口弄开，插入u盘？？大家有过相应的管理经验，或者做过类似的工程吗，可以给些方便操作的建议吗？设备或者软件最好方便购买，管理相对不要太复杂。谢谢了！
ljy10052020-04-25 06:52
保密不上网别闹
懒散的牛2020-04-25 06:53
保密要完全物理隔离啊。。。 ios fly～
vislins2020-04-25 06:55
电脑所在小房间或者机柜内，把键盘鼠标显示器拉长线升到外面来。同时机器本身不联网。

馊主意来的。 iOS fly ~
fenglu2020-04-25 07:15
有专门的文件加解密软件，没用过
mymcat2020-04-25 07:16
物理隔离。新电脑或者隔离卡。局域网控制，例如360企业版。
IanHardin2020-04-25 07:18
保密电脑至今用的是ps2的键鼠小尾巴~
dymjack2020-04-25 07:44
桌面虚拟化，所有数据在服务器上，桌面无拷贝权限，浏览留痕，带登陆账号水印防截图拍照。
lh5292020-04-25 08:55
回复6#mymcat

问下，360企业版可以干啥？
swordmen2020-04-26 09:28
回复8#dymjack

请教下，您这个方案，听着挺靠谱的，这个，有相应的案例可以看到吗，我去学习下，这个对服务器性能是不是有很高的要求？
swordmen2020-04-26 09:30
回复7#IanHardin

现在新购置的电脑，已经很难买到ps2键盘鼠标的了，这个现在不容易绕开呀
czzx2020-04-26 09:30
回复10#swordmen

云桌面。。。投入巨大
swordmen2020-04-26 09:31
回复4#vislins

服务器可以做到这个样子，但现在麻烦的是客户端，有20几个人，需要上服务器上去浏览文件，主要是要防住这块，这个现在比较难办
huafu2020-04-26 09:31
桌面虚拟化成本挺高的，最简单的办法是物理隔离，保密文件只在内网流转，关闭内网usb权限即可，有例外单独每次使用申请，使用完关闭。
swordmen2020-04-26 09:35
回复6#mymcat

物理隔离，这个是肯定的了，买新电脑也可以，不过，有啥好的办法，可以控制住新电脑的usb口吗（又不影响大家使用usb的键盘鼠标），单位以前有工程师曾经拆掉过usb接口的供电部分的元件，但那样操作，只能阻止移动硬盘，不能阻止u盘的接入
swordmen2020-04-26 09:37
回复2#ljy1005

不是保密电脑，那东西其实多半是糊弄上面用的，手段多半是事后诸葛亮（用软件检查是否接入了u盘，是否联网等）现在是想看有没有好方法，事先就把这个漏洞堵掉
xiaozei2020-04-26 09:40
正规的办法不说了比如云桌面什么的

草根办法
删除win自带的usb存储的驱动(一会拍一个批处理给你)
建立user账户,设置组策略，禁用user用户相关功能,浏览人员只能使用user账户
bios设置管理密码
禁止u盘和光盘启动
最后主机和键盘鼠标显示器分离，锁好主机。(记得有各种延长线可以实现这个功能)
swordmen2020-04-26 09:49
回复17#xiaozei

您这个方法，已经很系统了，再请教个细节问题，我现在新电脑想买那种nuc主机，然后接无线键盘鼠标，然后看看能不能加个外壳把主机锁起来，这样是不是靠谱？锁起来对nuc主机散热影响大不？
ljy10052020-04-26 09:56
你看看要看的东西有没有密级这不是闹着玩的
vonsy2020-04-26 09:58
万恶的北信源可以作到
xiaozei2020-04-26 10:17
可以锁机柜呀
已经考虑散热了
只要不让人接触机器本身就行吧
我还见过有做后期的公司
把工作站放在机房
键盘鼠标显示器全都延长到另一个房间
不过人家主要是为了散热和舒适的工作环境
cs7381612122020-04-26 10:18
透明加密防拷贝。
ps2可以用pcie转ps2转接卡解决。
xiaozei2020-04-26 10:34

另外，ewf了解一下，可以把系统搞成只读的
swordmen2020-04-26 04:03
回复22#cs738161212

谢谢您提供的信息，这个信息加入考虑范围，谢谢！！
swordmen2020-04-26 04:04
回复23#xiaozei

谢谢，太感谢了，您提供的方法，太完整了，感谢
esports2020-04-26 04:05
火绒就可以控制USB呀
fchypzero2020-04-26 07:08
回复25#swordmen
直接花钱买IP-Guard就完事了。桌管+加密都搞定。找个本地服务商实施就是了。自己弄的方案就是揽事上身，这种泄密出问题你背锅的。 iOS fly ~
shamorry2020-04-26 07:40
回复6#mymcat

别的没问题，不过360企业版没卵用，随便找个工具就杀了
swordmen2020-04-27 11:37
回复27#fchypzero

我们这小破单位，能自己干的事情，肯定不能花钱让别人干；既然领导发话了，就上极端手段吧，安全机箱我也看了，初步目标是主机用豆子峡谷，然后安全机箱锁起来，物理隔离内网，固定ip+mac地址绑定，感觉别的技术手段，都可以不用了
TomYao2020-04-27 11:52
“保密”这个词在中国（大陆）是一个专有名词，不是随便用的，其中的“密”字是专指“国家秘密”。知道“国家保密局”的吧？
如果真的是国家秘密，那么你这台计算机就是存储或处理“涉及国家秘密信息”的计算机，是必须按照国家保密要求和相关的标准，配备相应的安全保密技术措施和管理措施的，如果是由于不配备而发生了泄密事件，严重的会要负刑事责任的。
所以你先要搞清是不是真的涉及国家秘密。
如果只是商密，那就随便了。
nostoryboy2020-04-27 11:54
做个隔间，里面主机，外面鼠标键盘显示器，不就得了
swordmen2020-04-27 03:29
回复31#nostoryboy

客户端多，也没有这个环境，这个做法不现实呀
jadeyang2020-04-27 08:00
回复1#swordmen
文件加密软件，要看的人给权限，拷贝的话赛门铁克的sep可以挡住 iOS fly ~
swordmen2020-04-28 04:15
回复33#dymjack

好的，好的，收到，谢谢您的建议，收下这个建议，去和领导商量下，看看价格如何
swordmen2020-04-28 04:16
回复34#jadeyang

谢谢您的指教，我去赛门铁克官网去看看，谢谢了