現(xiàn)如今的信息防泄漏解決方案不勝枚舉，宣傳帶有防泄漏功能的產(chǎn)品比比皆是，然而企業(yè)在面對眾多方案時(shí)卻常常眼花繚亂、無所適從。什么樣的系統(tǒng)才是好系統(tǒng)？什么樣的方案能幫助企業(yè)切實(shí)提高信息安全防護(hù)水平？應(yīng)該以怎樣的標(biāo)準(zhǔn)來判斷不同方案的優(yōu)劣？對此，知名業(yè)界專家、企業(yè)代表、廠商專家與您一起探討"信息防泄漏方案，如何慧眼識良方？"

我國古代行醫(yī)講究的是保障人體的安康，信息防泄漏方案是為了企業(yè)信息的安全。對防泄漏方案進(jìn)行選擇，就好比面對病人時(shí)醫(yī)生要找出合適的"處方"才能對癥下藥。以此為基，在對防泄漏標(biāo)準(zhǔn)進(jìn)行選擇時(shí)，亦逃不出"望、聞、問、切"的手法。

望：

在選擇防信息泄漏的解決方案時(shí)，首先要對產(chǎn)品進(jìn)行考察，去偽存真。目前的防泄漏產(chǎn)品雖然眾多，但龍蛇混雜，多有魚目混珠之嫌。溢信科技產(chǎn)品總監(jiān)黃凱亦認(rèn)為很多的信息防泄漏產(chǎn)品，都是打著信息防泄漏的旗號，其實(shí)質(zhì)卻是簡單的審計(jì)產(chǎn)品。用戶在選擇產(chǎn)品的時(shí)候，一定要注意分辨其產(chǎn)品宣傳中所透漏出來的理念是否符合自身的需求，必須了解市場狀況，分辨各類產(chǎn)品的優(yōu)勢，切不可病急亂投醫(yī)。

聞：

市場是最能反映產(chǎn)品是否有用的試金石。在進(jìn)行防泄漏建設(shè)時(shí)，要注意觀察產(chǎn)品的品牌在市場上是否足夠正規(guī)，看提供服務(wù)的廠商是否有足夠的成功案例（尤其是與自己應(yīng)用環(huán)境相似的，處在同行業(yè)的企業(yè)的案例）。另外，可能還要注意廠商的售后服務(wù)能力（有經(jīng)驗(yàn)和負(fù)責(zé)任的廠商，會***時(shí)間解決客戶的需要，或承擔(dān)相應(yīng)的責(zé)任）。武漢凡谷電子信息部經(jīng)理朱烔哲強(qiáng)調(diào)在選擇加密方案時(shí)候，需對加密軟件、供應(yīng)商和經(jīng)銷商的資質(zhì)進(jìn)行嚴(yán)格考察，選對產(chǎn)品選對人，才能保證項(xiàng)目的順利實(shí)施。

問:

在選擇防泄漏產(chǎn)品時(shí)，要針對自身的特點(diǎn)提出自己的側(cè)重需求，比如三一重工信息化經(jīng)理譚俊峰就提出選擇防泄漏方案時(shí)需向服務(wù)方提出：是否與現(xiàn)有應(yīng)用系統(tǒng)、網(wǎng)絡(luò)協(xié)議兼容；是否能在主流系統(tǒng)平臺應(yīng)用，各種性能指標(biāo)測試是否工作的SLA標(biāo)準(zhǔn)；是否提供標(biāo)準(zhǔn)的接口；產(chǎn)品是否有合格的認(rèn)證、服務(wù)、市場及典型的成功案例等問題。企業(yè)的需求是不斷變化的，必須了解廠商的研發(fā)實(shí)力、服務(wù)能力，通過"問"而知其能否及時(shí)、快速的響應(yīng)客戶的需求。

切：

很多產(chǎn)品，可能宣傳資料上寫的天花亂墜，實(shí)際測試產(chǎn)品功能卻連一半都沒能實(shí)現(xiàn)，如果不經(jīng)過在搭建的真實(shí)的環(huán)境中進(jìn)行足夠久的測試，是顯現(xiàn)不出來的。企業(yè)需要根據(jù)自身的需求，制定一些典型的測試用例，并盡量多的設(shè)想極端情況，這樣才能保證產(chǎn)品能夠適合自己的需求。

對此，游俠安全網(wǎng)站長張百川建議企業(yè)在購買防泄漏產(chǎn)品之前，在使用頻率相對較高的計(jì)算機(jī)上高強(qiáng)度測試。并且要看其對Windows XP 64bit、Vista、Windows 7 64bit等的支持情況。目前很多產(chǎn)品對64位操作系統(tǒng)的支持并不好，很容易給企業(yè)安全造成"馬其諾防線"。比如企業(yè)中有Linux等操作系統(tǒng)，在布置防信息泄漏之前需進(jìn)行測試，然而目前多數(shù)數(shù)據(jù)防泄漏廠家卻并不支持Linux。

綜上所述，通過"望"而觀大局，"聞"而知小節(jié)，"問"而鑒利弊，"切"而測需求，企業(yè)在選擇防泄漏方案時(shí)候便可以做到"了然于心"。當(dāng)然，這只是信息防泄漏產(chǎn)品選型的***步，企業(yè)還需要在經(jīng)過"望聞問切"之后的產(chǎn)品和方案中挑選出最適合自身需求的。那么，如何進(jìn)一步挑選出***、最適合的方案呢？#p#

對于這個(gè)問題，專家們有著各自的看法。信息安全專家李洋博士建議從"功能性，穩(wěn)定性，兼容性，可審計(jì)性"對防泄漏產(chǎn)品進(jìn)行判斷；而鄭州三全食品CIO周清湘則強(qiáng)調(diào)防泄建設(shè)方案應(yīng)從"安全性、方便性、完備性、容災(zāi)性"下手。綜合各方專家的觀點(diǎn)，我們可以歸納為以下6條判斷標(biāo)準(zhǔn)，供讀者參考：

