隨著網(wǎng)絡(luò)環(huán)境的復(fù)雜化，企業(yè)信息安全建設(shè)的需求也隨之變化。不同規(guī)模、不同發(fā)展階段、不同行業(yè)的企業(yè)在部署信息防泄漏方案的過程各自的需求重點也不盡相同，因為真正有效的信息防泄漏方案是針對企業(yè)實際需求的個性化的方案。然而在這些不同的背后，大家是否有一些共同之處呢？溢信科技在2011-2012信息防泄漏調(diào)查中統(tǒng)計出2011年多數(shù)企業(yè)會選擇的信息防泄漏方案十大功能。下面就對這十大功能的背景與應(yīng)用進行分析，作為企業(yè)在信息防泄漏方案之參考。

　　1、文檔透明加密

　　在企業(yè)中，信息大多數(shù)是以電子文檔的形式存在。對于如何保護企業(yè)重要文檔的安全，業(yè)界有兩種思路，一種是由外及里，封堵各種可能的文檔傳播渠道，一種是由里及外，對文檔本身進行強制加密，后一種企業(yè)普遍使用便是文檔透明加密。

　　文檔透明加密對企業(yè)重要文檔本身進行強制加密，有一種以不變應(yīng)萬變的味道，這也許就是眾多企業(yè)對其趨之若鶩的原因之一。文檔透明加密使企業(yè)的重要文檔隨時處于加密狀態(tài)，同時不影響用戶的使用習慣，在不知不覺中保護文檔安全。另外很重要的一點是文檔透明加密可以對外發(fā)文檔的安全進行良好的管理。企業(yè)信息防泄漏不可能僅僅局限于企業(yè)內(nèi)網(wǎng)，隨著信息經(jīng)濟的發(fā)展企業(yè)與外界的溝通將日益網(wǎng)絡(luò)化，企業(yè)內(nèi)外間的線上交流是必不可少的。文檔透明加密通過對外發(fā)文檔的訪問權(quán)限進行嚴格的控制，以保證企業(yè)重要信息不會輕易被泄露。對于文檔透明加密，溢信科技認為除了以上說的幾點外，離線權(quán)限控制以及分級別分區(qū)域的權(quán)限控制也非常重要，加密應(yīng)該充分考慮到各種應(yīng)用情況，提供各種場合下的解決方案。

　　當然世間萬事萬物有利必有弊，文檔透明加密在對企業(yè)文檔進行高強度保護的同時，也會給企業(yè)的工作效率帶來一定的影響。因此企業(yè)在部署加密前必須找出真正需要高強度保護的數(shù)據(jù)范圍，而不是一密全密，后者從需求上講沒有太大必要，從效率上講對企業(yè)的整體業(yè)務(wù)運行頗有影響，從成本上講會增加企業(yè)的安全預(yù)算。總之一句話，適合的才是最好的。

　　2、移動存儲管控

　　在各類信息化產(chǎn)品中，U盤、移動硬盤、數(shù)碼儲存卡等移動存儲產(chǎn)品被廣泛應(yīng)用，而尤以U盤為甚。對于不少企業(yè)而言，移動存儲設(shè)備方面基本沒有什么管理措施，公司與個人的混用，工作與生活的不分，辦公室里面U盤隨意流傳。在這樣的溫床中，孕育出病毒泛濫的境況以及接二連三的信息泄漏事件就不足為奇了，而后者后果往往要嚴重得多。

　　由于企業(yè)的不重視，再加上移動存儲設(shè)備本身的管理難度，移動存儲往往成為企業(yè)信息安全的軟肋，比如近年各種U盤泄密事件層出不窮。如何去管理移動存儲設(shè)備？目前來說有幾下幾種方法。一是封堵，對于從企業(yè)外部帶入的移動存儲設(shè)備禁止使用，只允許使用公司規(guī)定的設(shè)備，二是設(shè)備加密，對移動設(shè)備的文檔進行權(quán)限管理，就算有人利用移動存儲將企業(yè)重要文檔帶出也無法正常打開。

　　當然在實際管理過程中，除了技術(shù)上的管控，最好配合以嚴格的移動存儲設(shè)備管理制度，對企業(yè)內(nèi)部移動存儲使用進行詳細的記錄，這樣才能更好地讓移動存儲管理納入有秩序的軌道，保護企業(yè)重要文檔的安全。

