公司内外网隔离-查资料麻烦-解决方案

2019-07-08 14:32:41 +08:00

dielianxiang

我司研发不能上外网。主要是技术保密。但是现在很多人反馈查资料太麻烦。所以现在咨询一下各位大神。有没有办法能做到可以方便的查询资料且公司的资料不能传走？

前期我也调研了一下。大概的思路是：

先弄一个外网环境电脑（ A ）。
公司内网电脑远程到电脑 A。但是需要限制住远程时候不能随意文件传输（内网电脑可以从 A 拷贝。但是内网电脑不能拷贝资料到 A ）。

目前这种方案有没有成熟的软件或者硬件。

如果正好有 V 友做请联系我。

14249 次点击

所在节点

程序员

118 条回复

wr410

2019-07-08 14:36:42 +08:00

搞台公共机，谁要拷过去登记，现场派人监督，简单方便暴力快捷。

lihongjie0209

2019-07-08 14:41:37 +08:00

那台电脑搞一个行为监控不就好了

chih758

2019-07-08 14:41:48 +08:00

辞职

basaka

2019-07-08 14:43:54 +08:00

能外外网的建 SS 服务端内网 SS 就行，V2 同理

annielong

2019-07-08 14:48:31 +08:00

上个深信服类的，限制文件传输，但是也架不住文本传输

dielianxiang

2019-07-08 14:51:06 +08:00

@wr410 我们现在有几台固定的上网地点。但是需要到其他地方。使用起来不是很方便。

RiESA

2019-07-08 14:51:53 +08:00

两边电脑搞个邮箱的话,应该可以通过邮件服务器的配置啥的来做限制吧? 自己想要什么文件自己通过公用机器的邮箱发到自己的邮箱,然后内网接收,配置规则不允许发往外网

而且这样全部发的都有记录,后期也可以核查,不过前提是要有内网的邮件服务器

dielianxiang

2019-07-08 14:52:27 +08:00

@lihongjie0209 监控这玩意一旦泄露出去再去追究责任已经损失很大了。

dielianxiang

2019-07-08 14:53:08 +08:00

@RiESA 现在上传的渠道太多，网盘等肯定不能完全限制住

kaiyangxin8200

2019-07-08 14:54:28 +08:00

核心其实还是人，真心有泄漏想法的，手机拍照也能给你搞出去

matthewz

2019-07-08 14:57:07 +08:00

什么高精尖技术还要防 copy? 你是造火箭的?

wwbfred

2019-07-08 14:58:13 +08:00

如果你说的查询资料指的保密机需要通过某种方式接入互联网,那这个需求似乎很难实现.
因为从原理上讲,"查询资料"这一过程必然涉及到数据上传,否则连接无法建立.
只要有上传通道,那上传的数据就不可控.因为我们可以在任何不可信可审查的信道上建立加密连接.
即使规定禁止任何不可读数据的上传,并且有手段保证这一点,我们依然可以把加密数据写入 cookies 之类的地方.
涉密不联网,联网不涉密,这是保证信息安全的最基本最有效的原则.

gz911122

2019-07-08 15:01:03 +08:00

不存在的

你要查询就要连接外网,连接外网就存在上传

anoulin2009

2019-07-08 15:05:36 +08:00

网闸+上网行为管理

rffan

2019-07-08 15:09:11 +08:00

只要能上网就是文件传输，任何文件我都能加密成文本然后传输出去啊。。。你这个。。。除非是查资料的时候人盯着。

7654

2019-07-08 15:14:58 +08:00

只要能可访问外部网络，内网资料 100%都可以传出去

pelloz

2019-07-08 15:19:01 +08:00

两台电脑，一台可以上外网，一台不能上。能上外网的电脑可以将查到的资料上传到内部公共文件分享目录，内网的机器可以读取这个分享目录的文件，但是没有写权限。

hebin

2019-07-08 15:30:31 +08:00

叫老板查了以后告诉口头你们就可以了

lyh404

2019-07-08 15:30:34 +08:00

我之前的公司是不能上外网，只能内部网，要查资料统一登录到服务器去查，下载的资料可以拷贝到本地，本地的资料不能拷到服务器，麻烦得要死。

wwbfred

2019-07-08 15:35:11 +08:00

可以考虑建立以搜索引擎为中心的局域网服务器.
具体架构可以是这样:
1.一台局域网搜索引擎服务器,前端接受关键词,后端只将关键词转发到靠谱的搜索引擎,忽略其他任何数据.
2.将搜索引擎返回的 url 加入白名单,有有效期限制.
3.局域网服务器只响应白名单内的 url,并且同样忽略除 url 外的任何数据.
核心思想是:用户上传到互联网的数据只有一个:可读关键词.其他任何上传到互联网的数据都是由互联网返回的.

第 1 页／共 6 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/580998

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.