公司内外网隔离-查资料麻烦-解决方案

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

这是一个创建于 1963 天前的主题，其中的信息可能已经有所发展或是发生改变。

我司研发不能上外网。主要是技术保密。但是现在很多人反馈查资料太麻烦。所以现在咨询一下各位大神。有没有办法能做到可以方便的查询资料且公司的资料不能传走？

前期我也调研了一下。大概的思路是：

先弄一个外网环境电脑（ A ）。
公司内网电脑远程到电脑 A。但是需要限制住远程时候不能随意文件传输（内网电脑可以从 A 拷贝。但是内网电脑不能拷贝资料到 A ）。

目前这种方案有没有成熟的软件或者硬件。

如果正好有 V 友做请联系我。

第 1 条附言 · 2019-07-09 08:24:10 +08:00

1. 首先我对公司的文化很喜欢。不能上网肯定公司是有权衡的。我们是做设备的。技术资料机械图纸电气设计 bom 清单算法模型等等这些东西都很保密。而且我们的电脑已经是装了加密系统并且封了所有的 USB 和 hub。这些公司的员工都是可以理解的。辞职是解决问题的办法吗？

2. 昨天和深信服的人聊了一下，这种情况上云桌面是最合适的。公司其实之前也在考虑这个方案。这个方案唯一的缺点太贵。我司人员 1000 多人。云桌面系统大约每人的费用在 6000 左右。

3. 我上面提到的方案。也有公司给出的方案，说是已实施效果还行。我之前在富士通的时候就是这个办法。但是不知道具体是怎么实施的而已。

4. 目前还在调研有没有其他的好办法。

资料

外网

拷贝

电脑

118 条回复 • 2019-07-16 20:09:31 +08:00

1 2

❮

❯

wr410

2019-07-08 14:36:42 +08:00

搞台公共机，谁要拷过去登记，现场派人监督，简单方便暴力快捷。

lihongjie0209

2019-07-08 14:41:37 +08:00

那台电脑搞一个行为监控不就好了

chih758

2019-07-08 14:41:48 +08:00 via Android

辞职

basaka

2019-07-08 14:43:54 +08:00

能外外网的建 SS 服务端内网 SS 就行，V2 同理

annielong

2019-07-08 14:48:31 +08:00

上个深信服类的，限制文件传输，但是也架不住文本传输

dielianxiang

2019-07-08 14:51:06 +08:00

@wr410 我们现在有几台固定的上网地点。但是需要到其他地方。使用起来不是很方便。

RiESA

2019-07-08 14:51:53 +08:00

两边电脑搞个邮箱的话,应该可以通过邮件服务器的配置啥的来做限制吧? 自己想要什么文件自己通过公用机器的邮箱发到自己的邮箱,然后内网接收,配置规则不允许发往外网

而且这样全部发的都有记录,后期也可以核查,不过前提是要有内网的邮件服务器

dielianxiang

2019-07-08 14:52:27 +08:00

@lihongjie0209 监控这玩意一旦泄露出去再去追究责任已经损失很大了。

dielianxiang

2019-07-08 14:53:08 +08:00

@RiESA 现在上传的渠道太多，网盘等肯定不能完全限制住

kaiyangxin8200

2019-07-08 14:54:28 +08:00

核心其实还是人，真心有泄漏想法的，手机拍照也能给你搞出去

matthewz

2019-07-08 14:57:07 +08:00

什么高精尖技术还要防 copy? 你是造火箭的?

wwbfred

2019-07-08 14:58:13 +08:00

如果你说的查询资料指的保密机需要通过某种方式接入互联网,那这个需求似乎很难实现.
因为从原理上讲,"查询资料"这一过程必然涉及到数据上传,否则连接无法建立.
只要有上传通道,那上传的数据就不可控.因为我们可以在任何不可信可审查的信道上建立加密连接.
即使规定禁止任何不可读数据的上传,并且有手段保证这一点,我们依然可以把加密数据写入 cookies 之类的地方.
涉密不联网,联网不涉密,这是保证信息安全的最基本最有效的原则.

