У меня небольшая офисная сеть с примерно 20 компьютерами. Как я могу отслеживать, какие файлы и с какого компьютера отправлять или получать файлы?
Мой вопрос не в том, как запретить кому-либо отправлять файлы, а в том, чтобы отслеживать, кто и какие файлы отправляет и получает за пределами сети. Файлы можно отправлять через мессенджер, электронную почту и т.д.
Сложно сделать в сети.
Сложно сделать на ПК.
Как указывалось в предыдущем ответе, технически сложно и фактически невозможно заблокировать даже самые очевидные способы, не препятствуя добросовестному использованию.
С юридической точки зрения также может быть сложно не нарушать законы о конфиденциальности.
Ваш лучший шанс - доверять пользователям. А если не доверяешь некоторым - ограничивай их доступ к чувствительным файлам.
Существуют продукты DLP (Data Loss Prevention), такие как InfoWatch Traffic Monitor, которые утверждают, что выполняют то, что вы просите. Однако все эти продукты - не готовые решения «под ключ», а довольно сложные системы, требующие установки, настройки и т.д. Консультантов. Они используют сложные алгоритмы анализа трафика для обнаружения утечек данных (вложения изображений OCR, сканирование зашифрованного трафика). , может обнаружить подозрительную активность и т. д.).
Они стоят много денег. Я не знаю ни одной такой системы, которая была бы экономически эффективной для такой маленькой компании (20 пользователей).
Существуют некоторые базовые готовые решения (например, предложение Macafee), которые могут работать как дополнение к базовым правилам доступа на основе ролей, но для получения любого значения вам потребуется настроить / настроить любое решение DLP.
Некоторые организации, с которыми я работаю, определяют разрешения пользователей (например, только этим 3 лицам разрешено отправлять вложения, только те могут распечатывать и т.д.). Для этого сценария вы доверяете этим именным пользователям. Если они ошибаются или становятся мошенниками, вы все равно можете проверить журналы, чтобы увидеть, что они отправили, но данные могут просочиться. По крайней мере, вы снизили риск до тех лиц (или кого-либо с их полномочиями)
Что делают другие, так это прикрепляют кодовые слова ко всем ключевым документам и устанавливают для них службу DLP. Стандартные почтовые шлюзы могут иметь эту функцию (я знаю, что Mailsweeper и тому подобное)
Более зрелое решение заключается в применении классификаций ко всем документам - это может быть излишним для вас прямо сейчас, но вы находитесь в таком размерах, где им можно управлять, и он станет еще более полезным по мере вашего роста. Используя классификации, становится очень легко отрицать исходящие секретные или внутренние документы, в то же время позволяя получать документы с меньшей чувствительностью.
Чтобы быть ближе к вашему точному вопросу, все вышеперечисленные опции будут регистрировать то, что отослано - наиболее подходящим для вас, если вам не нужно блокировать, может быть просто включить регистрацию всех писем, отправленных с вложениями на ваш почтовый шлюз ( например обмен ...)
Если у вас есть системы Linux, вы можете использовать аудит ядра Linux для регистрации всех обращений к файлам для чтения / записи. Отсюда вы можете получить имя пользователя, идентификатор процесса и имя исполняемого файла, которые обращались к файлу.
Вы можете использовать aureport для создания отчета.
В отчете вы можете найти исполняемые файлы, такие как чат-клиенты, браузер, ssh-клиент и т.д., Чтобы определить, к каким файлам они обращались (возможно, для отправки).
Примечание. Для этого вам необходимо установить пакет "auddd".
Это хорошее место для старта. http://www.cyberciti.biz/tips/linux-audit-files-to-see-who-made-changes-to-a-file.html
