[xeel]

Решение, которое видел в реальной жизни в одной компании - на входе в офис сдаются телефоны, флэшки, дискетки и т.д. и т.п. на хранение у охранника. Если в офисе у тебя увидят вышеобозначенный девайс - увольнение.
Еще один вариант - заклеить все порты номерными голографическими наклейками и регулярно их сверять, нарушена целостность - уволнять сотрудника.
Далее - отключение портов в БИОСе. Опечатывание аналогичными наклейками системных блоков (чтобы нельзя было его вскрыть и сбросить БИОС).
Установка аппаратных средств защиты а-ля Аккорд-АМДЗ.
Вход в домен - по смарткартам.
В идеале - вообще установка на рабочих местах терминалов с запуском по смарткарте (например с использованием серверов и терминалов Sun).
Вроде все, больше идей нет.
А, ну ещё разумеется, установка аудита на все события - чтобы можно было выяснить кто и что делал.

Ну а если IMHO - вынести всё равно получится (например - разобрать системник и вынуть винт - и идёт вся защита в одно место). Вопрос в том, что об этом смогут узнать. Защита от инсайдера, особенно если в их число входит и администратор сети - это большая головная боль.
Кстати, про администратора - его пароль можно разделить на 2 части - одну знает он, вторую - руководитель предприятия (или руководитель службы безопасности). Чтобы даже он ничего сам не мог сделать.