gz911122

2019-07-08 15:01:03 +08:00

不存在的

你要查询就要连接外网,连接外网就存在上传

anoulin2009

2019-07-08 15:05:36 +08:00

网闸+上网行为管理

rffan

2019-07-08 15:09:11 +08:00

只要能上网就是文件传输，任何文件我都能加密成文本然后传输出去啊。。。你这个。。。除非是查资料的时候人盯着。

7654

2019-07-08 15:14:58 +08:00

只要能可访问外部网络，内网资料 100%都可以传出去

pelloz

2019-07-08 15:19:01 +08:00

两台电脑，一台可以上外网，一台不能上。能上外网的电脑可以将查到的资料上传到内部公共文件分享目录，内网的机器可以读取这个分享目录的文件，但是没有写权限。

hebin

2019-07-08 15:30:31 +08:00

叫老板查了以后告诉口头你们就可以了

lyh404

2019-07-08 15:30:34 +08:00

我之前的公司是不能上外网，只能内部网，要查资料统一登录到服务器去查，下载的资料可以拷贝到本地，本地的资料不能拷到服务器，麻烦得要死。

wwbfred

2019-07-08 15:35:11 +08:00

可以考虑建立以搜索引擎为中心的局域网服务器.
具体架构可以是这样:
1.一台局域网搜索引擎服务器,前端接受关键词,后端只将关键词转发到靠谱的搜索引擎,忽略其他任何数据.
2.将搜索引擎返回的 url 加入白名单,有有效期限制.
3.局域网服务器只响应白名单内的 url,并且同样忽略除 url 外的任何数据.
核心思想是:用户上传到互联网的数据只有一个:可读关键词.其他任何上传到互联网的数据都是由互联网返回的.

wwbfred

2019-07-08 15:37:20 +08:00

然后做好关键词审计,保证没有使用关键词算法来上传非法数据.

zxcslove

2019-07-08 15:45:37 +08:00

可以设立资料查询员岗位，由经过周密背景调查且有体面人士担保的人员充任，可保数据安全无忧啊

fcfangcc

2019-07-08 15:46:25 +08:00

找一下 vmware，有一整套方案。我司是可以上外网电脑 A，vmware 的软件远程连接到虚拟机 B。然后 A 可以复制到 B，B 不能复制到 A。

dielianxiang

2019-07-08 15:48:00 +08:00

@fcfangcc 对要的就是这种效果

ElegantOfKing

2019-07-08 15:48:53 +08:00

无脑深信服

niubee1

2019-07-08 15:49:01 +08:00

物理隔离了也可以手机 OCR 传输啊

Rustle

2019-07-08 15:51:25 +08:00

使用企业级防泄密软件即可。合法范围内无任何影响，没有被允许的资料，无论文件还是文本，复制出去后都是乱码。也有电子水印防止拍照功能。

czar

2019-07-08 15:51:26 +08:00

再上套文件加密系统，拷出去也没用

dabaibai

2019-07-08 15:53:37 +08:00

一人两台机一台外一台内

wwbfred

2019-07-08 16:10:55 +08:00

@Rustle 截屏 OCR 可破...

kuyuzhiqi

2019-07-08 16:46:04 +08:00

查资料的时候连接手机热点

ayconanw

2019-07-08 16:59:32 +08:00

六字真言送给你

AndroidEngineer

2019-07-08 17:01:38 +08:00

这样的公司还待个鬼

funcman

2019-07-08 17:02:05 +08:00 via iPhone

音频传数据了解一下，数据转二维码视频了解一下。没意义的事。

playnoa

2019-07-08 17:08:18 +08:00 via Android

@wwbfred 你来维护这个白名单？一个网页不代表只需要一个 URL，没有样式的资料页有啥用？代码，文字糊一堆，这和人工维护垃圾邮件列表有啥区别？馊主意

playnoa

2019-07-08 17:11:10 +08:00 via Android

搞一套加密系统比较靠谱，所有硬盘上的文件从产生的那刻起就加密，流出局域网的未授权文件都是乱码，无效。参考勒索病毒的实现

godgrp

2019-07-08 17:14:28 +08:00

手机没收了？

yalin

2019-07-08 17:15:05 +08:00

两个网口，一个连内网，一个连外网。然后，配置路由，所有内网 ip 到内网网口。

qwerthhusn

2019-07-08 17:31:48 +08:00

某为也是这样，不过那里有个代理，微型的 GFW，不同的人（权限）能够访问的外网权限不同。
关键是 Github 可以访问，而且全程 HTTPS，那个墙压根监控不到（我看了证书不是伪造的，虽然初始系统的时候已经把那个自有根证书给弄到系统里了），所以可以随意上传各种东西。
但是不排除自有的安全软件在系统层面监控了，或者墙监控了稍微比较大的往 github 服务器的流量

