上一篇札記中，老黃分析了在核心部門裝加密，但仍有泄密事件發(fā)生的A企業(yè)案例。這是目前企業(yè)“患者”中較常見的一種病狀，不少過來問診的企業(yè)都有類似的癥狀，其癥結在于防護不夠全面，仍有泄密的風險。然而，老黃發(fā)現，與此相反的是，求診者中有不少企業(yè)已部署了各種安全產品，花費了大量人力物力去做各種管理，但也還是漏洞百出，泄密病狀沒有得到“根治”。事做了，錢也花了，但為何不見成效呢？老黃選取其中一個典型的案例，深入分析，讓大家一探究竟。

出診札記

金融行業(yè)B，做了很多內控工作，也部署了上網行為管理產品、U盤管控等產品。但是這些產品的操作維護增加了網絡管理員的工作量，而且對防止信息泄露沒有起到很好的效果。禁止了電腦的USB，但是照樣有員工把內部資料用打印機打印了帶出去；限制員工連接互聯網，但個別員工抱怨這影響了他們工作，而且總會有各種理由，聯系客戶、查資料等，讓管理員重新放開網絡權限，泄密風險也還是存在。想了解如何才能達到安全與效率的平衡；怎樣才能使得信息防泄漏工具便于日常的維護，而有新需求變更時，能快速應對。

癥結分析

1、頭痛醫(yī)頭腳痛醫(yī)腳，在防泄漏之前沒有審視清楚內部的安全問題，并統(tǒng)一考慮解決方案。

B企業(yè)在進行信息防泄漏管理之前，沒有首先把企業(yè)內部的問題都梳理清楚就部署上各種產品，雖多但不全，比如限制通過USB帶出信息，打印卻放任自流。以至于該企業(yè)雖然做了很多內控工作，但錯漏百出，安全問題一波未平一波又起。同時，發(fā)現一個問題抓一劑藥，多個“藥方”同時服用，各自發(fā)力，使得管理員應接不暇，身心疲憊之余效果甚微，事倍功半。

2、管控不夠靈活，沒有結合實際情況進行相應的管理。

管控不夠靈活，企業(yè)內部各部門各司其職，工作內容以及涉密程度是不一樣的。如果管理僅僅是粗暴的允許或禁止，而不考慮各部門的具體情況以及工作需要，不僅達不到安全的效果，往往還會適得其反，影響員工的工作效率以及正常的業(yè)務開展。

對癥下藥

綜合上述對B企業(yè)病狀的分析以及其自身的防護需求，溢信科技領先推出的以“整體信息防泄漏”理念為核心的IP-guard三重保護信息防泄漏解決方案正是B企業(yè)所需的良方妙藥。下面，老黃將結合這個整體的藥方為B企業(yè)對癥下藥，開出合適的藥單子。

1、摸清企業(yè)“脈象”，只服一副藥

雖然B企業(yè)看似諸多病痛，但老黃認為，個別問題只是些小毛病，只要稍加調理便可解決，其需要著重治理的是信息安全防不勝防，管理人員應接不暇這一病狀。要使這一病狀痊愈，需要全面梳理內部安全問題并進行統(tǒng)一規(guī)劃、管理。

首先，要從全局的角度把企業(yè)全范圍的安全情況以及問題都掌握清楚，比如了解清楚機密信息都存放于哪些部門，內部存在怎樣的安全威脅點等，避免疏漏。把問題都梳理清楚后，將這些問題統(tǒng)一規(guī)劃，并應用提供整體解決方案的安全管理產品在同一平臺上實現所有管理。而整合了審計、管控、加密等防泄密技術的IP-guard三重保護信息防泄漏解決方案正是這樣的方案。

通過運用三重保護解決方案提供的詳盡細致的審計功能，B企業(yè)便可以對內部情況做到可視化，掌握清楚內部安全狀況，避免發(fā)生如此前禁止了U盤，但還是通過打印帶出信息的情況。而通過詳細的審計，還可及時發(fā)現安全威脅，調整防護策略，防范于未然。

