近半年，我參與到公司內(nèi)部的信息防泄漏項(xiàng)目中，雖磕磕絆絆，但一路走來也學(xué)習(xí)到不少東西，跟在座各位分享一下。

先介紹下我的情況，我就職于廣州某物流公司IT部，是一名普通的網(wǎng)絡(luò)工程師。就在今年初，公司發(fā)生了一起泄密事件 ：

不知道誰拿到了全體職工的工資表，竟然以匿名郵件的形式發(fā)給公司里每個人，公司內(nèi)部震動很大，一些不滿薪金制度的員工還遞上了辭呈。老總勃然大怒，把我們的頭兒叫過去批了一頓，說我們部門沒有做好信息防泄工作。

說實(shí)話，安全這東西，首先得老板重視，如果老板不重視，我們提也是白搭。之前我們也提過要搞內(nèi)部信息防泄漏建設(shè)，但預(yù)算一直沒批下來，現(xiàn)在出了事兒，責(zé)任就是我們背。老板發(fā)話下來，說一定要好好管管郵件發(fā)送，決不讓信息泄漏出去，財務(wù)部、物流中心的數(shù)據(jù)要進(jìn)行重點(diǎn)保護(hù)。

病急亂用藥

“軍令如山倒”，經(jīng)過半個月匆忙的試用，我們購買了一個郵件管控的軟件，不允許公司內(nèi)部含有例如財務(wù)、價格等關(guān)鍵字的文件發(fā)送，把發(fā)送附件的大小限制在10M以內(nèi)。同時，為了不讓泄密事件發(fā)生第二次，我們還增購了目前很熱門的透明加密軟件，把財務(wù)部、物流中心共40臺PC上常用的Excel、Word文檔都加了密，心想這下應(yīng)該不用擔(dān)心加密文檔被傳輸出去了吧。

誰知道，更多的問題涌現(xiàn)出來。

問題1：維護(hù)特別麻煩。

話說剛上這兩個軟件，技術(shù)操作上大家都不是特別熟悉。銷售部的同事接二連三地抱怨含有關(guān)鍵字或超過10M的郵件發(fā)不出去給客戶，影響了工作業(yè)務(wù)；財務(wù)部、物流中心的幾個主任也要開放解密權(quán)限……我每天都要在不同的操控制臺上來回切換設(shè)置權(quán)限，應(yīng)接不暇。
并且，每天下午三點(diǎn)成為了我的恐慌時間，頭兒要我們查看郵件以及加密文檔的操作日志，即意味著我們要登陸兩個操作臺查看數(shù)千次日志記錄，忙得我們不可開交。

問題2：軟件偶有沖突。

同時安裝兩個軟件，說實(shí)話，我心里比較沒底。因?yàn)檫@些管理軟件一般都會注入自己的模塊到計(jì)算機(jī)上運(yùn)行的其它程序中，因此，操作可能產(chǎn)生沖突。果不其然，物流中心不時要我們幫他們解決郵件崩潰、藍(lán)屏等問題。

部門總結(jié)會上，頭兒說老板又提出新的需求，希望能夠掌握內(nèi)部PC的詳細(xì)操作。我把遇到的問題提了出來，同時堅(jiān)決反對再安裝第三個日志審計(jì)產(chǎn)品，因?yàn)橐坏┭b上了，不僅維護(hù)困難，還可能影響到正常的業(yè)務(wù)操作，這可是安全建設(shè)的大忌。

重診病情

之后，我們對同類產(chǎn)品做了一個重新對比，了解到溢信科技這個企業(yè)，細(xì)查之下才發(fā)現(xiàn)溢信還是最早進(jìn)入到內(nèi)網(wǎng)領(lǐng)域的企業(yè)。于是頭兒聯(lián)系了溢信科技，他們派了技術(shù)專家過來進(jìn)行了考察。專家給了我們一些意見，在此我做了一個總結(jié)：

1、信息防泄漏切忌“頭痛醫(yī)頭，腳痛醫(yī)腳”。

溢信的專家說，我們目前的做法是典型的“頭痛醫(yī)頭，腳痛醫(yī)腳”，哪里出現(xiàn)問題就用哪種產(chǎn)品來解決，沒有一個統(tǒng)一的規(guī)劃。這一點(diǎn)我比較同意，確實(shí)在防泄漏這個項(xiàng)目里，因?yàn)槔习宓娜蝿?wù)比較緊急，沒有很好的規(guī)劃，后期就出現(xiàn)了如新需求無法滿足、技術(shù)操作困難、人手不夠用等情況。

專家建議，在做信息防泄漏建設(shè)之前，我們要有一個明確的安全目標(biāo)，哪些部門需要達(dá)到怎樣的安全程度，再根據(jù)不同的安全程度，部署力度有所偏重，對重點(diǎn)部門進(jìn)行重點(diǎn)防護(hù)；同時要站在全局的角度，整合運(yùn)用例如審計(jì)、管控、加密等多種功能，在內(nèi)部構(gòu)建起完善的防泄密體系。這樣的話，即使老板又出現(xiàn)新的需求，只要加強(qiáng)需求的部分即可。

