关于文件泄密处理办法！！

郎情妾意

  有没有大神帮忙想想，现在公司内需要防止文件泄密，目前已经在用的是加密方案，但是这个方案有个很大缺陷，比如解密后，不重新打开，那么可以直接通过u盘，网络发送走！
有没有办法解决这个问题！因为有些是必须解密的！  我们现在已经用的加密软件是绿盾，U盘控制应该是可以，但是网络发送。有没有办法技术解决！


至于为什么要解决：
因为上传平台的东西都需要解密！

liangxy

这种专业需求为啥不找商业公司报价？

PPXG

有这种需求应该直接内外网物理隔离+增加USB权限管控啊

yaoiverson

这种直接找专业公司去问方案啊。

nn1122

上上网行为管理设备，可以做到禁止网络发送，比如深信服之类，还可以监控屏幕，防止文字复制粘贴，配合EDR产品，封堵USB等外设端口

c2h6o

有专用的软件，本地或者授权专用机器上打开不需要手动解密，全部是后台操作，但你拷贝出来到其他机器上是无法打开的，外发的文件需要申请单独解密后去专门的机器上拷贝出来才行。
在涉密机器上看到过，名字不太记得了，网上搜索下应该有类似的。

xy.

这种别全部依赖技术方案

myway

电脑上的再完美方案，也无法阻挡手机屏拍

nn1122

myway 发表于 2025-2-10 10:32
电脑上的再完美方案，也无法阻挡手机屏拍

比较狠的是在工位旁安装摄像头，配合室内其他摄像头，全方位无死角，可作为事后追责直接证据

zmruc

myway 发表于 2025-2-10 10:32
电脑上的再完美方案，也无法阻挡手机屏拍

可以的，屏拍出来的是有水印能识别到人的。摄像头楼上也说了，真正放不住的是记下来之后出去重新打出来

我輩樹である

贴标语：泄密就杀头。

binne

如果公司还可以用u盘，那就呵呵了。
1，email出去的文件 全部审查
2，出去的文件全部是pdf，pdf打水印
3，严打，处罚一两个人
主要是管人。技术是 矛和盾，持续升级，没完没了的。

nekotheo

我们公司是直接找商业公司报价的

郎情妾意

liangxy 发表于 2025-2-10 10:26
这种专业需求为啥不找商业公司报价？

我现在是要找公司啊，但是有没有办法解决这问题！都知道找谁。

郎情妾意

PPXG 发表于 2025-2-10 10:26
有这种需求应该直接内外网物理隔离+增加USB权限管控啊

公司是外贸公司，外网肯定要连接的，usb权限管控应该能处理，但是外网发文件呢？

郎情妾意

nn1122 发表于 2025-2-10 10:29
上上网行为管理设备，可以做到禁止网络发送，比如深信服之类，还可以监控屏幕，防止文字复制粘贴，配合EDR ...

深信服能管控所有的外网发送吗？没用过，比如私有协议，或者建立个最简单的文件发送。qq发送微信发送，邮寄发送，一些私有协议发送。

郎情妾意

c2h6o 发表于 2025-2-10 10:29
有专用的软件，本地或者授权专用机器上打开不需要手动解密，全部是后台操作，但你拷贝出来到其他机器上是无 ...

目前就是这种，但是有解密需求，解密后，不重新打开，那么不会加密，这个文件能随便发送出去！

Prikoo

加密到设备绑定使用就行了 好像就叫透明加密 你搜搜看 顺便附上设备自己的行为管理（实时监控文件的操作 新建删除复制外发等）以及网络的行为管理
这样足够安全了吧
其实要这个级别的安全最好还是做网络隔离，内外网区分
楼上不是说得很清楚了吗 网络传出去也没办法打开的啊
而且专业公司肯定有更全面的安全方案吧 应该求助于他们吧

