Как защитить от утечки данных?

У нас есть несколько рабочих станций, которые имеют доступ к сетевому ресурсу со всеми файлами нашей компании. Это правильно, потому что пользователи могут использовать их.
Однако наш босс обеспокоен тем, что кто-то (возможно, после отставки) может подключить USB-накопитель и взять эти файлы домой или что-то в этом роде. Поскольку мы не можем запрещать USB-накопители (мы, возможно, нуждаемся в них для регулярной работы), есть ли что-то, что мы могли бы сделать для повышения безопасности, затрудняя кражу данных?
Я являюсь администратором этих рабочих станций, и у пользователей нет полномочий root (очевидно).
Может быть, SELinux / AppArmor может запретить копирование из одного конкретного каталога в другой?

Нет, ты не можешь. Если они могут читать файлы, они могут их скопировать.

РЕДАКТИРОВАТЬ:

Я думал об этом и, может быть, вы можете что-то сделать. Если к этим файлам нужно получить доступ только несколькими программами (вы сказали что-то о файлах САПР), возможно, вы можете установить владельца программы новому пользователю (скажем, CADuser) и изменить разрешения всех этих файлов, чтобы только CADuser мог читать их. Установка липкого бита в программе САПР позволит тем, кто запускает программу, быть этим пользователем во время запуска программы, таким образом, имея возможность доступа и работы с файлами. Но если они перестанут запускать программу, у них не будет доступа к этим файлам. Я не тестировал, но я уверен, что если файл будет сохранен в любом другом месте, разрешения будут правами пользователя программы, поэтому они не будут доступны вне программы, что усложнит действие их копирования к USB.

Это очень сложно и более политическое решение, чем техническое решение IMO. Есть слишком много обходных решений, чтобы «получать данные из одного места в другое». Вы можете запретить копирование, но как бы вы могли предотвратить cat $file > /usb/$file ?

Просто невозможно сделать исчерпывающе.

Я бы предложил поэтому запретить доступ рабочей станции к файлам и требовать удаленного входа на сервер, к которому у пользователя нет прямого физического доступа, и ограничить то, что они могут делать с помощью sudo – например, не sudo su а вместо этого набор команд, которые считаются «достаточно безопасными».

Либо это, и / или быть более строгим в отношении съемных устройств хранения данных – сделать это дисциплинарным преступлением, чтобы привести его в здание (у которого нет соответствующего контрольного журнала и проверки входа / выхода).

Но на довольно фундаментальном уровне это проблема безопасности персонала, а не техническая. Хорошей отправной точкой является мешок людей, которым вы не доверяете!