dangbiao1991

2019-07-08 17:34:33 +08:00

VDI 桌面云了解一下。
办公桌面通过 VDI 接入上网桌面，可控制上网到办公桌面单双向拷贝。

MeSMC

2019-07-08 17:36:03 +08:00

为啥不上加密软件。国内加密厂商现在做的也可以啊。当然情况不一。不知道能不能解决你们的问题。

greenman0007

2019-07-08 17:41:55 +08:00

目前我司用的华为云桌面开发，云桌面无法连外网，只能从本地向云桌面单向复制，感觉已经完全隔离了。

dabang007

2019-07-08 17:47:33 +08:00

@qwerthhusn 几年前听说华 f7 有人在家拍照笔记本屏幕，结果被查到了，当时不清楚为何能被查到，现在想想要不就是流出的数据有水印，要不就公司的笔记本上摄像头有猫腻，其它还真不知道怎么可以查屏幕拍照

hhsd

2019-07-08 17:50:45 +08:00

涉及到保密的东西建议你不要取巧，方便了自己但是放大了可能遭受的损失，得不偿失

luckyzrui

2019-07-08 18:00:53 +08:00

堡垒机

eluotao

2019-07-08 18:04:32 +08:00

这种公司离职就对了封闭的公司技术氛围肯定不好没有分享精神没有探讨氛围

kuriko

2019-07-08 18:44:11 +08:00 via iPad

每个工位配一个 iPad + 键盘，设置只能用指定软件，工作的机子只能连内网。。真有什么资料需要用就自己在笔记本上做打包放在拷入专用机上，每天不定时由专人做内网拷入。现在我司是这么操作的。。

wwbfred

2019-07-08 18:57:25 +08:00

@playnoa 白名单自动添加定期删除,无需人工干预...
我只是说了大体的思路,很多细节都没展开.
比如你说的样式的问题,可以考虑将常用网站的 href src 之类的内容同样加入白名单.
这其中还有很多问题需要解决论证,系统真要成型的确会比较复杂.
但连我说的什么都没看明白就下结论,太不友好了.

wwbfred

2019-07-08 19:06:05 +08:00

硬盘加密系统和勒索病毒最大的区别是:硬盘中的文件一定需要在本机做解密.
换句话说,硬盘加密系统的密钥和加解密过程只要打开文件就一定会出现在内存之中,而勒索病毒则不需要.
任何本地文件本地解密的组合都早晚会被破解.除非你把整个系统封闭,禁止非签名代码运行.

oxoxoxox

2019-07-08 19:36:43 +08:00

我们公司正在实施中，和 lz 的想法类似，内网外网两条线，内外网之间设置权限管理和监控
预算几百万，这还没算上给所有人再单独配一台内网专用电脑的预算

huluhulu

2019-07-08 19:50:40 +08:00 via iPhone

xenapp 自己查下，专业的

oska874

2019-07-08 19:56:59 +08:00

辞职吧，太难受了。

ericww

2019-07-08 20:01:35 +08:00 via iPhone

联网不涉密，涉密不联网。配备每人一台涉密机和不涉密机，要拷数据从数据管理员进，必须有审计。各种 xx 安全管理系统都是防君子不防小人。

iEverX

2019-07-08 20:28:36 +08:00 via Android

找几个主要的网站，爬下来

zgl263885

2019-07-08 20:30:21 +08:00 via iPhone

想把资料拷出来有一亿种方法，没啥意义

czwstc

2019-07-08 20:38:57 +08:00 via iPhone

试试使用一个代理服务器，然后上面做网站屏蔽和规则审计。
我司使用的是 Bluecoat

Greenm

2019-07-08 21:27:31 +08:00 via iPhone

@qwerthhusn 代理可以解密所有的流量，这也是内置根证书的意义，所以你经过网关的所有数据都是透明的，包括 https，随便看。如果你想自己多混淆一层，对不起，网关解密失败直接拒绝连接。

