近半年，我參與到公司內(nèi)部的信息防泄漏項目中，雖磕磕絆絆，但一路走來也學習到不少東西，跟在座各位分享一下。

先介紹下我的情況，我就職于廣州某物流公司IT部，是一名普通的網(wǎng)絡工程師。就在今年初，公司發(fā)生了一起泄密事件 ：

不知道誰拿到了全體職工的工資表，竟然以匿名郵件的形式發(fā)給公司里每個人，公司內(nèi)部震動很大，一些不滿薪金制度的員工還遞上了辭呈。老總勃然大怒，把我們的頭兒叫過去批了一頓，說我們部門沒有做好信息防泄工作。

說實話，安全這東西，首先得老板重視，如果老板不重視，我們提也是白搭。之前我們也提過要搞內(nèi)部信息防泄漏建設，但預算一直沒批下來，現(xiàn)在出了事兒，責任就是我們背。老板發(fā)話下來，說一定要好好管管郵件發(fā)送，決不讓信息泄漏出去，財務部、物流中心的數(shù)據(jù)要進行重點保護。

病急亂用藥

“軍令如山倒”，經(jīng)過半個月匆忙的試用，我們購買了一個郵件管控的軟件，不允許公司內(nèi)部含有例如財務、價格等關鍵字的文件發(fā)送，把發(fā)送附件的大小限制在10M以內(nèi)。同時，為了不讓泄密事件發(fā)生第二次，我們還增購了目前很熱門的透明加密軟件，把財務部、物流中心共40臺PC上常用的Excel、Word文檔都加了密，心想這下應該不用擔心加密文檔被傳輸出去了吧。

誰知道，更多的問題涌現(xiàn)出來。

問題1：維護特別麻煩。

話說剛上這兩個軟件，技術(shù)操作上大家都不是特別熟悉。銷售部的同事接二連三地抱怨含有關鍵字或超過10M的郵件發(fā)不出去給客戶，影響了工作業(yè)務；財務部、物流中心的幾個主任也要開放解密權(quán)限……我每天都要在不同的操控制臺上來回切換設置權(quán)限，應接不暇。

并且，每天下午三點成為了我的恐慌時間，頭兒要我們查看郵件以及加密文檔的操作日志，即意味著我們要登陸兩個操作臺查看數(shù)千次日志記錄，忙得我們不可開交。

問題2：軟件偶有沖突。

同時安裝兩個軟件，說實話，我心里比較沒底。因為這些管理軟件一般都會注入自己的模塊到計算機上運行的其它程序中，因此，操作可能產(chǎn)生沖突。果不其然，物流中心不時要我們幫他們解決郵件崩潰、藍屏等問題。

部門總結(jié)會上，頭兒說老板又提出新的需求，希望能夠掌握內(nèi)部PC的詳細操作。我把遇到的問題提了出來，同時堅決反對再安裝第三個日志審計產(chǎn)品，因為一旦裝上了，不僅維護困難，還可能影響到正常的業(yè)務操作，這可是安全建設的大忌。

重診病情

之后，我們對同類產(chǎn)品做了一個重新對比，了解到溢信科技這個企業(yè)，細查之下才發(fā)現(xiàn)溢信還是最早進入到內(nèi)網(wǎng)領域的企業(yè)。于是頭兒聯(lián)系了溢信科技，他們派了技術(shù)專家過來進行了考察。專家給了我們一些意見，在此我做了一個總結(jié)：

1、 信息防泄漏切忌“頭痛醫(yī)頭，腳痛醫(yī)腳”。

溢信的專家說，我們目前的做法是典型的“頭痛醫(yī)頭，腳痛醫(yī)腳”，哪里出現(xiàn)問題就用哪種產(chǎn)品來解決，沒有一個統(tǒng)一的規(guī)劃。這一點我比較同意，確實在防泄漏這個項目里，因為老板的任務比較緊急，沒有很好的規(guī)劃，后期就出現(xiàn)了如新需求無法滿足、技術(shù)操作困難、人手不夠用等情況。

專家建議，在做信息防泄漏建設之前，我們要有一個明確的安全目標，哪些部門需要達到怎樣的安全程度，再根據(jù)不同的安全程度，部署力度有所偏重，對重點部門進行重點防護；同時要站在全局的角度，整合運用例如審計、管控、加密等多種功能，在內(nèi)部構(gòu)建起完善的防泄密體系。這樣的話，即使老板又出現(xiàn)新的需求，只要加強需求的部分即可。