雖然B企業(yè)已部署有上網行為管理產品、U盤管控等安全管理產品，但其內部仍有其他的泄密漏洞，而且多種產品無法形成一個整體體系，多個平臺的管理維護也加大了管理人員的工作量。而通過IP-guard三重保護信息防泄漏解決方案，根據每個部門的具體情況，進行應用程序、網頁瀏覽、打印等全面管控，并將這些安全管控整合到同一平臺實現，操作簡便快捷，而且有效封堵了各種安全漏洞，避免如禁得了U盤，卻管不到打印此種現象。

同時，由于三重保護解決方案采用的是功能模塊化，B企業(yè)可根據目前的需要自由組合，并隨著需求以及安全風險的變化，快速進行新功能的擴展，無縫集成，不會因產品的兼容性而引起系統(tǒng)崩潰等問題，降低維護難度，提高管理效率。這也是B企業(yè)來向老黃問診所要達到的目標。

2、靈活管理，“安全”與“效率”兼收

B企業(yè)在問診中向老黃提到的有員工抱怨管控影響了他們的工作效率，而且會有各種理由要求管理員放開權限。老黃認為，要解決這一困擾，需要根據部門具體情況以及涉密程度進行相應管控，形成力度輕重不一、梯度式的防護。下面老黃就以B企業(yè)的財務部、銷售部為例，講解如何進行靈活管理。

B企業(yè)為金融類企業(yè)，對于存有大量核心信息、與外界接觸比較少的財務部，則需要進行最嚴格、保密級別最高的管理。比如可通過IP-guard網頁瀏覽管控、U盤管控、文檔操作管控等管理模塊，設置網頁白名單，工作時間限制只能訪問與工作內容相關的網站；禁止工作時間使用IM工具等，全面封堵可能存在的泄密漏洞。同時，由于財務部門存放著大量的核心機密，還可考慮部署加密，多加一重保護，實現更高程度的安全。

而銷售部是企業(yè)的主要對外窗口，與外界溝通交流多，文檔等信息來往頻繁，那么管控需要相對靈活一些，IM、郵件等方面都需要放開權限。但“放開”不是意味著不管，要把握好管控的“度”。比如，可通過IP-guard的IM管控、郵件管控、文檔管控等功能，嚴格控制文檔的使用權限，禁止外來U盤在企業(yè)內部的使用，限定內部人員只能通過指定賬戶與外界聯系等。IP-guard郵件管控還能通過限定發(fā)送郵件必須抄送主管經理等方式，讓企業(yè)管理層來把關，最大限度保障安全。這樣便不會由于管控過于嚴格而影響工作開展，做到“效率” “安全”兩不誤。

除了進行相應的管控外，對內部行為進行詳細的審計、定期查看記錄也是不可忽視的。通過查看審計內容，能及時發(fā)現異常，快速應對，降低了安全事故發(fā)生的幾率。

出診心得

B企業(yè)的安全管理工作各種病狀纏身，然而在過來問診的企業(yè)這樣的情況不在少數，這也是目前許多企業(yè)信息防泄漏所遇到的誤區(qū)。這類病狀的癥結就在于處理安全問題缺乏全局的視角，而是處于被動的狀態(tài)，出現了問題才去處理。頭痛醫(yī)頭腳痛醫(yī)腳。而結果往往是吃力不討好，錢花去了，事情也做了，但不見成效。

在與客戶交流過程中，老黃發(fā)現有部分企業(yè)采取多種產品堆砌，是因為他們認為最好的A家廠商的產品A和最好的B家廠商的產品B組合，能打造出“強強+強強=最強”的效果。但依老黃之見，多種產品理念和技術體系可能不完全相同，相互之間很可能會有兼容性的問題，一味的選擇不同領域最好的產品，可能造成各自為政的局面，顧此失彼，就如B企業(yè)所說的，多種產品導致管理人員疲于管理和維護。并且，還可能存在單一產品間功能重復等問題，造成了成本浪費。

要實現真正的信息防泄露，首先要對企業(yè)內部的操作做到可視化，梳理清楚企業(yè)內部的安全問題。然后進行統(tǒng)一的規(guī)劃，針對每個部門的具體情況以及涉密程度，在同一管理平臺內，整合應用審計、權限控制、加密等手段，按需部署，形成整體、全面的防泄漏體系。希望上述對B企業(yè)的分析能給遇到相似病狀的企業(yè)提供一些借鑒，早日走出信息防泄漏的“困局”。