我们有一些工作站可以访问包含我们公司所有文件的网络共享。这是正确的,因为用户可能需要使用它们。
然而,我们的老板担心有人(可能是辞职后)可能会插入 USB 驱动器并将这些文件带回家或类似的东西。既然我们不能禁止 USB 驱动器(我们可能需要它们来进行日常工作),我们可以采取一些措施来提高安全性,使数据盗窃变得更加困难吗?
我是这些工作站的管理员,并且用户没有 root 权限(显然)。
也许 SELinux/AppArmor 可以禁止从一个特定目录复制到另一个目录?
答案1
这是非常困难的,在我看来,这更像是一项政策决定,而不是技术决定。 “将数据从一个地方获取到另一个地方”的解决方法太多了。您可以禁止复制,但如何防止复制呢cat $file > /usb/$file?
根本不可能做到详尽无遗。
我会建议因此,您禁止工作站访问文件,并要求远程登录到服务器 - 用户没有直接的物理访问权限,并限制他们可以通过sudo- 例如不是 sudo su而是一组被认为“足够安全”的命令。
或者,和/或对可移动存储设备采取更严格的规定——将可移动存储设备带入建筑物内(没有适当的审计跟踪和进/出口检查)将构成违纪行为。
但从根本上来说,这是一个人员安全问题,而不是技术问题。解雇你不信任的人是一个很好的起点!
答案2
不,你不能。如果他们可以读取文件,他们就可以复制它们。
编辑:
我一直在想,也许你可以做点什么。如果这些文件只能由几个程序访问(您提到了有关 CAD 文件的内容),也许您可以将程序所有者设置为新用户(假设为 CADuser)并更改所有这些文件的权限,以便只有 CADuser 可以读取他们。在 CAD 程序中设置粘滞位将允许运行该程序的用户在程序运行时成为该用户,从而能够访问和使用文件。但如果他们停止运行该程序,他们将无法访问这些文件。我没有测试过,但我很确定,如果文件保存到任何其他位置,权限将是程序用户的权限,因此它们将无法在程序外部访问,从而使复制它们的行为变得复杂至 USB。