如何防範數據洩露?
我們有一些工作站可以訪問我們所有公司文件的網路共享。這是正確的,因為使用者可能需要使用它們。
但是我們的老闆擔心有人(可能在辭職後)可能會插入 USB 驅動器並將這些文件帶回家或類似的事情。既然我們不能禁止 USB 驅動器(我們可能需要它們用於日常工作),我們可以做些什麼來提高安全性,使數據盜竊更加困難?
我是這些工作站的管理員,使用者沒有 root 權限(顯然)。
也許 SELinux/AppArmor 可以禁止從一個特定目錄複製到另一個目錄?
不,你不能。如果他們可以讀取文件,他們就可以複製它們。
編輯:
我一直在考慮,也許你可以做點什麼。如果這些文件只能由幾個程序訪問(您說了一些關於 CAD 文件的內容)也許您可以將程序所有者設置為新使用者(比如說 CADuser)並更改所有這些文件的權限,以便只有 CADuser 可以讀取他們。在 CAD 程序中設置粘性位將允許那些執行程序的使用者在程序執行時成為該使用者,從而能夠訪問和使用文件。但如果他們停止執行程序,他們將無法訪問這些文件。我沒有測試過,但我很確定如果文件保存到任何其他位置,權限將是程序使用者的權限,因此它們將無法在程序外部訪問,從而使複製它們的行為複雜化到 USB。
這是非常困難的,而且更像是一項政策決定,而不是技術性的 IMO。“從一個地方到另一個地方獲取數據”的解決方法太多了。您可以禁止複制,但您將如何防止
cat $file > /usb/$file?根本不可能做到詳盡無遺。
因此,我建議您改為禁止工作站訪問文件,並要求遠端登錄到伺服器 - 使用者沒有直接物理訪問權限,並限制他們可以通過
sudo- 例如不是sudo su,而是一組被視為“的命令”足夠安全’。要麼,和/或對可移動儲存設備更嚴格 - 將其帶入建築物(沒有適當的審計跟踪和進入/退出檢查)是違紀行為。
但從根本上說,這是一個人員安全問題,而不是技術問題。一個好的起點是解僱你不信任的人!