　　3、郵件管控

　　大多數(shù)企業(yè)都會使用到電子郵件，郵件類別有許多種，個人免費型，企業(yè)級付費型，普通郵件、網(wǎng)頁郵件......不一而足。但是這里面存在著巨大的安全風險，在企業(yè)發(fā)往外界的郵件中，往往附帶著很多與企業(yè)商業(yè)機密相關(guān)的信息，如果對這些郵件不進行安全控制，機密信息為競爭對手獲取，或者為其他人用于商業(yè)用途，后果不堪設(shè)想。

　　目前對于電子郵件的安全控制，一般采用的解決方法包括，規(guī)范化企業(yè)內(nèi)部使用郵箱，如建立公司專用郵箱，禁止其他類型的郵箱。或者對外發(fā)電子郵件的進行關(guān)鍵字過濾，如郵件主題、附件名中包括指定關(guān)鍵字的郵件不能正常發(fā)送。任何一種管控方式都能起到一定的效果，但融合型的產(chǎn)品會更有成效。

　　對于郵件管控，溢信旗下的IP-guard可以對企業(yè)郵件進行細致的管理，能夠針對郵件類型、郵件地址、主題、內(nèi)容、附件等要點進行控制。另外有一個特別的功能點，那就是在外發(fā)重要郵件時，支持強制抄送給相關(guān)領(lǐng)導(dǎo)，讓管理層親自對郵件安全進行把關(guān)。另外溢信認為郵件審計是必不可少的，審計有助于企業(yè)從整體上對電子郵件系統(tǒng)進行觀察與分析，從而查缺補漏，不斷完善。

　　4、即時通訊管控

　　QQ、MSN、FETION......即時通訊工具已經(jīng)成為我們?nèi)粘Ｉ畹谋匾M成部分，對于企業(yè)情況也差不多。高節(jié)奏的商業(yè)形態(tài)必須要求實時的通訊工具，但一方面很多人只是把即時通訊工具當作打發(fā)工作時間的渠道，另一方面企業(yè)信息泄露的風險也隨之提升。企業(yè)可以直接將即時通訊工具禁止，但是事實上無法如此徹底，企業(yè)總會因為各種原因必須開放些通道。于是很多企業(yè)選擇對即時通訊工具進行審計，主要是對通訊內(nèi)容的審計，包括對傳輸文件的備份，通過這種方式可以產(chǎn)生一種強大的心理威懾力，讓不良人士知難而退。

　　溢信科技認為即時通訊管控，除了上述方式以外，還可以先對企業(yè)的文檔的重要性進行分類，對于非常重要文檔，如對指定格式或者指定文件夾下的文檔，可以禁止即時通訊程序?qū)ζ溥M行訪問，顯然這種策略會更有針對性。而溢信旗下的IP-guard還能夠?qū)磿r通訊工具的圖片傳輸進行控制，備份傳輸?shù)膱D片甚至限制截屏功能的使用。

　　5、文檔操作管控

　　企業(yè)的多數(shù)數(shù)據(jù)是以電子文檔的形式存在，因此保護企業(yè)的信息安全很大程序上可以說就是保護企業(yè)的重要文檔的安全。文檔是企業(yè)辦公的基礎(chǔ)，也是各種信息安全保護手段的中心。文檔在企業(yè)內(nèi)部流轉(zhuǎn)的生命周期，包括創(chuàng)建、訪問、修改、刪除、重命名、移動、復(fù)制、恢復(fù)八大環(huán)節(jié)，文檔操作管控就是對文檔全生命周期進行管理，對文檔在企業(yè)中傳播的每一個站都記錄在案，從而實現(xiàn)對文檔安全的精細化控制。

　　對于企業(yè)文檔安全的控制，一般存在兩種典型的應(yīng)用場景。一是當企業(yè)中有一些重要文檔，不允許任意用戶對其進行修改或者刪除，所以要對部分員工的權(quán)限進行控制，使其只能訪問文檔，不能修改與刪除文檔。二是企業(yè)在辦公的過程，有可能因為失誤而刪除了重要的文檔。文檔操作管控可以限制用戶使用文檔的權(quán)限，同時在文檔被復(fù)制與刪除前自動備份，防止用戶誤刪。

　　為更好地利用文檔操作管控功能，最好一開始查清楚不同的文檔的安全需求，比如說哪些文檔需要備份，哪些不需要，如果不進行區(qū)分一律設(shè)置備份的策略，則可能造成大量的數(shù)據(jù)累積，一方面沒有必要，另一方面對系統(tǒng)增加了負擔。