shuangyeying

2019-07-08 21:34:20 +08:00

可以在现有的查资料方法上，看看可以取巧么？新方法出问题，妥妥就是来背锅了。

gam2046

2019-07-08 21:44:26 +08:00

这是行政（制度、法律）问题，而非一个技术问题。不应该试图用技术手段来解决非技术问题。

zjyl1994

2019-07-08 22:09:03 +08:00

额，技术没用的。这东西技术手段总有办法破解。
你还不如弄个机制，整个外网机，查询的时候三到四个人一起盯着他查，没人会当着这么多人偷偷送文件出去的。
（要泄密的话，手机拍屏幕就漏出去了，根本拦不住的

mytsing520

2019-07-08 22:30:39 +08:00

涉密不上网，上网不涉密，这是职场基本道德和规定~
遇到涉密机器上互联网基本上都是强制离职的节奏还没有任何赔偿的那种。。。
出事情的还少么。。。

tydl

2019-07-08 22:33:05 +08:00

vpn

asan2006

2019-07-08 22:43:18 +08:00

我司用的 citrix receiver，我只能说，难用的一批

places

2019-07-08 23:43:22 +08:00

VDI. 不过如果是涉及到国家机密的东西，涉密不上网，上网不涉密，还是克服下困难吧。

exploreexe

2019-07-09 01:44:40 +08:00

个人经验，辞职，换公司，后来证明这个决定非常正确。

gavindexu

2019-07-09 05:46:16 +08:00 via iPhone

@AndroidEngineer #33 这样的公司背景肯定大。

xenme

2019-07-09 06:16:52 +08:00 via iPhone

Citrix 全套解决方案

XenApp 或者 SecureBrowser 都可以。

wweir

2019-07-09 07:10:24 +08:00 via Android

这样一刀切得去搞防泄漏，永远是伤敌 1000，自损 800。
做好教育、审查，开放正常使用权限才是王道。

真想泄露，永远不会是你简单的一道防上传能搞定的

zjsxwc

2019-07-09 07:35:39 +08:00 via Android

@fcfangcc
VMware 的什么服务？我想了解下

mmmi

2019-07-09 08:12:01 +08:00

上堡垒吧！或许这样能做到审计和追溯！限制文件传输！

janxin

2019-07-09 08:24:38 +08:00

镜像需要的资料当到内网，最多加上 SO，23333

基本都是文档之类的，想要解决问题？那自己写代码去。

还是备个单独上网机器即可，拷贝文件也没什么必要吧

dielianxiang

2019-07-09 08:26:20 +08:00

@MeSMC 已经有加密系统（亿赛通），但是那个加密系统漏洞很多。我简单的看了下。就知道怎么解密了文件了。不靠谱。

dielianxiang

2019-07-09 08:27:51 +08:00

@zjyl1994 拍照的你是拦不住的。只能说进我们所能降低这些风险并且能够提高员工的工作效率。

napsterwu

2019-07-09 08:29:48 +08:00 via iPhone

我司内网+伪外网，所有 pc 都是微软预装的，内置我司 ca，以便解密 https。所有外网流量都通过代理出去，代理来做审计。讲道理能在开发电脑能连 maven 仓库已经很方便了

ety001

2019-07-09 08:30:57 +08:00

内网搭建一台高配服务器，装 windows，允许多用户(guest 权限) 同时 3389 上去，这台服务器可以连接到外网。服务器设置 samba 共享目录，只允许用户远程读取，不允许写入。服务器做防火墙规则，只允许内网访问 3389 端口和 samba 服务。3389 服务，注意关掉剪切板共享。如果不放心就自己定制远程桌面软件。

chiu

2019-07-09 08:33:32 +08:00 via Android

前东家的策略就类似你说的，远程桌面到一个可以上网的电脑，做些访问权限限制。

dielianxiang

2019-07-09 08:36:38 +08:00

@ety001 这个回头是比较中肯的。谢谢。

deepweb

2019-07-09 08:45:38 +08:00 via Android

题主问的是怎么对抗隔离，好多回答却是说怎么隔离。

IamFelix

2019-07-09 08:55:32 +08:00

1.堡垒机是可选项 2.为了安全两套系统，双屏操作，也是可选项。3.如果云桌面太过，可以看下一个 ncomputing 的产品。使用他们的软件客户端就行，这样远程的过去是不能拷贝数据的，因为用的不是 rdp 协议。如果使用 rdp 协议拷贝是限制不住的。