2、***選擇能夠提供全面解決方案的單一產(chǎn)品。

目前，應(yīng)用市場細(xì)分得很厲害，安全市場也是如此。如果盲目擇挑選多種產(chǎn)品，可能會產(chǎn)生很多預(yù)料不到的問題，比如不同控制臺的操作困難、軟件沖突等問題。選擇能夠提供整體解決方案的單一產(chǎn)品除了可避免上述情況外，還能為企業(yè)節(jié)省投入成本，實(shí)現(xiàn)投入和安全回報的***化。

3、購買之前試用測試很重要。

在企業(yè)做信息防泄漏建設(shè)，大家都明白，領(lǐng)導(dǎo)的認(rèn)可很重要，但是不能為了博得領(lǐng)導(dǎo)的認(rèn)可就急于求成，倉促測試之下就大規(guī)模部署產(chǎn)品。從目前的情況來看，半個月的試用顯然不夠發(fā)現(xiàn)問題。特別是部署透明加密這種對業(yè)務(wù)操作要求嚴(yán)格的產(chǎn)品，企業(yè)需要搭建足夠復(fù)雜的測試環(huán)境，模擬企業(yè)應(yīng)用實(shí)際操作，通過極限測試和壓力測試來判斷。只有足夠的測試確保安全產(chǎn)品的穩(wěn)定性和安全性，才能在全公司推廣。

終得良方

目前，公司已經(jīng)開始采用IP-guard內(nèi)網(wǎng)安全管理系統(tǒng)。由于供應(yīng)商溢信科技的經(jīng)驗(yàn)足、配合度高，過程挺順利的，現(xiàn)在實(shí)施的效果也還不錯：

我們首先評估了內(nèi)網(wǎng)所存在的風(fēng)險因素，根據(jù)各個部門甚至不同崗位所產(chǎn)生的信息價值的高低，及外泄后對企業(yè)的影響力，制定風(fēng)險值。如財務(wù)部、物流中心產(chǎn)生的機(jī)密文檔，風(fēng)險系數(shù)高；運(yùn)營中心、研發(fā)中心等風(fēng)險系數(shù)次之；管理部、行政部等其他一些部門較低。

在充分評估風(fēng)險系數(shù)的情況下，利用IP-guard信息防泄漏三重保護(hù)解決方案，根據(jù)涉密輕重不同，按需部署：為了及時發(fā)現(xiàn)安全漏洞，抵御安全風(fēng)險以及為安全事件的追查保留證據(jù)，我們對公司內(nèi)部所有操作行為進(jìn)行審計(jì)；并且，為了規(guī)范信息的帶出行為，對一些操作行為進(jìn)行了特殊管控，例如只允許使用公司指定類型的郵件，禁止Web郵件，且所有郵件在發(fā)送前必須抄送一份給主管，由主管親自把關(guān)；***，在安全性要求***的財務(wù)部、物流中心部署了力度很強(qiáng)的透明加密。

總體來看，目前公司內(nèi)部的信息防泄漏體系算是比較完善，在不影響業(yè)務(wù)的情況下，郵件等泄密渠道管理的比較到位，機(jī)密資料也得到了較強(qiáng)的保護(hù)，老板對項(xiàng)目的審計(jì)報表也挺滿意的，還把報表作為績效評估的參考之一。另外，通過IP-guard單一的控制臺進(jìn)行操作，也簡化了我們?nèi)粘５牟僮髋c管理，降低了系統(tǒng)的資源占用，避免了多種產(chǎn)品堆砌產(chǎn)生的軟件沖突等問題。

半年下來，本人可謂獲益良多，***的感觸是信息防泄漏項(xiàng)目是一個長期的過程，急不得，所以我們必須花時間挑選一個有經(jīng)驗(yàn)、有實(shí)力的廠商合作，千萬不能做安全領(lǐng)域的“白老鼠”，一個有經(jīng)驗(yàn)豐富供應(yīng)商可以傳遞很多經(jīng)驗(yàn)給我們，給我們提供合適的方案，讓我們少走彎路，少摔跤，這對信息防泄漏這種敏感度較高項(xiàng)目來說非常關(guān)鍵；其次好的產(chǎn)品也非常重要，我覺得好的產(chǎn)品就是能滿足老板、技術(shù)人員等多種角色需求的產(chǎn)品，有實(shí)力的廠商提供的產(chǎn)品、服務(wù)也比較讓人放心；另外，因?yàn)樾畔⒎佬孤┑拈L期性以及需要實(shí)時更新調(diào)整，在未來的長期合作中，有實(shí)力的廠商也能夠給我們提供比較多的技術(shù)以及安全建議。