Организация работы в офисе

Настраивал что-вроде такого.
Суть: на серваке два диска(массива) - один шифрованый, другой нет. В рабочем режиме работает шифрованый диск. В нештатной ситуации он отключается, и все пользователи видят данные нешифрованого диска. Для людей из вне ничего подозрительного, если грамотно всё настроить.
 
У меня организовано примерно такое на raid 1. Бэкап на облако не сделал чисто из-за того, что не очень то и нужно (информация на данном серваке не сильно важная)
По скорости: при 1 мегабите RPD на семёрке работал довольно сносно это если графику не тягать. А при бухгалтерских делах хватит даже 256-512 кбит
 
Реализовано примерно на 10 человек подобное. на серваке 100мб.с хватает по горло, 5 компов сидит на укртелекоме 20мб.сек хватает, остальные клиенты на 100мб.сек.
Бекапить можно в облако но архивировать его и навешивать сверхзлобный пароль но лучше куда то подальше на свои ресурсы. Да и в настройках безопасности если стоит винда то надо запретить сохраненные пароли в ярлыках РДП. Запретить долгие открытые сесии РДП, установить политику более злобных паролей и их повторения. Ну и для масок шоу запаролить жесткий диск на серваке что бы после какой то попытки подключится тер данные или рушился (у контробандистов на офисе такое видел).
Ну мои пять копеек.
1. Сверзлобные пароли не рулят и не будут рулить. Ибо для большинства работников, как только появляется пароль с длиной больше 4 знаков или же не содержащий "фамилию в девичестве" или "кличку любимого котика", то тут же появляется бумаженция, приклеенная на монитор, лежащая под клавиатурой, вставленная в клавиатуру (нужное подчеркнуть), и тогда смысл в этом пароле.
2. При таком "сливе" узнать где стоит сервер (по IP) не проблема, далее наряд по тому адресу и прощай сервер. Если же сервер не в нашей стране, то тогда геммор работать, в большинстве своем, т.к. есть клиенты, у которых сервера за бугром, так вот более менее нормально могут работать те, кто арендует сервера в датацентрах.
3. В случае датацентра использовать можно будет только лишь программные варианты шифрования.
4. По шифрованию я бы выбрал следующее - есть шифрованный диск (раздел), и есть два разных варианта его подключения. Вариант
а) нам нужный для проверки - при его подключении есть только "правильные данные" и пароль на него знает, к примеру, админ или директор, которым они и поделятся в случае использования метода ректального криптоанализа
и б) тот же самый шифрованный диск, но в случае уже именно правильного пароля, он подключается уже с нашими рабочими данными. Если форматнуть раздел, который и так просит форматнутся или иницилизироватся, то хана всему, изменить конфигурацию компа - опять хана, ввести еще один специальный пароль - опять хана. Если ввести "нужный" пароль - смотрите как у нас все хорошо, а вот уже действительно правильный пароль дает возможность видеть рабочие данные. При перезагрузке сервера мы опять же видим только "правильные" данные (диск / раздел)

рдп если использовать то только последние версии с настроенным шифрованием. А лучше пробрасывать через ssh.
Тут мы только сможем уберечься от "прослушки" трафика, что собственно только лишь немного увеличит дискофорт от работы, в случае зарубежных датацентров и/или нахождения сервера за бугром.

я не доверяю облакам контроль за которыми не у меня. Все зарубежные облака мониторятся АНБ. ну а наши понятно кем.
Согласен. Сам не люблю облака и еже с ними (т.к. параноик немного). С бэкапами - на удаленный еще один сервер, либо на свое облачное решение, либо же на фтп внешку опять же. Тут собственно нет разницы особой как говорится, лишь бы человек был хороший.... вернее лишь бы был бы сервер, на который будет намного тяжелее дотянутся всяким не хорошим редискам, кем бы они не были
 
Вспомнилась старая история с башорга, описывающая реализацию защиты от масок-шоу:
1) пустые компы с подключенной сеткой
2) сервак в фургончике на подземной стоянке, куда выведена одна LAN-розетка
В случае масок-шоу фургончик просто уезжает

А еще на одном из офисов стояла спец-штуковина по генерации электромагнитного сигнала с кнопкой у глав.дира. ПО нажатию на кнопку раздавался ДЗЫНЬ и все винты на офисе размагничивались. Бэкап сливался ежедневно на отдельный диск и увозился личным шофером в неизвестном направлении
 
Назад
Сверху