我们想上一个软件或者中间设备,来监控当前网络下的所有联网设备,尤其是针对常见聊天工具中聊天内容的收发、文件的收发。
听说好多大公司有使用这种东西,求一个低成本点的。
听说好多大公司有使用这种东西,求一个低成本点的。
第 1 条附言 · 5 天前
真实目的不是为了监控他们上班时间在干嘛,是为了在疑似发生资料泄露后方便溯源一下,高度怀疑的时候找下证据。
他们的行为很可能是,先拍照(小概率拍 PC ,大概率拍纸质文件),然后通过手机聊天工具发送的,普通小企业很难保护自身内部资料的安全。
主要是想监控一下当前网络下,移动端聊天工具中内容的收发情况,即使可以监控,也是在一定程度上搜集证据,没法完整覆盖整个泄露流程,就有点头疼。
他们的行为很可能是,先拍照(小概率拍 PC ,大概率拍纸质文件),然后通过手机聊天工具发送的,普通小企业很难保护自身内部资料的安全。
主要是想监控一下当前网络下,移动端聊天工具中内容的收发情况,即使可以监控,也是在一定程度上搜集证据,没法完整覆盖整个泄露流程,就有点头疼。
 |
1
GuluMashimaro OP 大部分是移动设备,非 PC
|
 |
2
wheat0r 6 天前  1
这东西基本上都是商用的硬件,因为这类东西最值钱的是特征库。
另外如果你需要监控所有网络通信,还必须在所有人的设备上安装 CA 证书。 |
 |
3
tomczhen 6 天前
常见聊天工具的聊天内容这一条就决定了成本不可能低,除了方案本身成本还有合规成本。
最低成本的方法估计是每个工位装个摄像头,要求员工一定要在摄像头下面使用设备。 |
 |
4
opengps 6 天前
这类东西都比较贵,是行为管控的硬件设备。软路由之类的方式似乎支持功能没那么到位
|
 |
5
zjsxwc 6 天前 via Android
https 通讯的如何监控,中间人劫持转发请求?
所以设备是中间人劫持软件? 首先污染 dns ,然后再统一劫持? |
|
8
zjsxwc 6 天前 via Android
@opengps 你也说了,客户端装证书,换个设备甚至虚拟机,不就不行了吗,还有现在有 dns over https 直接用过的 dns 这套,相当于这种方式的根基被掘了。
|
|
10
zjsxwc 6 天前 via Android
|
|
12
zjsxwc 6 天前 via Android
@zjsxwc 手机的隐私保护,比 Windows 更加强大,现在的安卓、苹果系统开发 app 时都有接口避免被截屏的,比如我打开一个起点中文看小说,用上面那套截屏+ocr 方式就搞不了,因为根本截屏不了,还有手机厂家众多,内核混乱,根本搞不了啊。
|
 |
13
TellMeWHY 6 天前
曾经做过此类上网行为监控设备的项目:深信服、网络督察等;
PC 端(装插件)都有办法监控内容; 手机端出去的只能看到 URL 和流量特征库分类( HTTP 除外); |
|
14
wheat0r 6 天前
@zjsxwc #8 可以搭配准入,没有证书不让入网。用 CA 做中间人攻击的方式,客户端怎么搞 DNS 对监控效果没有影响。
唯一的问题是很多设备不容易安装证书。所以嵌入式设备一般使用的是独立的 SSID 、VLAN 做 MAC 认证,并且通过安全策略限制网络连接。 |
 |
15
mingl0280 6 天前 via Android
哥们,自己装的 100%不合法你信不?
|
 |
16
jqknono 6 天前
应该没有成本低的. 所有设备需要安装证书, 认证证书才允许接入网络.
要对所有流量进行中间人解析, 然后从中提取特征, 聚合后存储, 使用成本就不会低. 中间人设备的性能要求较高, IO 能力要求也高. 一般是用的深信服的, 除了深信服不清楚还有哪些企业做这个. |
|
17
wheat0r 6 天前
@mingl0280 #15 企业装合法的。
《网络安全法》第二十一条: 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改: (三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月。 |
 |
18
xixiv5 5 天前
买台深信服吧
|
 |
19
sherwin008 5 天前
@wheat0r app 上会存在 ca 证书吗
|
|
20
wheat0r 5 天前
@sherwin008 #19 在系统的根证书库里就可以了吧
|
 |
21
derryooo 5 天前
openwrt 中安装应用过滤插件,监控 app 使用记录,也可以通过日志查看网站记录,代码开源 https://www.openappfilter.com ,当然只能获取到 https 的域名,内容获取不到,也就是说访问了哪些网站是可以查看的
|
 |
22
jamesjammy061 5 天前
是否在找 panalog
|
 |
23
yhm2046 5 天前
为什么大家要助纣为虐?简中環境本來就爛透了還回答這種侵犯人權的問題
|
|
24
wheat0r 5 天前
@yhm2046 #23 保障用户知情权就好了,并没有人建议 OP 偷偷审计用户数据。
而且,一个严谨的企业应该在审计员工网络流量的同时为员工提供办公专用的计算机和手机,并且禁止员工自己的设备入网。 |
 |
25
liyafe1997 5 天前
“聊天工具中聊天内容的收发、文件的收发”不可能光靠网络设备做到,现在的互联网应用都是加密的,SSL/TLS 。
这种需求只能在客户端上部署监控软件来实现。 |
 |
27
klxyy 5 天前
深信服是做的最好的,就是价格稍微黑一点点
|
|
28
GuluMashimaro OP @yhm2046 真实目的就是防止内部资料泄露,真没兴趣天天这么有时间看他们在干嘛,主要是有时候疑似资料泄露了方便溯源一下。
|
 |
29
yidev 5 天前
"低成本网络设备监控软件" 通过网络实现不了. 突破不了 https. 要靠客户端截屏. 低成本也不行.