　　從以上排名前五位的功能可以看出企業(yè)的安全需求主要傾向于以文檔安全為中心的信息保護，這也標示出數(shù)據(jù)安全將會成為企業(yè)內(nèi)網(wǎng)安全核心的趨勢。現(xiàn)在多數(shù)企業(yè)已經(jīng)意識整體信息防泄漏的重要性，值得注意的是企業(yè)在部署信息防泄漏方案時應(yīng)該根據(jù)本身的實際需求進行輕重有別、具有針對性的防護控制。

　　在最受客戶歡迎的十大信息防泄漏功能（上篇）中對加密、移動存儲設(shè)備管理、即時通訊管理、郵件管理、文檔操作管控五個功能的背景與應(yīng)用進行了分析，從中可以看出企業(yè)內(nèi)網(wǎng)安全需求已傾向于以文檔安全為中心的信息保護，那其他功能在企業(yè)安全需求中所占的格局又是怎樣的呢？本篇將對后面五個功能進行解讀，看看其在企業(yè)中的應(yīng)用情況。

　　6.資產(chǎn)管理

　　資產(chǎn)管理包括企業(yè)軟硬件資產(chǎn)掃描與統(tǒng)計、軟件版權(quán)管理、軟件分發(fā)、補丁管理等，屬于信息防泄漏外圍功能，但是是基礎(chǔ)性計算機安全管理，所以重要性不可小視。在內(nèi)網(wǎng)安全發(fā)展的前期，對這些基礎(chǔ)性功能進行加強加固是一個熱門的選擇，時至今日，資產(chǎn)管理依然是眾多企業(yè)熱衷的功能，這說明基礎(chǔ)性設(shè)施管理是企業(yè)信息安全管理不可或缺的組成部分。

　　對于資產(chǎn)管理在企業(yè)的具體應(yīng)用，首先是企業(yè)計算機資產(chǎn)的管理，比如硬件的類別、型號、變更等，軟件的類別、版本等等，尤其是對于大企業(yè)，計算機規(guī)模大，網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜，管理難度高，資產(chǎn)管理顯得特別重要。其次是漏洞檢查、補丁管理，其實很多時候企業(yè)內(nèi)部計算機出現(xiàn)安全問題，往往是因為用戶沒能及時更新系統(tǒng)補丁，結(jié)果留下為人利用把柄。軟件分發(fā)亦是很重要的部分，企業(yè)在部署安全管理軟件客戶端時，如果僅依靠人力，工作量必然會十分巨大，軟件分發(fā)則可以將安裝包自動分發(fā)至各計算機進行集中安裝。

　　值得一說的，溢信科技IP-guard除了以上功能外，對于非IT資產(chǎn)也能進行管理，如辦公室桌椅、路由器等，防止發(fā)生資產(chǎn)盜竊行為。

　　7.設(shè)備管控

　　企業(yè)的許多IT設(shè)備，尤其是存儲設(shè)備如移動硬盤、光驅(qū)、刻錄機等，都屬于可能的信息泄漏渠道，而且現(xiàn)在新設(shè)備每隔一段時間就會更新，這對企業(yè)的信息安全帶來很大的風險，因此對這些通道必須進行嚴格控制。

　　對于這些外設(shè)，有很多是企業(yè)正常工作非常用性設(shè)備，有一些甚至極少用到，因此可以對這部分設(shè)備的使用進行禁止，如有需要可臨時開放權(quán)限。在對這一功能進行選型時有兩點需要注意，一是管控設(shè)備的種類宜多多益善，并具備靈活的擴展性；二是管控的粒度宜精細，不僅僅采取一刀切的方式，對所有設(shè)備統(tǒng)一允許或者禁止。IP-guard在這方便有著良好的表現(xiàn)，可對存儲設(shè)備、通訊接口設(shè)備、USB設(shè)備、網(wǎng)絡(luò)設(shè)備及任何新增外設(shè)進行控制，，而在設(shè)備識別上IP-guard也能做到精細化管理，比如對于USB設(shè)備，可以識別出USB鼠標與USB移動存儲，靈活方便。

　　虛擬化、云計算······隨著未來新技術(shù)的普及，企業(yè)在設(shè)備管理方面也將面對更大挑戰(zhàn)，如何應(yīng)對這些風險，安全廠商應(yīng)先行一步，為企業(yè)的信息化升級提供安全保障。

