В связи с последними известиями и постами на главной, всерьез задумался об обеспечении сетевой безопасности. Цель — так как 100% недостижимо, необходимо максимально затрудненить доступа к информации какого-никакого, но предприятия. В аудите нуждается абсолютно все — почтовая переписка, IM-переписка, звонки, аудио — и видео-чаты, веб-сервера, учетные записи социальных сетей, компьютеры сторонних людей (бухгалтеры, юристы, банк-клиенты) и прочее.

Мне нужно как-то сориентироваться, чтобы понять, в каком направлении и как двигаться. Бюджет есть. Буду благодарен за помощь.

В данный момент количество напрямую задействованных лиц не превышает пяти человек. Используемые ОС — Win, Mac OS, Android, iOS. Почтовый сервис — GMail + сторонняя почта с собственным доменом и сервером у зарубежного хостера. Из IM-клиентов только Skype. Вся остальная переписка хранится в основном, онлайн а-ля всякие vk, fb etc.
— Пока количество человек не слишком велико, так что переписку можно стереть вручную — лично на каждом компьютере очистить хистори Skype и всех другим IM, очистить историю во всех социалках и прочее.
— Далее — почта. Она в любом случае будет привязана к доменам и серверам наших сайтов. Поэтому ее нужно организовывать совместно с сайтами (т.е. комплексный перенос всех веб-проектов, почты и т.п.). Куда? Исландия? Каких хостеров можете посоветовать? По удобству и дружелюбности, а так же ценам, хватит чего-то на уровне Jino.ru. Удалить все GMail-аккаунты, заставить людей пересесть на почту, расположенную на купленном хосте. Все будет более менее изолированно уже. Ну и, соответственно, нужен кросс-платформенный и удобный почтовый клиент с защищенным соединением. Какой? Почту, наверное, разумнее хранить только на этом сервере?
— После почты — обычное общение. От телефона можно отказаться, только личная встреча либо просьба зайти в онлайн-мессенджер, который будет являться основным средством связи (как ни крути, но без этого никуда и это всегда оставалось и будет оставаться основным инструментом, несмотря на все). Что выбрать? Нужна поддержка текстового, видео — и аудио — чата, пересылка файлов. Джаббер на собственном сервере? А как защиту поднять — собственный ключ? Какая-нибудь физическая usb-пепяка, без которой доступа не будет? Или есть альтернативы?
— Ну и VPN на каждом компьютере, да?

Для каждого из пунктов хотелось бы видеть адекватный уровень защиты. Для серверов — абузоустойчивость и расположение в стране по-дальше, при этом, необходимый набор услуг и качество их предоставление. Для VPN — скорость и дешевизна. Может, какие-то более изящные и простые решения для всего остальное. Буду рад советам и предложениям. Хочется выстроить какую-никакую, но кирпичную стенку вокруг себя.

Спасибопожалуйста, paranoic mode on.

Tagged with →  

9 Responses to Обеспечения безопасности пост

  1. GibApp:

    ох мать. Какой кавардак.
    Первым делом успокойся и давай по порядку опиши ситуацию, тут никто не знает про тебя и твою контору. Что делаете (бизнес-процессы), сколько человек, ты чем занимаешься.

  2. Vansuper:

    1. Если задача так общаться с внешним миром чтобы при этом полностью исключить утечки — так не бывает
    2. Если задача снизить риск утечек то IDS, DLP, веб жёстко файерволить, АТС, джаббер, почта — свои, всё писать, нанять человека который будет читать переписку и слушать разговоры.
    3. Если задача исключить утечки полностью — тогда физически изолировать LAN, мобильники на входе отбирать чтоб не сфоткали экран, использовать только тонкие клиенты с залитой эпоксидкой портами, поставить надсмотрщиков которые будут ходить вдоль рядов в хромовых сапогах с ногайками.

  3. YmxGood:

    самое главное запомни — не лей кислоту в ванну

  4. K1nZero:

    : абсолютно понятно, что исключить утечки при общении с внешним миром просто невозможно, как минимум из-за человеческого фактора. Тут это и не требуется, потому что люди, задействованные в работе, прекрасно себе отдают отчет в том, что сохранность данных — в интересах их же дела, поэтому сливать сами ничего не будут.

    Вопрос в другом — защитить информацию не от слива изнутри, а от доступа снаружи. Я с этого угла ситуацию рассматриваю.

  5. Nughlam:

    Пока ты находишься в РФ терморектальный криптоанализ имеет стопроцентную гарантию вскрытия любой криптозащиты. Советую начинать планировать системы защиты исходя из этой вводной — сэкономишь кучу денег и сил.

  6. Vansuper:

    : Зафайерволь люто чтоб наружу ни один порт не торчал и все дела.

  7. K1nZero:

    : мы уже обзавелись татуировка в виде ока Саурона. Пойдет?

  8. K1nZero:

    : дак дело-то в том, что часть рабочего процесса осуществляется вне стен организации, с обычных домашних компов. Их ты как предлагаешь мне фаерволлить? Благо люд адекватный и понимает, что с этим нужно что-то делать. Поэтому нужно что-то типа

    > то IDS, DLP, веб жёстко файерволить, АТС, джаббер, почта — свои

    только для защиты информации от доступа из вне, с учетом того, что нельзя собрать всех в кучу и посадить под один большой колпак. Поэтому я и спрашиваю про VPN для каждого компьютера, чтобы не опасаться за то, что слушают трафик. За какой-нибудь софт на собственном сервере с AESом, который позволял бы использовать текстовый, аудио — и видео-чаты, перессылку файлов. Куда перенести все почтовые и веб-сервера, чтобы далеко и удобно. В таком вот духе просто. Видимо, мысль коряво изложил, потому что советы немного в другую степь уходят.

    Не нужна защита от слива (или по крайней мере это отдельная тема, на данный момент). Нужна защита от входа.

  9. Nughlam:

    : боюсь спрашивать куда ты её набил (:

Добавить комментарий