|
 |
31
yankebupt 5 天前
这个低成本不了。因为要求员工不能使用自己的手机,只能使用公司发的手机
你要图省钱员工上交手机统一安软件,员工上交个 iOS 或者国外安卓开个家长锁或者监管证书,你装软件就得折腾死 还涉及到基站信号屏蔽,因为并不一定要手机才能连 LTE ,树莓派插个卡也行,甚至不走基站用 LoRA 之类的自有协议低速率长时间发出去也行,得上考场反作弊器,屏蔽基站的合规问题也很烦人 当然你要是准备把员工卖到秒瓦底去,那直接上暴力没收手机就是了 |
 |
32
YaakovZiv 5 天前
单说预防拍照,就必然要商用水印或者拍照时自动黑屏的设备才行。是专用的。没见过开源或者免费的可以做
|
 |
33
oksbsb 5 天前
手机直接通过 4G/5G 联网你咋监控,难道还上信号干扰,他拍照了回去发送不一样么
|
 |
34
vfxx 5 天前
换个思路,找手机厂商做企业定制版手机吧,出厂预装 CA 证书和客户端~ PC 端类似的工具很多也很成熟,移动端单说 SSL/TLS 这块就很难搞定,如果对方用 5G 网不用公司 WIFI ,那这个监控就毫无意义了。
|
|
35
wheat0r 5 天前
防拍照,只能隐水印了,别的都不灵
|
 |
36
ID404 5 天前
网络侧通过 上网行为管理 这类硬件实现,终端侧通过 DLP 防泄密软件。
上网行为管理有深信服、奇安信等安全或网络硬件厂商都有这类硬件设备,防泄密类似 ip-guard 、ping32 等等。 上网行为管理主要是监控网络流量,通过网络流量记录上网用户的行为,比如访问过什么网络,上传下载文件等等。但需要注意是加密流量一般不好识别,例如 https 流量需要在终端安装证书或 agent,例如特殊加密手段,比如翻墙流量一般无效。好处就是能监控整网,比如手机或其它不容易安装终端软件的设备。 DLP 防泄密软件的监控维度更高,但需要安装在终端设备上,手机或特殊终端不能安装的不适用。DLP 防泄密软件可以监控到应用级别比如发出或接收过什么文件。网站浏览上传下载记录,打印记录、usb 文件记录,邮件记录,屏幕水印(屏幕水印还可以做到隐水印肉眼识别不出来,防止手机拍昭泄密)等。 防泄密是一项系统工程,需要结合上网行为管理或终端 DLP 等一系列软件。 当然低成本的话可以只上 DLP 软件,这类软件一般都可以按模块付费。按需购买模块就可以。 |
 |
37
mkz 5 天前
靠上网行为管理根本就解决不了你这种问题,都用自己的手机发送图片了,为啥还要用公司 WIFI
|
 |
38
lower 5 天前 1
op 的主要目的应该是找这么一套符合基本功能的系统,跟领导交差。。至于上了系统后真正能不能在泄密后有效找到证据。这也不能 100%要求啊,能有 30%的起到震慑作用就够了
这种事情真正还得靠人,举报有奖励,靠员工互相揭发😂,人人自危才不敢搞事情。。。记得之前华为外包,有人加班到很晚朋友圈 发了一张加班的图,感叹加班奋斗辛苦,很快就被通报批评三级安全事故,这种还得靠同事举报效率高 |
 |
39
laminux29 5 天前
你需要的是深信服的方案,而且必须在员工电脑上安装监控软件才能达到目的。
|
 |
40
NewYear 3 天前 1
低成本方案,打电话给深信服,他们会上门给你整套方案,也可能找其他服务商的。能选择的就是不同的服务商,价格上有所差异,方案也有所差异。
零成本方案,可以通过多种开源软件、类库搭配进行实现,如果不懂细节可以问 AI ,一分钱不用花,在这里不用看了,没人会给你这套方案,也给不了,只有 AI 可以免费给你。 |
Select Language