جلوگیری از خارج شدن اطلاعات از سازمان
با سلام خدمت اساتید بزرگوار ،من داخل یک سازمانی مشغول به کار هستم که تمامی اطلاعات اونها در قالب سه فایل word و excel و pdf هست و از اهمیت به سزایی برخوردارند .من در این مجموعه اکتیودایرکتوری هم روی بستر ویندوز سرور 2008 بالا آوردم و روی اون یک نرم افزار gfi نصب کردم که تمام پورت های خروجی کاربران رو بستم اعم از یوس ابی و دی وی دی رام و ...
و گیت وی من هم یک kerio firewall ورژن 8 هست که در اون پروتکل https و imap و smtp رو فیلتر کردم تا از طریق یاهو مسنجر و اوت لوک و جیمیل نتونند فایل های شرکت رو به بیرون انتقال بدن.ولی میدونم که این راه حل نهایی نیست . چون کاربران باید بتونن با مشتریانشون توی یاهو مسنجر ارتباط برقرار کنند یا بتونن برای مشتریانشون پیش فاکتور بفرستن .میخواستم از شما اساتید درمورد این سناریویی که از دید من پیچیده است یک راهمایی بگیرم .ممنون از لطف شما
4 پاسخ
سلام دوست عزیز
یکی از راه حل هایی که به نظر من بسیار مفید و کار آمد خواهد بود راه اندازی AD RMS می باشد. از آنجایی که شما دارای ساختار دامین هستید و فایل هایی که مد نظرتون هم هست از نوع آفیس و پی دی اف ، این سرور با دقت فراوان و به طور کامل شرایط مورد نظر شما را فراهم می کند. یعنی حتی در صورت ارسال از طریق ایمیل هم اگر مجوز نداده باشید امکان باز شدن و کار کردن با فایل وجود ندارد. مثلا فقط می توانید دسترسی View را برای کاربر مورد نظر اراده کنید ، حتی با Print screen هم امکان ذخیره عکس وجود ندارد!! البته همیشه راه حل های عجیب غریب هم پیدا میشه مثل عکس گرفتن با گوشی !!
میتونم آموزش فارسی AD RMS رو درخواست کنم از شما ؟
RMS برای مشکل شما بهترین راهکار در حال حاضر هست ، خوبیش اینه که حتی قابلیت Forward کردن ایمیل رو هم می تونید با استفاده از این روش مسدود کنید ، اما در سطوح کلان سازمانی که امنیت خیلی اهمیت داره برای ایجاد کردن چنین راهکارهایی از مکانیزمهای مانیتورینگ قوی استفاده میشه ، مکانیزم های Content Filtering ای که کلیه اطلاعاتی که از شبکه داره خارج میشه از طریق ایمیل و چت و ... رو مانیتور می کنه و به محض اینکه تشخیص بده محتوای موجود یک فایل ورد یا اکسل هست جلوش رو می گیره ، البته اینکار برای پروتکل HTTPS کمی سخت تر میشه اما باز هم برای سازمان های بزرگ از مکانیزمی به نام HTTPS Inspection برای مانیتور کردن حتی ایمیل های کاربر هم استفاده میشه ... به هر حال این پست فقط جهت اطلاع رسانی بود چون برای پیاده سازی چنین ساختاری شما باید به سمت ISO برید و دردسرهای مدیریتی خیلی زیاد ... بهترین راهکار RMS هست موفق باشید
انشالله آموزش راه اندازی این سرویس به صورت فارسی در سایت قرار خواهد گرفت ، در حال حاضر لینک زیر که دوست عزیزم آقای کیاستی قبلا معرفی کردند را پیشنهاد میکنم :