curdfu

行为管控 + 透明加解密，主流安全厂商都能做

tide~

郎情妾意 发表于 2025-2-10 10:50
我现在是要找公司啊，但是有没有办法解决这问题！都知道找谁。

经历过，都是控人：
首先是解密权限只限boss和一个特定的人（通常是网管IT），只有长期项目驻外+需频繁对外文件联络的才给派发一个USB-key用于解密；实际上每个解密的文件都有日志传回公司服务器的，加密系统本身后台就不断往服务器发日志，个人行为-有些非法破解也能被监视到（早期有改扩展名等方法）；
其二是正规解密申请要走OA之类的申请流程，并上传/下载附件，（boss在就boss解密，不方便就让网管处理，但要有邮件或聊天记录为证）；哪个文件失密了，很容易定位到具体个人；
其三是邮件系统监控，只允许公司邮箱对外联络，收/发记录有另一个邮件服务器转发并备份；
其四就是文件操作的权限，加密后的内容是不能右键-粘贴到一个非加密的文件/跨文件系统里的（加密的可以），USB口等也可以封闭（看软件功能有，但没经历过）

nn1122

郎情妾意 发表于 2025-2-10 10:52
深信服能管控所有的外网发送吗？没用过，比如私有协议，或者建立个最简单的文件发送。qq发送微信发送，邮 ...

QQ这些发送管控毫无问题，私有协议只能从防火墙入手，比如只允许QQ微信通讯端口放行，其他不明协议一律禁止出站

firebase

解密是为了什么？正常来说如果一台电脑文件加密，它自己是能打开加密文件的，对自己的使用不影响。我们以前一个部门就一两个人有解密权限，得发给他们解密

郎情妾意

tide~ 发表于 2025-2-10 11:06
经历过，都是控人：
首先是解密权限只限boss和一个特定的人（通常是网管IT），只有长期项目驻外+需频繁对 ...

加密后的内容是不能右键-粘贴到一个非加密的文件/跨文件系统里的  这个通过什么方式实现？你们用的哪个加密软件？有这功能，我们用绿盾好像没找到这功能

zhuershi

郎情妾意 发表于 2025-2-10 10:51
公司是外贸公司，外网肯定要连接的，usb权限管控应该能处理，但是外网发文件呢？ ...

我看到第一眼感觉就是外贸公司，曾经在一个外贸公司干过，规模不大，但是老板对这玩意重视程度感觉比我所在的军工性质企业还严重，应该主要是客户资料和产品报关相关资料吧。当时公司也是花钱买了个加密软件，叫什么凤凰啥的，没啥用，解密后根本不用传，wps的云备份都能直接到云盘

郎情妾意

Prikoo 发表于 2025-2-10 10:56
加密到设备绑定使用就行了 好像就叫透明加密 你搜搜看 顺便附上设备自己的行为管理（实时监控文件的操作 新 ...

透明加密 查了下 现在的就是这种，但是他不打开文件，直接复制传送走，就能破解了。

SuperYoung

内外网隔离2台工作主机，禁用USB设备

flshlion

以前呆过一家公司，电脑USB口全禁。
所有电脑不定时截屏存进服务器。
每个房间四个角落都有监控摄像头。

做了两个星期浑身不自在，走人。

Prikoo

郎情妾意 发表于 2025-2-10 11:20
透明加密 查了下 现在的就是这种，但是他不打开文件，直接复制传送走，就能破解了。 ...

能传走不代表传走的文件能破解啊
你看看现在的是否传走的文件是不可读的先，或者询问方案商能否实现传走的文件不可读 只在绑定的机器可读

郎情妾意

flshlion 发表于 2025-2-10 11:22
以前呆过一家公司，电脑USB口全禁。
所有电脑不定时截屏存进服务器。
每个房间四个角落都有监控摄像头。

牛逼，现在公司不可能做到这么严格！！所以想通过技术手段，能不能实现，

郎情妾意

SuperYoung 发表于 2025-2-10 11:22
内外网隔离2台工作主机，禁用USB设备

这个也难实现，外贸公司。禁用usb设备容易，但是发送通过网络。。