![]() |
Задача: хранить в офисе минимально возможные данные.
Имеем 3 "пустых" компьютера, которые через RDP соединяются с центральным компом, который физически находится в другом месте. При появлении людей в форме, RDP закрывается и предоставляется к проверке "чистый" компьютер. Вся бухгалтерия, и прочие файлы физически становятся недоступны. Вопрос 1: Как бекапить данные на центральном компе? RAID или в облако? В идеале конечно RAID+облако Вопрос 2: Какая минимальная скорость отдачи должна быть на человека на центральном компе для комфортной работы? Схема в первую очередь направлена не на уход от лицензирования ПО, а как мера защиты от недобросовестной конкуренции. |
ага и из облака ваши данные спокойно утекают в уполномоченные органы =)
бекапить нада на свой сервер но в другом месте, лучше даже в другом здании или районе. |
Реализовано примерно на 10 человек подобное. на серваке 100мб.с хватает по горло, 5 компов сидит на укртелекоме 20мб.сек хватает, остальные клиенты на 100мб.сек.
Бекапить можно в облако но архивировать его и навешивать сверхзлобный пароль но лучше куда то подальше на свои ресурсы. Да и в настройках безопасности если стоит винда то надо запретить сохраненные пароли в ярлыках РДП. Запретить долгие открытые сесии РДП, установить политику более злобных паролей и их повторения. Ну и для масок шоу запаролить жесткий диск на серваке что бы после какой то попытки подключится тер данные или рушился (у контробандистов на офисе такое видел). |
рдп если использовать то только последние версии с настроенным шифрованием. А лучше пробрасывать через ssh.
|
Цитата:
|
я не доверяю облакам контроль за которыми не у меня. Все зарубежные облака мониторятся АНБ. ну а наши понятно кем.
|
|
1) Согласен, но хотелось бы, как минимум, RAID 1 - зеркалирование
2) Бухгалтера и делопроизводство |
И чем вы собрались шифровать?
|
Цитата:
|
Настраивал что-вроде такого.
Суть: на серваке два диска(массива) - один шифрованый, другой нет. В рабочем режиме работает шифрованый диск. В нештатной ситуации он отключается, и все пользователи видят данные нешифрованого диска. Для людей из вне ничего подозрительного, если грамотно всё настроить. |
У меня организовано примерно такое на raid 1. Бэкап на облако не сделал чисто из-за того, что не очень то и нужно (информация на данном серваке не сильно важная)
По скорости: при 1 мегабите RPD на семёрке работал довольно сносно это если графику не тягать. А при бухгалтерских делах хватит даже 256-512 кбит |
Цитата:
1. Сверзлобные пароли не рулят и не будут рулить. Ибо для большинства работников, как только появляется пароль с длиной больше 4 знаков или же не содержащий "фамилию в девичестве" или "кличку любимого котика", то тут же появляется бумаженция, приклеенная на монитор, лежащая под клавиатурой, вставленная в клавиатуру (нужное подчеркнуть), и тогда смысл в этом пароле. 2. При таком "сливе" узнать где стоит сервер (по IP) не проблема, далее наряд по тому адресу и прощай сервер. Если же сервер не в нашей стране, то тогда геммор работать, в большинстве своем, т.к. есть клиенты, у которых сервера за бугром, так вот более менее нормально могут работать те, кто арендует сервера в датацентрах. 3. В случае датацентра использовать можно будет только лишь программные варианты шифрования. 4. По шифрованию я бы выбрал следующее - есть шифрованный диск (раздел), и есть два разных варианта его подключения. Вариант а) нам нужный для проверки - при его подключении есть только "правильные данные" и пароль на него знает, к примеру, админ или директор, которым они и поделятся в случае использования метода ректального криптоанализа и б) тот же самый шифрованный диск, но в случае уже именно правильного пароля, он подключается уже с нашими рабочими данными. Если форматнуть раздел, который и так просит форматнутся или иницилизироватся, то хана всему, изменить конфигурацию компа - опять хана, ввести еще один специальный пароль - опять хана. Если ввести "нужный" пароль - смотрите как у нас все хорошо, а вот уже действительно правильный пароль дает возможность видеть рабочие данные. При перезагрузке сервера мы опять же видим только "правильные" данные (диск / раздел) Цитата:
Цитата:
|
Вспомнилась старая история с башорга, описывающая реализацию защиты от масок-шоу:
1) пустые компы с подключенной сеткой 2) сервак в фургончике на подземной стоянке, куда выведена одна LAN-розетка В случае масок-шоу фургончик просто уезжает А еще на одном из офисов стояла спец-штуковина по генерации электромагнитного сигнала с кнопкой у глав.дира. ПО нажатию на кнопку раздавался ДЗЫНЬ и все винты на офисе размагничивались. Бэкап сливался ежедневно на отдельный диск и увозился личным шофером в неизвестном направлении |
| Время: 05:56 |