|
||
|
Elite Member
  加入日期: Oct 2002
文章: 4,805
|
引用:
與其說資安走火入魔 不如說稽核走火入魔 用外行來稽核內行 對於當事者真的是很痛苦的事 因為稽核者不懂 所以儘在些雞毛蒜皮小事上面啄磨 對於大條的事情反而視而不見 (比如說機關內使用者身份皆為administrator) 正所謂見樹不見林 我看了只有搖頭再搖頭
__________________
人性的醜陋就是,會在無權、無勢、善良的人身上挑毛病,卻在有權、有勢、缺德的人身上找優點。當無權、無勢、善良的人受到傷害的時候,還會站在所謂的道德制高點上,假惺惺地勸說無權、無勢、善良的人,一定要忍耐,一定要大度。 |
||||||||
2009-07-26, 10:27 PM
#21
|
|
|
Senior Member
 加入日期: Jun 2001 您的住址: 台灣
文章: 1,212
|
請問不確定電腦設備(因客戶攜帶NB不同),
可以透過switch port 限定固定IP嗎? 引用:
__________________
回饋小黃卡號 34923092 |
|||
|
2009-07-27, 12:46 AM
#22
|
|
|
Elite Member
加入日期: Dec 2006 您的住址: Taipei
文章: 8,344
|
引用:
其實目前比較先進的都在朝user centric 的概念作控管. 核心精神是管理"人"而多於"設備". MAC address需在layer2 內管理, 過了L3就看不到原終端, 故網路大,須管理的元件(L2 switch) 也會多, MAC address 只有到辨識該設備的層級,不知道誰在用,也十分容易竄改,可信度有限. switch port 與 IP 也都仍缺乏驗證人的概念, 設備對,上去就會通. 而且缺少mobility的彈性 一般企業常把一個樓面當一個網段, 當使用者換樓層工作/開會/使用的時候, 基於switch port 或是IP的管理就變得複雜, 因為IP-switch port的排列組合情況變得太多種無法預測. 尤其是想靠firewall做Access control, 又只能看IP來決定時, 那會是很大的惡夢. 電腦鎖 IP+MAC+SW port 僅適用於不會移動的電腦. 但也要加上使用者認證才足夠. 不然充其量只是管到電腦, 使用的人還不算被管到. 會跨多網段移動的時候, 需要丟棄IP+MAC+SW port的概念, 做 user based 管理才是正解. 不管使用者移動到什麼網段,拿什麼IP, 接哪個port.使用網路的權限始終跟隨該使用者. 才能做到有效的一致管理. 要更一步的, 可在網路聯通時進行檢查, 如果檢查到電腦沒有 上patch,沒開防毒,沒升級的....有安全疑慮者, 還可協助你更新後再進入網路, 以降低企業 網路威脅, 或是動態縮限使用者的權限. 目前許多NAC的解決方案都在做這塊. |
|
|
2009-07-27, 01:01 AM
#23
|
|
|
Golden Member
加入日期: Jun 2002 您的住址: 地獄18層
文章: 3,268
|
引用:
偏偏那些人可以通過稽核的證照考試 真的很無言   至於詳細內情我不太想講了
__________________
徵你不要的AM4 CPU 徵你不要的SATA接頭斷裂SSD 
此文章於 2009-07-27 01:18 AM 被 supermaxfight 編輯. |
|
|
2009-07-27, 01:10 AM
#24
|
|
|
Elite Member
加入日期: Dec 2006 您的住址: Taipei
文章: 8,344
|
引用:
針對問題回答, 有方法可以間接做到. 但是我想這個問題背後更關鍵的問題是: 你給他們固定IP是想達成什麼(管理)目的? 因為這個目的可能有多種方式可達成~ 那就不一定要被特定方法綁死.  |
|
|
2009-07-27, 01:32 AM
#25
|
|
|
*停權中*
加入日期: Apr 2005
文章: 17
|
引用:
其實大家會有全是米蟲等退休的印象,我個人認為是高層造成的 基層有時提的方案或規則不是被駁回就是大家置之不理 以本單位來說,一堆高官討論資訊安全時,最重要的工作指示如下: 為防止使用者私自拆電腦,所有的電腦都要貼上封條 高官的智慧就僅止於這樣了 一些基層的只是一些卑微的請求,個人認為比貼封條更重要,可是大官及使用者經常不理會,仍是我行我素(其中第一點要求根本連付諸討論的可能性都沒有) 1.既然大官可以決定誰可以進本單位服務,能否讓資訊安全概念不良的人選不讓他進本單位服務? 2.不明郵件及網站不要亂點! 3.隨身碟正常退出後再行拔除,若不知如何正常退出或無法正常退出時,正常關機後再拔隨身碟! 4.為避免隨身碟木馬及病毒問題,請不要隨便將單位內隨身碟拿去外面使用,反之亦然 ...... 一些資訊安全規定大官違反後,政風及資訊單位也拿這些大官沒輒 因為大官有免死金牌,刀槍不入 |
|
|
2009-07-27, 01:34 AM
#26
|
|
|
Senior Member
加入日期: Jun 2001 您的住址: 台灣
文章: 1,212
|
因為網管需要針對客戶IP管控臨時上網權限.
