翻看中國(guó)古代的戰(zhàn)爭(zhēng)史，其實(shí)就是一部城池的攻防史。

幾千年來(lái)，“攻城拔寨”是歷來(lái)戰(zhàn)爭(zhēng)的直接目標(biāo)和關(guān)鍵動(dòng)機(jī)。隨著戰(zhàn)事迭起，攻防相生，城池也因此成為最大，最重要的戰(zhàn)爭(zhēng)舞臺(tái)。從秦始皇修筑萬(wàn)里長(zhǎng)城開(kāi)始至今，無(wú)論是歷代對(duì)于長(zhǎng)城防線的高度重視，還是今天我們依然用“鋼鐵長(zhǎng)城”來(lái)形容我們的國(guó)防理念，都足已說(shuō)明這種以城墻為基礎(chǔ)的戰(zhàn)略防御思想，對(duì)我們的影響是多么重要、多么深遠(yuǎn)。

同樣的道理也適用于企業(yè)的內(nèi)網(wǎng)安全領(lǐng)域，對(duì)于企業(yè)來(lái)說(shuō)，安全事件經(jīng)常從各種地方發(fā)生，如果不能構(gòu)建一個(gè)堅(jiān)固的安全防線，很可能關(guān)系企業(yè)發(fā)展命運(yùn)的機(jī)密信息，只因?yàn)橐粋€(gè)U盤的不慎重使用，或者是一個(gè)普通員工的無(wú)意操作，就輕易泄漏出去。

安馳鋁合金車輪有限公司（以下簡(jiǎn)稱“安馳”）就深知防御體系的重要性，在2010年10月13日，正式部署IP-guard內(nèi)網(wǎng)安全系統(tǒng)，在其幫助下構(gòu)建了一個(gè)全方位、立體化的信息防泄漏三重保護(hù)體系。

前進(jìn)之路的“心頭病”

安馳主要從事汽車、摩托車及各種高致密鋁合金車輪的制造，公司每年設(shè)計(jì)車輪的品種和款式的數(shù)量都居世界第一，年銷售收入達(dá)5億元人民幣，目前擁有三大生產(chǎn)基地，在職員工700多人，可實(shí)現(xiàn)年產(chǎn)300萬(wàn)只優(yōu)質(zhì)鋁合金輪轂，產(chǎn)品遠(yuǎn)銷至日本、美國(guó)、德國(guó)等62個(gè)國(guó)家。

利用信息技術(shù)，強(qiáng)化自主開(kāi)發(fā)能力，快速推出針對(duì)各種型號(hào)車輪的最新設(shè)計(jì)款式，滿足客戶多元化需求，是安馳立足于激烈的鋁合金車輪行業(yè)，并出奇制勝的最大秘訣。

信息化的不斷開(kāi)展，卻為安馳自主知識(shí)產(chǎn)權(quán)保護(hù)帶來(lái)了擔(dān)憂：強(qiáng)大的開(kāi)放性和互通性催生了商業(yè)泄密、網(wǎng)絡(luò)間諜等眾多灰色名詞，持續(xù)涌現(xiàn)的企業(yè)機(jī)密信息外泄事件讓安馳的憂慮越來(lái)越深。

快速發(fā)展的安馳，就好比行駛在高速公路的汽車，行駛的速度越快，越要注意自身的安全，安馳的副總經(jīng)理吳湛表示：“任何一個(gè)微小的失誤，即會(huì)對(duì)安馳造成難以挽回的悲劇局面”。如果在此時(shí)出現(xiàn)代表安馳核心競(jìng)爭(zhēng)力的設(shè)計(jì)圖紙信息外泄問(wèn)題，造成的影響是無(wú)法估量的。

對(duì)此，安馳本身已經(jīng)制定了一套安全規(guī)章制度，也通過(guò)設(shè)置BIOS的方式封鎖了設(shè)計(jì)部門的USB接口（連接打印機(jī)的計(jì)算機(jī)除外），對(duì)設(shè)計(jì)部門甚至采取了網(wǎng)絡(luò)隔離，但一些泄密隱患還是存在：

◆ 封BIOS只能取得“允許/禁止”兩種效果，一禁全禁，一放全放，極有可能因?yàn)閁盤、打印等造成泄密，用戶甚至還可以通過(guò)CMOS放電輕松繞過(guò)管制；

