有两个场景
- 用友中存有企业配方与报税数据,所以用友设定为仅能在内网使用,不过这样的话在外网电脑报税时就很麻烦需要在人工手工录入。
- 企业有两个OA,一个运行于内网,一个运行于外网。领导认为太麻烦了。有没有既安全有便捷的办法让企业只存在一个OA。在OA中机密数据只能在内网看到。
费用预算为1万元以内
这不就是 XXX 的典型运用场景吗
这种一般不都是使用类似cloudflare Zero Trust 的方案去解决吗?
这怎么还有关键词替换啊?Virtual Private Network
这么有哲理的问题还是留给人事部门去头疼吧,
因为除非能保证所有人都可靠,
不然商业间谍也能享受到那些便捷!
啊?报税的数据怎么还要放内网?你们是两套账吗? 
看起来像是“零信任”应用场景,除了那个预算。
能否详细说?
谢谢,我粗浅的看了一下会继续研究的。您的意思是利用网穿的方法让外网穿透到内网吗?如果是这样可能是我说的不太清晰。我的问题是内网的数据如何解决安全与便捷不能兼得的问题。比如内网有些数据是可以导出到外网上面的,但是这要由人来判断,我的问题就是这一步如何不由人来判断。或者有其他的解决方法。
你这说的跟上面完全不是一个意思(至少和我理解的完全不同)啊。
这样的话,那可能上面给的那些都没啥帮助。
有些企业管理软件可以根据硬件id锁定文件,导出通用文件需要审核,采用这种方案会好点吧,市面上都有成套的方案
可以合并,但问题在于实施难度和费用,这个你需要去咨询供应商,可能涉及到定制开发的费用。 
企业软件,除非人为制造障碍,一般来说都是有解决方案的,没现成的就花钱开发,钱够了功能就有了;不花钱,还想用的好?不存在的 
嗯,我想出的解决方案是 让报税电脑只能报税来解决。而OA还没有想到好方法。
谢谢,你说的是加密方案,暂时因为预算未考虑。
看的不太明白.
第一个场景:
如果是为了保密的话, 内网电脑肯定需要物理隔离, 那么就不要考虑让内网访问外网电脑的情况.
如果内网电脑访问外网电脑, 就肯定算违反保密规定. 所以这个暂时不要考虑了.
第二个场景:
如果是想通过互联网访问内网OA的话, 可以用 Virtual Private Network
安全性要求高 ,就用 u key, 也就是u盾 这类硬件数字证书.
要求低, 就用 短信验证.
再低, 就用虚拟局域网软件.
感觉你说的和之前问题的出入很大啊。Zero Trust 实际上解决的问题是,一个暴露在公网的内网服务如何鉴权的问题。特定的用户组才能访问特定的网页。
方法一,微屁恩。外面的人通过虚拟局域网接入企业的内网。
方法二,堡垒机。搭一台windows服务器,给人发配远程桌面权限,人登录到堡垒机再访问企业内网。
针对第二个场景。
需求1是“只存在一个OA”,本质上是内外网访问。一个成熟的商用业务系统应当都能内外网访问,包括内外网的IP地址或域名,甚至都能为所有的IP和域名签发SSL证书。
需求2“在OA中机密数据只能在内网看到”本质上是对系统功能和数据的访问控制,或者说权限。我认为,首先业务系统自身功能要支持,其次企业在应用这套系统时,企业自身也应当划分清楚哪些信息对象是“机密数据”,哪些功能需要进行权限控制。做好了信息资源分级、设定角色和权限,无论内外网应当都能保障安全。
一个观点,限定内网不是安全控制的唯一手段。目前技术手段若都能有效实施落地,数据在跨网段传输过程的安全并非企业数据安全的主要难点,主要难点在于对角色、人的管理,在于安全管理制度的执行。
安全问题主要考虑短板效应和风险收益,企业会面临来自很多方面的安全威胁,如果没有章法的处理,很可能所做的工作只是带来了不便,对真正想要攻击你的黑客来说没有抬高对方的成本。
个人认为对小企业来说,比较务实的做法是实施AD统一认证和XXX进行流量隔离,普通网管应该可以实施,人工成本较低。然后就是做好日志跟踪,确保所有涉及这套系统的流量和操作行为都能被纪录下来,并且确保所有接触核心机密的人都知道他们的行为会被纪录下来,产生震慑。
其他技术方法我感觉对中小企业来说技术实施成本,以及需要各个系统配合改造的复杂度,都会导致最终难以落地。
防火墙自带的sslvpn,或者在DMZ区域部署一台OpenVPN
劝你们别折腾。企业安全大于天。不出事还好,出事你就得背锅。
如果没有充足的安全预算,还是执行内外网隔离的办法吧。最好还要把 U 盘的插口封死。设置一台专门的堡垒机,有需要从外肉转移到内网的数据,就通过那台堡垒机的 USB 接口复制。
这个办法虽然麻烦,但是习惯了也好。是总体成本最低的安全方案了。
内外网的 OA 应该分开。不重要的事情放外网,内网只做重要并且保密的信息流转吧。
2 个赞