客戶到廠固定在某一場所,使用固定網路接點上網. 目前作法是要先到客戶電腦確認IP後回報給網管, 通報網管後, 網管再根據IP開放web權限. 想避免每次會議中還要進會議室做以上動作, 所以才想針對固定網路接點或是switch port 設固定IP. 引用:
__________________
回饋小黃卡號 34923092 |
|
|
2009-07-27, 08:08 AM
#27
|
|
|
Major Member
加入日期: May 2001 您的住址: 台北
文章: 130
|
小弟最近在服務一家公務機關.. 啥就甭提了..
幫他們寫程式, 但是對方不開放 VNC PcAnywhere 等服務連線. 也不開放SQL 連線... 要我們寫好程式後, 到市政府那的某一科室上的一台電腦 從那邊上傳, 操作中間後面都有人監看. 為何呢? 因為主管不相信網路安全, 嘴巴說破了, 可以鎖IP 加帳密, 打死都不信. 資管有兩個, 一個天天請特休, 一個天天上課. 要找到人比找總統還難 (真不知哪來這麼多假..) 問其他人可否代為操作上傳, 一個推的比一個快. 唉.. 這就是公務員的心態 (某科員: 這不關我的事, 你不要找我..(揮揮手..))
__________________
|
|
2009-07-27, 08:33 AM
#28
|
|
|
Elite Member
加入日期: Dec 2006 您的住址: Taipei
文章: 8,344
|
引用:
聽起來似乎所有的客戶都是相同權限? 比較簡單的作法是將 客戶會使用到的port 拉出來, 單獨給一個vlan, 雖然switch port不能 直接給固定IP(除非by MAC或是經過認證), 但是可以配合DHCP的方式, 將這個VLAN發放特定的IP, 不要跟現有的網段混在同一個vlan當中, IP自然可以區隔出來. 如果你的客戶使用IP網段與員工網段混用, 隱藏的威脅還是很大, 有蠕蟲有中毒一接進來,在內網還是照樣會爆發. 網管在閘道端管理都已經慢了一步. 另外, 很多客戶已是改用無線網路的方式提供 訪客 接續internet, 並不提供有線網路, (近年筆電都會有內建WIFI) 那就更有管理的彈性, 也提供較佳的便利性, 也可以與員工使用的加密無線網路 權限區隔 卻又並存而不必天天改設定. 訪客存取也可彈性規範是否要有認證及存取時限, 規劃得好不需擔心無線被濫用. 參考~ |
|
|
2009-07-27, 12:08 PM
#29
|
|
|
Elite Member
加入日期: Feb 2004 您的住址: 台北
文章: 4,273
|
其實做編號也不錯
只要發現誰的網路有異常現象 就二話不說先把插頭給拔掉 避免繼續危害區網內的其他電腦 之後再慢慢找問題修理就好 算是最原始的處理方式吧 |
|
2009-07-27, 02:52 PM
#30
|
|
