引用:
|
作者吉他之繩
資安是專點問題,也不適合給solution。比如說貴公司的辦法中說要管理usb,但是實際上卻沒有管理usb的機制。那麼資安人員只點出問題:貴公司說寫作不一致。說要管,卻沒管。這是事實。可是我不能給你答案說請你用gpo封掉(還是有法可解)或是請你用資產管理軟體(不要買x網,要買x品的產品較穩定從系統層下手)等等的。
如果列印的部份會產生資安問題,貴公司的辦法也有寫到要管理列印的問題,但是你實際上沒做任何管控,那就是你說寫作不一致。我一樣不能直接給你答案說,請採用某公司生產的事務機,可以搭配權限確認是列印者取走,列印者輸入帳號密碼或者是個人專屬卡片認證等等,實體上就是由機器幫你做簽核的動作。
你的解決方法可能有千百種,你可能沒有預算採用資安人員提供的方法,於是放棄技術面的解決方式改用管理面的方式解決,那都不在資安人員的考量之內。我們不能幫你想,本來就不能幫你想。...
|
你講到重點了
我們公司的資安是不管東西可不可行,有沒有實際可以作的作法,而是亂點一通
這也是我對資安最大的困惑,資訊技術背景,似乎並不是必須了吧?
我最反感的一點就是
資安人員亂點問題,點出來後,要我們自己搞出來
搞出來後,他們要你跟他講你到底怎樣用(合理,不然他哪知道你作的是真的假的)
然後再對外分享我們的作法(利用公司資源打自己的知名度)
至於只針對linux的列印作audit,對方當初好像只是嗆出"design都是機密資料,所以你一定要作囉"
當時也沒辦法去反駁,就只好悶著作囉^^"(我心裡是很X啦,變成我要去implement資安的東西,那敝公司資安人員也太爽了吧,我又不是作資安的)