人生難得一帆風(fēng)順，諸事都是如此。無法預(yù)料的困難和風(fēng)險常常潛伏于我們四周。古語有云：“居安思危，思則有，備無患”，是否諳熟“防患于未然”的道理，在某種程度上，往往決定著人們究竟是成功還是失敗。企業(yè)在運(yùn)行過程中，同樣應(yīng)具備防范于未然的意識，擁有有效規(guī)避安全風(fēng)險的方法和手段，以及抵御安全風(fēng)險的能力。

按照經(jīng)濟(jì)學(xué)術(shù)語來說，日本企業(yè)家大多是風(fēng)險的規(guī)避者，比起歐美企業(yè)他們更加注重投資收益、在意細(xì)節(jié)，他們往往不愿意付出新的高風(fēng)險成本，取而代之的是花巨資購買歐美企業(yè)研制出新技術(shù)，然后生產(chǎn)出無論在品質(zhì)還是價格都優(yōu)于歐美的競爭對手的產(chǎn)品，在細(xì)節(jié)上打敗對手。

這一謹(jǐn)慎做事，從細(xì)節(jié)中超越對手的作戰(zhàn)戰(zhàn)略，也體現(xiàn)在眾多日企的信息防泄漏安全建設(shè)中。

西科姆株式會社是一家從事電子保安等綜合服務(wù)的高新技術(shù)公司，作為日本最初的安全公司，西科姆自1962年創(chuàng)業(yè)以來，陸續(xù)開發(fā)、提供了面向企業(yè)·家庭的劃時代的安全系統(tǒng)。1992年正式成立西科姆(中國)有限公司，目前，西科姆已經(jīng)在北京、上海、青島、深圳等城市相繼投資成立了子公司，經(jīng)營電子安全系統(tǒng)的加工制造并提供相應(yīng)服務(wù)。正是因?yàn)樽陨硎前踩I(lǐng)域的行家，因此西科姆對自身的信息防泄漏問題非?？粗亍?/p>

總體上來說，日企的安全意識較高，安全理念也比較先進(jìn)。作為安全行業(yè)的專家，西科姆認(rèn)為安全不是絕對的，世界上不存在絕對的安全，企業(yè)始終面臨著風(fēng)險，有些風(fēng)險可以避免，有些風(fēng)險可以降低，而有些是可以接受的。因此在信息防泄漏建設(shè)中，必須意識到自己可以接受的風(fēng)險底線，同時衡量提升安全性降低風(fēng)險可能帶來的業(yè)務(wù)操作的麻煩、企業(yè)安全成本的高投入等問題，處理好“安全、效率、成本”三者關(guān)系。

因此在實(shí)際的防泄漏建設(shè)中，西科姆注重整體規(guī)劃，從企業(yè)的實(shí)際出發(fā)，對內(nèi)部的安全風(fēng)險做了一個整體的評估，找出內(nèi)部存在例如設(shè)備泄密、IM以及郵件泄密等多種泄密渠道，并且希望利用容易維護(hù)的單一安全產(chǎn)品，結(jié)合多種技術(shù)手段，全面解決內(nèi)部安全問題。這種做法也是目前主流的整體信息防泄漏理念的核心。

在接下來安全產(chǎn)品選型過程中，西科姆發(fā)現(xiàn)，最早進(jìn)入內(nèi)網(wǎng)安全領(lǐng)域的溢信科技推出的IP-guard信息防泄漏三重保護(hù)解決方案與其安全理念極為相似，在實(shí)際的試用過程中，對IP-guard的評價很高，西科姆IT事業(yè)部趙勁松科長說道：“IP-guard功能非常全面，我們都知道安全沒有絕對，其他產(chǎn)品可能只達(dá)到50%-60%的安全，而IP-guard全面的功能可以做到80%-90%，當(dāng)然選擇IP-guard。”

于是，西科姆在在上海、深圳、杭州、西安等中國分公司全面部署IP-guard內(nèi)網(wǎng)安全管理系統(tǒng)，下面來看看它如何利用IP-guard開展信息防泄漏建設(shè)：