　　8.打印管控

　　打印機是現(xiàn)代企業(yè)辦公必不可少的設(shè)備之一，但是很多時候它的安全管理為人所忽視。有人認為打印機不比普通計算機終端，不會中毒不會被黑，因此不會泄密，事實表明這是錯誤的。據(jù)鳳凰網(wǎng)報道，濟南某裝甲團用新建的打印設(shè)備專門承擔全團的涉密文件打印任務(wù)，然而在一次機關(guān)干部考試中，在電腦不上網(wǎng)，試卷柜上鎖的前提下，試卷還是泄露了。經(jīng)過調(diào)查，原來負責打印的人員將試卷文本列入打印任務(wù)后，打印機因缺紙沒有打印，后來又沒有在電腦中取消打印，最終造成考題泄露。

　　患生于所忽，禍起于細微，打印安全管理不可忽視。在內(nèi)網(wǎng)安全行業(yè)發(fā)展已超十年的溢信科技認為應(yīng)該對各類打印機進行嚴格的控制，而且還要對每次打印進行審計，如打印時間、用戶、文件名等，在如此嚴格的管理下，一方面保障企業(yè)信息的安全，另一方面也可以防止隨意打印造成不必要的浪費。

　　需要注意的是，有一些打印行為是沒有對應(yīng)的原始文檔的，比如ERP等應(yīng)用程序中的直接打印，這時就需要一些不依賴于打印文檔格式的產(chǎn)品的支持，而直接記錄打印影像的IP-guard就是其中之一。

　　9.應(yīng)用程序管理

　　許多企業(yè)都存在工作時間炒股、玩游戲、聊天、BT下載等現(xiàn)象，從辦公效果上說，這種狀況會降低企業(yè)的工作效率，因為工作時間分配與企業(yè)網(wǎng)絡(luò)流量分配不合理。而更可怕是，濫用網(wǎng)絡(luò)與系統(tǒng)資源還可能將暗藏于互聯(lián)網(wǎng)的安全隱患帶入企業(yè)網(wǎng)絡(luò)內(nèi)，威脅系統(tǒng)安全。

　　對于這種情況，企業(yè)可以直接將不符合規(guī)定的應(yīng)用程序禁止。當然有些程序如QQ，可能是公司與外部即時溝通的必要工具，因此不得不開放權(quán)限，但是又擔心有人利用這些通道做一些與工作無關(guān)甚至危害企業(yè)信息安全的事情。這種情況下首先可以嚴格管理使用這些程序的終端，其次對進行詳細的操作審計，記錄通信內(nèi)容，通信時間等信息，一方面從心理上產(chǎn)生一定的威懾力，一方面當出現(xiàn)問題時可以隨時進行查詢。

　　10.網(wǎng)頁瀏覽管理

　　目前利用瀏覽器進行計算機攻擊的行為大大增加，人們在享受豐富的網(wǎng)絡(luò)大餐時，也面臨著大量的安全風險。病毒、木馬、蠕蟲、釣魚網(wǎng)站······不經(jīng)意間計算機就可能成為病毒的宿主，雖然有防火墻、防病毒軟件，但還是無法遏制病毒的叫囂與入侵。

　　對于企業(yè)而言，其往往只是在局域網(wǎng)邊界部署防火墻等安全設(shè)備，但是內(nèi)部的安全部署卻空空然，病毒一旦進入企業(yè)內(nèi)部，則可以肆無忌憚。事實上企業(yè)可能對來自外部的襲擊進行很好地防備，然而對內(nèi)部人員主動外聯(lián)的行為缺乏管控。為了對企業(yè)內(nèi)部人員的上網(wǎng)行為進行規(guī)范，應(yīng)該對訪問的網(wǎng)站進行分類與限制，最大程度過濾掉不健康的網(wǎng)站，凈化企業(yè)的上網(wǎng)環(huán)境。

　　另外對不同的用戶可以設(shè)置不同的管控策略，比如企業(yè)為防止員工上班時間訪問股票類網(wǎng)站而設(shè)置禁止策略，但是對于因工作原因需要臨時查看與股票相關(guān)信息的同事，則可靈活授予其訪問權(quán)限。

　　由以上分析可以看出，基礎(chǔ)性的系統(tǒng)安全管理，桌面及上網(wǎng)行為管理依舊是眾多企業(yè)的選擇。結(jié)合最受客戶歡迎的十大信息防泄漏功能上篇所談到的內(nèi)容，可以說明，由操作審計、權(quán)限管控及文檔加密組成的整體信息防泄漏方案已經(jīng)得到了多數(shù)企業(yè)的認可。可以想象，未來隨著新技術(shù)的發(fā)展，企業(yè)將要面臨的網(wǎng)絡(luò)環(huán)境會越來越復(fù)雜，信息防泄漏只有整合各種防御技術(shù)，才能全面保護自己的信息資產(chǎn)安全，為企業(yè)的發(fā)展保駕護航。