◆ 通過(guò)智能手機(jī)、打印帶走文件，或使用3G上網(wǎng)卡等連接網(wǎng)絡(luò)，通過(guò)網(wǎng)絡(luò)帶走；

◆ 在允許使用互聯(lián)網(wǎng)的部門，文件可能通過(guò)QQ、MSN、郵件外泄；

◆ 電腦或者硬盤丟失則難以防范；

另外，安馳缺乏對(duì)內(nèi)網(wǎng)行為的審計(jì)，管理者無(wú)法了解員工的操作行為，如果泄密事件發(fā)生，也無(wú)從追查。#p#

建立全方位信息防泄三重保護(hù)體系

在與IP-guard技術(shù)專家的溝通中，安馳說(shuō)出了自己的困擾。IP-guard技術(shù)專家根據(jù)安馳的實(shí)際情況，為其提供了一套全方位信息防泄漏解決方案。

實(shí)際上，在安全領(lǐng)域中，某些企業(yè)為了確保自己的網(wǎng)絡(luò)安全高枕無(wú)憂，“不求最好，但求最貴”地位自己配備上各種“最佳”的單一產(chǎn)品，并期望這種“強(qiáng)強(qiáng)組合”能給企業(yè)套上萬(wàn)無(wú)一失的金鐘罩。殊不知這種做法往往意味著企業(yè)必須付出較高的成本，并增加了技術(shù)的復(fù)雜性。

IP-guard所提供的全方位信息防泄漏解決方案，只需通過(guò)單一產(chǎn)品，即可為企業(yè)量身打造全面的信息防泄漏三重保護(hù)體系，最大限度保護(hù)內(nèi)部的機(jī)密資料，同時(shí)還為企業(yè)帶來(lái)很多其他的好處：減少了購(gòu)買成本，簡(jiǎn)化了日常的操作與管理，降低了系統(tǒng)的資源占用。

IP-guard為安馳構(gòu)建了以“審計(jì)-控制-加密”為主的信息防泄漏三重保護(hù)體系：通過(guò)完整的文檔操作審計(jì)發(fā)現(xiàn)網(wǎng)內(nèi)安全的危險(xiǎn)趨向，及時(shí)做出預(yù)防；對(duì)網(wǎng)絡(luò)和外部設(shè)備等可能的泄密渠道加以控制，防止文檔外流；高強(qiáng)度的透明加密保證文檔在論在何時(shí)何地都能得到有效保護(hù)。

安全事件發(fā)生前就被“揪”出來(lái)了

“現(xiàn)在，IP-guard的保護(hù)讓我們不再擔(dān)心設(shè)計(jì)圖紙或者其他文檔的安全。”吳湛介紹說(shuō)，只要當(dāng)異常情況發(fā)生，比如員工有意、無(wú)意越級(jí)訪問(wèn)了安全文檔，或者對(duì)機(jī)密文檔進(jìn)行修改、刪除、打印等可能發(fā)生風(fēng)險(xiǎn)的操作……IP-guard都會(huì)出現(xiàn)警報(bào)并且記錄下來(lái)，第一時(shí)間發(fā)現(xiàn)安全風(fēng)險(xiǎn)，幫助安馳防范于未然。

通過(guò)IP-guard郵件管控和即時(shí)通訊管控功能，還能記錄安馳內(nèi)部包括Exchange、Lotus等常用郵件包括附件在內(nèi)的發(fā)送內(nèi)容，對(duì)于銷售部、市場(chǎng)部經(jīng)常使用QQ、MSN等幾十種常用即時(shí)通訊工具進(jìn)行的文件傳輸也能進(jìn)行記錄。

吳湛強(qiáng)調(diào)，公司還有專門的負(fù)責(zé)人，定期對(duì)IP-guard的日志記錄進(jìn)行審計(jì)。“同時(shí)，我們還在公司內(nèi)部進(jìn)行全程屏幕監(jiān)控，通過(guò)對(duì)屏幕進(jìn)行實(shí)時(shí)查看，了解員工的任何不規(guī)范操作，防止泄密事件發(fā)生。”#p#