全面細(xì)致地記錄內(nèi)部的操作

西方有句很出名的諺語叫“魔鬼在細(xì)節(jié)中”(the devil is in the details)，日企也奉行這一原則，處事細(xì)致、謹(jǐn)慎。因此，為了能夠時刻掌握企業(yè)安全動態(tài)，甚至可以預(yù)測到未來的風(fēng)險，化被動防御為積極防御，西科姆希望能夠掌握內(nèi)部一切操作。

因此，利用IP-guard全面的審計功能，西科姆了解到包括安全解決方案、保安方案視圖等內(nèi)部文檔全生命周期的所有操作記錄，包括對文檔的創(chuàng)建、訪問、修改、復(fù)制、刪除以及拷貝到移動存儲設(shè)備等操作等，有效審查文檔被誰使用、怎么使用。

同時，西科姆也全面記錄如QQ、MSN等內(nèi)部常用IM通訊工具的加密通訊內(nèi)容;對于內(nèi)部常用的標(biāo)準(zhǔn)郵件、Exchange郵件等郵件包括附件在內(nèi)的發(fā)送內(nèi)容也進(jìn)行了審計。

在打印這個方面，西科姆雖然沒有做任何控制，但是利用IP-guard先進(jìn)的映像功能，把打印文檔的內(nèi)容準(zhǔn)確地記錄下來。

完整備份文檔內(nèi)容

然而，現(xiàn)在的泄密者非常狡猾，他可能會把一個重要的財務(wù)文檔改名之后，再拷貝到U盤，如果僅僅從操作上審計很容易被其蒙混過關(guān)。而“IP-guard不僅僅記錄行為操作，還能記錄內(nèi)容，這是IP-guard跟其他產(chǎn)品的區(qū)別。” 趙科長提到，為了防止以上現(xiàn)象發(fā)生，利用IP-guard文檔備份功能，在安全解決方案、保安系統(tǒng)制圖等核心文檔被復(fù)制、篡改、刪除、移動前進(jìn)行備份，記錄文檔的內(nèi)容，細(xì)致的內(nèi)容記錄讓讓審計做到萬無一失。

定期審查記錄內(nèi)容

很多企業(yè)只記錄企業(yè)內(nèi)部的操作行為，但對記錄下來的信息，卻沒有進(jìn)行處理。殊不知，據(jù)Verizon 2010年度數(shù)據(jù)泄露調(diào)查報告顯示，高達(dá)87%的受害企業(yè)在他們的日志文件里都有數(shù)據(jù)泄露的證據(jù)，而企業(yè)卻錯過了。因此，以西科姆為代表的日資企業(yè)，非常重視日志的審查，大部分都會設(shè)立專員定期進(jìn)行查看。趙科長表示：“記錄下來的信息雖然比較復(fù)雜，但如果缺乏有效的整理，有用的信息就會被淹沒，達(dá)不到審計的效果。”

趙科長說他們還會根據(jù)領(lǐng)導(dǎo)需求每月產(chǎn)生各種各樣的審計報表，比如網(wǎng)頁瀏覽的統(tǒng)計、應(yīng)用程序的使用排行等，“這些報表不但能夠預(yù)防安全事件，而且為我們的績效評估提供了參考。”

針對性的監(jiān)察管理

為了達(dá)到實(shí)時掌握內(nèi)部行為的效果，西科姆還在全公司范圍內(nèi)實(shí)施了屏幕監(jiān)控。另外，對于離職人員這種特殊人群，安全意識高的西科姆還會區(qū)別對待，除了逐漸收緊其文檔訪問權(quán)限，還增大其屏幕記錄的頻率。如普通員工的屏幕記錄每隔10-15分鐘一次;特殊員工約2分鐘記錄一次，安全保障大大增加。

嚴(yán)格管理內(nèi)部行為

在內(nèi)部文檔操作可視化、透明化的基礎(chǔ)上，面對日益增多的信息泄漏手段，西科姆對內(nèi)部實(shí)施了嚴(yán)格的控制，***限度封堵泄密渠道，避免信息通過可能的泄密漏洞泄漏而出。