標(biāo)準(zhǔn)1：企業(yè)內(nèi)部操作行為應(yīng)該可視化。

這也是常說的審計(jì)工作。信息化管理比較成熟和規(guī)范的企業(yè)如今都比較重視這部分工作了，哪怕在企業(yè)文化等原因而控制和加密有所不足，審計(jì)卻做的很全面和細(xì)致，并且還會安排專門的人或者工作組來查看審計(jì)內(nèi)容、為管理者提供審計(jì)報(bào)告。如果沒有審計(jì)，那么企業(yè)將對存在的安全威脅一無所知，所做的安全防護(hù)自然也是全憑想象，很難達(dá)到效果。毫不夸張的說，審計(jì)是安全必須的基礎(chǔ)。

標(biāo)準(zhǔn)2、 信息防泄密建設(shè)根據(jù)涉密程度不同，防護(hù)力度必須輕重有別。

我們都知道，安全和效率是一對矛盾體，安全措施越多安全性越高，但過多的安全措施會使得工作效率降低。企業(yè)必須要在安全和效率之間取得平衡，在不影響工作的前提下實(shí)現(xiàn)高安全性。實(shí)際上，信息的涉密級別是不盡相同的，企業(yè)沒有必要對低密級信息實(shí)施高密級防護(hù)，也不能對高密級信息進(jìn)行低密級防護(hù)，一刀切的進(jìn)行安全管理會造成要么犧牲安全、要么犧牲效率的情況。因此，信息防泄密系統(tǒng)要能夠?qū)ι婷艹潭炔煌男畔⑦M(jìn)行輕重有別的防護(hù)，讓安全和效率更加平衡。

標(biāo)準(zhǔn)3、信息防泄密產(chǎn)品必須隨需而變，實(shí)現(xiàn)擴(kuò)展性。

企業(yè)總是在發(fā)展和變化的，安全的需求也隨之成長和變化。"像給小孩子買衣服，往往會買稍大一點(diǎn)的，因?yàn)樾『⒆娱L的很快，如果買現(xiàn)在剛好的，很快這件衣服就不能再穿了。"溢信科技產(chǎn)品總監(jiān)黃凱如是說。選擇防泄漏產(chǎn)品時(shí)也是一個(gè)道理，在防泄漏方案的選擇上要未雨綢繆，具有前瞻性，考慮到將來一段時(shí)間企業(yè)的安全需求。如果選擇的產(chǎn)品（解決方案）僅僅能滿足眼下的需求，那么很快就又要重新選購了。

標(biāo)準(zhǔn)4：信息防泄密建設(shè)應(yīng)從全局角度出發(fā)，兼顧"安全、效率、成本"。

杭州汽輪機(jī)股份有限公司所長黃梁認(rèn)為：在信息防泄漏建設(shè)中，企業(yè)應(yīng)從全局上考慮提升安全性、降低泄露風(fēng)險(xiǎn)帶來的業(yè)務(wù)操作、使用上的一些障礙、安全成本的投入問題。實(shí)際上"安全、效率、成本"的問題不僅僅是企業(yè)需要思考，廠商更應(yīng)該在產(chǎn)品設(shè)計(jì)之初就考慮到這個(gè)問題，信息防泄密產(chǎn)品不能只在其中的一個(gè)或兩個(gè)方面表現(xiàn)優(yōu)秀，而應(yīng)當(dāng)兼顧"安全、效率、成本"。

標(biāo)準(zhǔn)5、幫助企業(yè)及時(shí)發(fā)現(xiàn)安全威脅。

許多人都認(rèn)為信息防泄密重在"防護(hù)"，在安全威脅面前處于被動防守的狀態(tài)，其實(shí)不然。許多泄密事件在發(fā)生之前都是有跡可循的，如果企業(yè)能及時(shí)發(fā)現(xiàn)安全威脅發(fā)生的跡象，就能夠?qū)⑵涠髿⒃趽u籃中。因此，信息防泄密系統(tǒng)應(yīng)當(dāng)能夠通過監(jiān)控、審計(jì)等手段對潛在的安全威脅發(fā)出預(yù)警，幫助企業(yè)及時(shí)發(fā)現(xiàn)安全威脅。防患于未然，才是信息防泄密的真正目的。

標(biāo)準(zhǔn)6、 安全體系應(yīng)該容易使用和維護(hù)。

使用的便捷和完善的維護(hù)也是防泄建設(shè)中必不可少的工作，利用簡易的模式保障信息安全會更易于用戶接受，這也是為什么富豪家中保險(xiǎn)柜如此盛行的原因。

在選擇了合適的防泄漏方案后，就可以高枕無憂了嗎？當(dāng)然不是，面對千變?nèi)f化的非安全因素，作為防守方我們只有隨機(jī)應(yīng)變，防微杜漸，難有以不變應(yīng)萬變之法。經(jīng)過上述討論如何評價(jià)一個(gè)信息防泄漏方案的好壞之后，面對各種泄密事件又帶給我們哪些啟示？內(nèi)網(wǎng)安全建設(shè)未來走勢如何？云計(jì)算等新興技術(shù)會是內(nèi)網(wǎng)安全的噩夢嗎？敬請關(guān)注"內(nèi)網(wǎng)安全 十年之辯"下期內(nèi)容。

【編輯推薦】

1. 信息防泄漏，如何用好行為審計(jì)？
2. 怎樣打出信息防泄漏的“組合拳”？
3. 信息防泄漏=全加密？
4. 信息防泄漏新里程碑