strongcoder

2019-07-09 08:58:45 +08:00 via iPhone

@ety001 看起来，这个方案靠谱并且成本低

KyonLi

2019-07-09 09:01:07 +08:00 via iPhone

需要查什么资料提交申请，由专人代查整理成 word 发回

spacezip

2019-07-09 09:06:19 +08:00

堡垒机+前置机再弄个流氓软件管控一下就搞定了弄虚拟桌面动静太大

dielianxiang

2019-07-09 09:15:15 +08:00

@KyonLi 1000 多人研发需要查资料的太多。根本不可行

BranZuo

2019-07-09 09:20:22 +08:00

@kaiyangxin8200 显示器加上身份水印，拍照也能根据水印找到泄露来源

shuax

2019-07-09 09:25:07 +08:00

www.shenxinda.com/p/a/s1.php?goto=202
我们公司用的这套 SDC 沙盒数据保密系统，你看看满足你们的要求不。

dielianxiang

2019-07-09 09:51:43 +08:00

@shuax 好的感谢

M4ster

2019-07-09 09:53:42 +08:00

把程序代码转换为图片（类似二维码的实现），也能把数据传出去呀…

nanmian

2019-07-09 09:55:05 +08:00

前单位的搞法：每个机箱外面套一个更大的隔离机箱加锁，专门管理员管理钥匙，专门有个上网室放几台电脑上网。内外网资料交互必须通过专门管理员进行加密解密。

xmt328

2019-07-09 09:59:36 +08:00

@shuax 我们公司用的这个,我只能说安卓开发连个依赖包都拉不下来,java 开发部署测试环境时间延长三倍,IOS 用的 mac 不用进
最后的效果就是领导盯着就进去装两天样子,过两天代码拷贝出来继续该怎么做怎么做
还弄的代码管理一团糟

q397064399

2019-07-09 10:16:20 +08:00

实际上真的要盗窃资料，根本就防不住，
把资料 base64 然后生成二维码加上微型照相机都可以慢慢给你弄出去

abuzzworld

2019-07-09 10:23:01 +08:00

vpn 访问内网啊

abuzzworld

2019-07-09 10:23:55 +08:00

我们不在公司访问公司内网，必须使用思科的 vpn 软件用指定的账号登录，思科这个垃圾软件全局代理的。mac windows 都支持。

jx915

2019-07-09 10:48:40 +08:00

我公司用的商密安全保护系统,也是锁硬盘，锁开发环境。不过有一点就是从他系统中启动的软件可以上网。然后所有文件只要是经过传输全是被加密了的（环境加密，只有同样在商密系统环境下才能解密）。所有从电脑系统中启动的软件都不能上网，从商密系统中启动的软件都能上网，但是所有的上传功能均不能读取电脑硬盘（都被锁了）。而且还有如果用 qq 微信发送文件会有预警提示，截图也有预警提示。我老大严重警告了几次研发部有人截图代码

jx915

2019-07-09 10:50:24 +08:00

而且还不能文本传输，只要复制超过多少字符全部会被截掉（上网环境和研发环境相互复制的话），单个环境就不会截掉，总之完全可以满足保密和开发不耽误。不然我们早溜了

Lighterman

2019-07-09 11:17:43 +08:00 via Android

涉密不上网，上网不涉密

xenme

2019-07-09 11:34:45 +08:00

@ety001
@strongcoder
@dielianxiang

这就是免费版的虚拟应用。
XenApp 了解下，成本相对虚拟桌面（ XenDesktop 或者 VMware 的 View ）低很多了，VDI 的主要成本是后台服务器硬件成本。

免费 RDP 的你魔改策略、维护、怎么堵住漏洞、审计等等这些一个项目你得找十个人干一年，还得定制开发，成本不一定低

大概架构是：
所有办公电脑只和单点 IP 通信，外部数据只可以下载，无法上传。后面的应用或者桌面访问互联网