封堵了可能泄密漏洞，規(guī)范了內(nèi)網(wǎng)操作

吳湛介紹說(shuō)，由于公司各部門的職能不同，安全漏洞出現(xiàn)的地方也不同，因此，必須要針對(duì)不同部門的特殊需求，利用IP-guard進(jìn)行不同的管控。如禁止設(shè)計(jì)部、工藝部等四個(gè)核心部門U盤、3G上網(wǎng)卡、藍(lán)牙等各類外部設(shè)備的使用；對(duì)允許使用互聯(lián)網(wǎng)的市場(chǎng)部和銷售部，限制員工通過(guò)QQ、MSN、E-mail等網(wǎng)絡(luò)應(yīng)用發(fā)送帶有文件名包含敏感信息或超出規(guī)定大小的文檔。

“另外，我們還對(duì)內(nèi)部的上網(wǎng)行為進(jìn)行了一些管理，提高了公司的工作效率。”安馳在全公司內(nèi)部實(shí)行人性化管理：上班時(shí)間，對(duì)于在線視頻、社交網(wǎng)站等非業(yè)務(wù)網(wǎng)絡(luò)應(yīng)用進(jìn)行封堵；休息時(shí)間開(kāi)放，讓員工勞逸結(jié)合；同時(shí)，禁止內(nèi)部隨意安裝包括炒股、新聞瀏覽、P2P網(wǎng)絡(luò)電視軟件等與工作無(wú)關(guān)的軟件，確保正常的業(yè)務(wù)的開(kāi)展。

即使傳播出去也不怕

俗話說(shuō)的好，不怕一萬(wàn)，就怕萬(wàn)一。雖然在內(nèi)部進(jìn)行了全面的審計(jì)，對(duì)可能的泄密渠道進(jìn)行了封堵，但萬(wàn)一，千萬(wàn)分之一的可能性機(jī)密被泄漏出去了，對(duì)于安馳來(lái)說(shuō)，損失也是不可預(yù)計(jì)的。因此，為了最大限度地保障信息資產(chǎn)安全，安馳利用IP-guard建立了最后一道也是最強(qiáng)的透明加密體系。

首先，安馳通過(guò)IP-guard透明加密功能，對(duì)設(shè)計(jì)部、工藝部、模具部常用的 AutoCAD、 PRO/E、UG設(shè)計(jì)類文檔和財(cái)務(wù)部常用的OFFICE財(cái)務(wù)文檔進(jìn)行了強(qiáng)制加密，合法員工使用時(shí)自動(dòng)解密，不影響他們?cè)械氖褂昧?xí)慣。即使加密文檔被非法帶出部門外，也無(wú)法打開(kāi)使用。

“我們公司跟其他公司一樣，都有部門、層級(jí)關(guān)系，因此需要授予不同部門、級(jí)別的員工相應(yīng)的機(jī)密文檔訪問(wèn)權(quán)限。”吳湛解釋道，利用IP-guard，安馳根據(jù)內(nèi)部的層級(jí)關(guān)系，建立了立體化的保密體系：設(shè)計(jì)部、工藝部、模具部、財(cái)務(wù)部的員工有權(quán)訪問(wèn)自己部門里的加密文檔，公司經(jīng)理級(jí)以上的職員才有權(quán)訪問(wèn)所有加密文檔。這樣做的好處在于，一是可以嚴(yán)格控制涉密文檔的傳播范圍，二是提高了員工的保密意識(shí)。

吳湛指出，對(duì)于需要出差的公司同事，他們也會(huì)給予有限的離線授權(quán)，允許在外出繼續(xù)使用加密文檔，文檔仍保持加密狀態(tài)，只能在被授權(quán)的計(jì)算機(jī)上使用。

“在這個(gè)項(xiàng)目實(shí)現(xiàn)的一年多時(shí)間里，IP-guard給我們帶來(lái)了最好的技術(shù)團(tuán)隊(duì)，在多次的溝通調(diào)試中，讓我們這個(gè)‘安全長(zhǎng)城’建立的非常堅(jiān)固。”吳湛表示，IP-guard在項(xiàng)目實(shí)施有困難的時(shí)候及時(shí)給予技術(shù)支持，專業(yè)精神非常值得尊敬。