2、 最好選擇能夠提供全面解決方案的單一產(chǎn)品。

目前，應用市場細分得很厲害，安全市場也是如此。如果盲目擇挑選多種產(chǎn)品，可能會產(chǎn)生很多預料不到的問題，比如不同控制臺的操作困難、軟件沖突等問題。選擇能夠提供整體解決方案的單一產(chǎn)品除了可避免上述情況外，還能為企業(yè)節(jié)省投入成本，實現(xiàn)投入和安全回報的最優(yōu)化。

3、 購買之前試用測試很重要。

在企業(yè)做信息防泄漏建設，大家都明白，領導的認可很重要，但是不能為了博得領導的認可就急于求成，倉促測試之下就大規(guī)模部署產(chǎn)品。從目前的情況來看，半個月的試用顯然不夠發(fā)現(xiàn)問題。特別是部署透明加密這種對業(yè)務操作要求嚴格的產(chǎn)品，企業(yè)需要搭建足夠復雜的測試環(huán)境，模擬企業(yè)應用實際操作，通過極限測試和壓力測試來判斷。只有足夠的測試確保安全產(chǎn)品的穩(wěn)定性和安全性，才能在全公司推廣。

終得良方

目前，公司已經(jīng)開始采用IP-guard內(nèi)網(wǎng)安全管理系統(tǒng)。由于供應商溢信科技的經(jīng)驗足、配合度高，過程挺順利的，現(xiàn)在實施的效果也還不錯：

我們首先評估了內(nèi)網(wǎng)所存在的風險因素，根據(jù)各個部門甚至不同崗位所產(chǎn)生的信息價值的高低，及外泄后對企業(yè)的影響力，制定風險值。如財務部、物流中心產(chǎn)生的機密文檔，風險系數(shù)高；運營中心、研發(fā)中心等風險系數(shù)次之；管理部、行政部等其他一些部門較低。

在充分評估風險系數(shù)的情況下，利用IP-guard信息防泄漏三重保護解決方案，根據(jù)涉密輕重不同，按需部署：為了及時發(fā)現(xiàn)安全漏洞，抵御安全風險以及為安全事件的追查保留證據(jù)，我們對公司內(nèi)部所有操作行為進行審計；并且，為了規(guī)范信息的帶出行為，對一些操作行為進行了特殊管控，例如只允許使用公司指定類型的郵件，禁止Web郵件，且所有郵件在發(fā)送前必須抄送一份給主管，由主管親自把關；最后，在安全性要求最高的財務部、物流中心部署了力度很強的透明加密。

總體來看，目前公司內(nèi)部的信息防泄漏體系算是比較完善，在不影響業(yè)務的情況下，郵件等泄密渠道管理的比較到位，機密資料也得到了較強的保護，老板對項目的審計報表也挺滿意的，還把報表作為績效評估的參考之一。另外，通過IP-guard單一的控制臺進行操作，也簡化了我們?nèi)粘５牟僮髋c管理，降低了系統(tǒng)的資源占用，避免了多種產(chǎn)品堆砌產(chǎn)生的軟件沖突等問題。

半年下來，本人可謂獲益良多，最大的感觸是信息防泄漏項目是一個長期的過程，急不得，所以我們必須花時間挑選一個有經(jīng)驗、有實力的廠商合作，千萬不能做安全領域的“白老鼠”，一個有經(jīng)驗豐富供應商可以傳遞很多經(jīng)驗給我們，給我們提供合適的方案，讓我們少走彎路，少摔跤，這對信息防泄漏這種敏感度較高項目來說非常關鍵；其次好的產(chǎn)品也非常重要，我覺得好的產(chǎn)品就是能滿足老板、技術(shù)人員等多種角色需求的產(chǎn)品，有實力的廠商提供的產(chǎn)品、服務也比較讓人放心；另外，因為信息防泄漏的長期性以及需要實時更新調(diào)整，在未來的長期合作中，有實力的廠商也能夠給我們提供比較多的技術(shù)以及安全建議。

標簽： 安全 漏洞 權(quán)限 推廣 網(wǎng)絡 選擇

版權(quán)申明：本站文章部分自網(wǎng)絡，如有侵權(quán)，請聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請與原作者聯(lián)系。