西科姆利用IP-guard禁止員工隨意使用U盤、移動硬盤等外部設(shè)備傳輸文檔，降低了文檔隨意外流的可能性。

對于QQ這類令管理者頭痛的即時通訊軟件，西科姆一開始嘗試禁止QQ的使用，但發(fā)現(xiàn)在工作過程中QQ的使用無可避免，遂又開放了QQ的使用權(quán)限，但限制使用QQ傳送exe文檔同時輔之以QQ內(nèi)容的記錄審查。

并且西科姆還發(fā)現(xiàn)，網(wǎng)頁郵件等不規(guī)范郵件的使用造成內(nèi)部存在較大安全隱患，因此，西科姆對網(wǎng)頁郵件的使用進(jìn)行了限制，規(guī)定內(nèi)部員工只允許使用公司指定類型郵件。

另外，為了保證業(yè)務(wù)的正常運(yùn)轉(zhuǎn)，西科姆通過IP-guard制定了精細(xì)的帶寬管理策略，對不同崗位的員工、不同網(wǎng)絡(luò)應(yīng)用劃分帶寬通道;限制在工作時間進(jìn)行BT下載和P2P，保障了網(wǎng)絡(luò)暢通和企業(yè)核心業(yè)務(wù)的運(yùn)作。

根據(jù)變化及時調(diào)整更新

善于根據(jù)***的變化調(diào)整內(nèi)部管理策略，也是日企安全管理的特點(diǎn)。因?yàn)榧夹g(shù)在不斷發(fā)展，泄密方式也在不斷推陳出新。西科姆意識到，目前，智能手機(jī)、平板電腦的使用也讓內(nèi)部的安全隱患大大增多。西科姆通過IP-guard統(tǒng)一管理操作平臺，對智能手機(jī)、iPad等公司出現(xiàn)的新設(shè)備實(shí)施精細(xì)化的管理，防止通過這些新設(shè)備帶出機(jī)密文檔，主動預(yù)防安全風(fēng)險。

輕松統(tǒng)計企業(yè)資產(chǎn)、維護(hù)內(nèi)網(wǎng)計算機(jī)

日企做事公私分明，資產(chǎn)管理對于西科姆來說非常的重要。趙科長介紹，借助IP-guard西科姆能自動掃描計算機(jī)軟硬件IT資產(chǎn)及其變動情況，同時對日常辦公中的非IT資產(chǎn)如桌椅、路由器等進(jìn)行管理;輕松查看已經(jīng)購買的OFFICE、ERP、OA等需正版授權(quán)的軟件License總數(shù)和已使用數(shù)，獲取軟件部署情況;哪個系統(tǒng)正在被誰用，以及系統(tǒng)的安全性如何，是否已需維修，這些都能夠盡收眼底。

同時，利用IP-guard遠(yuǎn)程維護(hù)功能，西科姆能在單一控制臺上遠(yuǎn)程診斷和維護(hù)網(wǎng)內(nèi)任何計算機(jī)，包括對不同地區(qū)子公司系統(tǒng)的維護(hù)，像操控本機(jī)一樣方便。趙科長表示“我們還經(jīng)常在客戶端計算機(jī)和控制臺計算機(jī)之間傳遞文件，搜集故障樣本、進(jìn)行操作演示也非常方便，真是節(jié)約了我們很多時間。”

透過上述的案例，日企信息防泄漏建設(shè)的細(xì)致、嚴(yán)格便可見一斑。有人說這樣的管理可能會壓抑人性，也有人說涉及到企業(yè)的核心機(jī)密部門就需要這樣的嚴(yán)格管理，其實(shí)，安全管理沒有好壞之分，就像我們在上面提到過的，每個企業(yè)對全風(fēng)險的接受程度不一樣，只有真正符合自身需求、解決安全問題的方案才是信息防泄漏的根本。

【編輯推薦】

1. 企業(yè)信息防泄漏“處方單”
2. 更底層 更安全--從"底"做起 實(shí)現(xiàn)企業(yè)信息防泄漏
3. 溢信科技專訪：內(nèi)網(wǎng)安全市場迎接新時代的洗禮
4. 選擇適合中國國情的信息防泄漏解決方案
5. 鼎普科技：信息防泄漏要關(guān)注應(yīng)用細(xì)節(jié)