【51CTO.com綜合報道】當今世界，信息化已經是大勢所趨，計算機不僅成為人們生活工作不可或缺的工具，也是眾多企業日常開展工作須臾不可離的工具，隨著而來的，就是電子化辦公，數字化信息存儲帶來的信息安全壓力。越來越多的中國企業開始具有核心的知識產權與不可外泄的商業秘密，因而眾多的企業也開始重視信息安全體系的建設。但是，更多的企業把自己的注意力放在了防止外部入侵即網絡邊界安全，而恰恰忽略了身邊的威脅——內部泄密。據FBI和CSI曾對484家公司進行的網絡安全調查結果顯示：超過85%的安全威脅來自公司內部，由于內部人員泄密所導致的資產損失高達6000多萬美元，它是黑客所造成損失的16倍、病毒所造成損失的12倍。企業若是忽略了其內網安全防范措施，將損失許多寶貴的核心數據、專利技術信息，多年累積的技術資產和研發投入成為他人的嫁衣，甚至可能因此導致企業失去競爭力。企業還可能喪失的是其聲譽，以及員工、合作伙伴與客戶的信賴。

面對日漸嚴重的內部泄密事件，我們如何守護企業的核心信息，如何防止內部泄密也就成了擺在各個企業領導面前的一大問題。其實，針對內網安全，防止內部信息泄漏早已有了比較成熟的體系。這得益于一個還不為廣大企業所知的行業——信息防泄漏行業。信息防泄漏從這個行業誕生時刻開始就致力于保護國家秘密，維護國家涉密內網安全，防止涉密信息泄漏。隨著企業保護核心信息的需求日益增長，信息防泄漏行業也開始逐漸為廣大企業提供信息安全服務。面對企業的內網安全問題，信息防泄漏行業憑借多年來服務于國家政府機關積累的經驗，提出六項措施，有效防止內部泄密，守護企業核心機密。

措施一：嚴控計算機外設端口，監控、審計所有計算機的操作行為，封鎖信息外泄途徑。

在企業當中，有一種非常普遍的情況，就是對于計算機外設完全沒有任何監控。每臺計算機可以任意使用各種USB設備，可以隨意讀取光盤，可以連接打印機，能夠隨時的打印文件。這也就極大地方便了內部人員將核心信息，商業機密帶離公司，從而導致信息泄漏。也有一部分公司，感覺都到了內部泄漏的風險，采取了一些手段，例如拆掉光驅，塑封USB口一些簡單的方式，希望能夠控制內部人員隨意使用外設端口，但是這些控制方式都能夠很輕易的破解，并沒有帶來真正意義上的效果。更有一些公司，感覺到簡單的控制手段無法保證效果，就采用了一些技術手段，例如利用修改注冊表或者設置組策略等形式，達到禁止外設端口的效果。這樣在一定程度上，起到了一定效果，然而，針對那些真正企圖泄漏內部機密的幕后黑手而言，這些手段能夠很輕易地被破解。要達到徹底封鎖信息外泄途徑，就需要應用專門技術，例如鼎普科技的“內網安全綜合管理系統”綜合利用中間層驅動、驅動攔截、線程注入等驅動級技術，對操作系統底層驅動進行攔截，保證對接口、設備的監控準確有效，并在此基礎上實現設備監控、文件監控、打印監控等。可準確識別打印機、硬盤、活動硬盤、MODEM等設備，并可對設備的使用進行控制。通過嚴格控制計算機外設端口，有效監控審計所有的計算機操作行為，做到封鎖信息外泄途徑，起到讓核心信息“看得見、用得了、拿不走”的效果。同時建立及時有效的報警審計功能，將內部信息泄漏的一切可能扼殺在萌芽狀態，內部人員一旦出現可疑操作、違規操作及時阻斷、發現并報警，防患于未然。

措施二：所有重要信息集中存儲，終端不留密，信息使用權限細分

隨著信息化程度的不斷提高和自動化辦公的不斷普及，公司文件由傳統的紙質文件越來越多的向電子化文檔轉換，而這些公司文件零散的存儲在各計算機中，然而大多數的公司在進行防護系統建設的時候，更多的是把目光放到了網絡邊界安全，也更多的偏向于監控計算機設備以及計算機使用者的操作，對于真正重要的核心信息本身的防護卻有限。同時由于許多的公司業務流程已不再是狹窄孤立的，而是非常具有動態性、協作性和廣泛性的合作過程。例如：在日常辦公過程中，可能需要公司內外的人員通過演示文稿、電子表格或文檔的形式來復制、共享、打印輸出等信息。這也帶來一個問題就是沒有一個行之有效、更加細分化的策略權限控制手段，幫助管理者限定核心信息針對個人具體的使用權限。這是一個很有效地手段，就是將核心信息集中存儲，保證終端不保存機密信息，在利用驅動級文件權限控制技術、剪貼板防護技術、數據消除技術、進程數字簽名技術等技術，強制終端用戶只能通過系統提供的安全虛擬平臺訪問文檔集中管理服務器上的資源。這樣就既解決了核心信息分散不易管理的難題，又可以針對核心信息進行詳細的權限控制，針對不同的內部人員執行不用的讀、寫、復制、刪除等等操作策略。保證公司能夠對接觸使用核心信息的內部人員進行控制，全面了解核心文件“誰能看、誰能改、誰能用、誰能帶”。有效的降低了內部人員泄密的可能。

措施三：通過移動介質泄密往往是信息泄漏的主要方式。需要嚴格控制移動介質使用，劃分介質使用范圍與責任人。

目前廣泛應用于企業單位中的信息交互工具就是移動介質，作為最有效的信息移動的手段之一，移動存儲介質具有使用方便，存儲空間大等眾多的優點。然而移動存儲介質的容量越做越大，體積卻越做越做小，非常容易丟失。而移動存儲設備本身在設計上由于考慮較多的是易用性，所以往往沒有任何防護措施。一旦移動存儲設備丟失或被盜，就會造成存儲其中的信息外泄。并且大多數企業在日常使用的過程中，并不限定移動介質的使用范圍，使得員工無論是在公司內的電腦，還是個人電腦，或者網吧等等其他地方的電腦上任意使用，使得文件可被輕易復制或者被病毒、木馬侵害，造成信息泄密。由此可見不被管控的移動存儲設備成為了最為危險的信息泄漏途徑與工具。這也就需要我們嚴格控制移動介質的使用，劃分介質使用范圍與責任人。即對介質使用狀態、配置信息全面的掌控；嚴格監控介質從購買后的注冊發放、使用、統一臺帳監控、狀態查詢到收集注銷的運行周期，以及介質從插入、進行各種操作、到拔除全程進行跟蹤記錄和實時報警的運行周期。通過對公司內移動介質的注冊，實現移動存儲介質管理可信化、全程監控；防止移動存儲介質使用導致的信息泄漏及木馬病毒傳染。因為經過公司對移動介質的統一注冊管理，做到了公司內部移動介質無法被外部電腦識別，這樣一旦出現介質丟失事件，也可以最大程度避免存儲其中的核心數據外泄。

措施四：監控本地上網行為，監控員工的上網行為，避免信息從本地被轉移。

隨著網絡的不斷發展與進步，每個公司都會因為工作的需要，連接互聯網。水能載舟亦能覆舟！互聯網一方面能夠幫助企業提高生產力、促進企業發展；另一方面也在企業管理、工作效率、信息安全、法律遵從、IT投資等方面給企業提出了嚴峻的問題與挑戰。日益發達的互聯網讓員工有了更多的選擇，員工很難不受眾多網絡娛樂的誘惑，大家在或多或少地利用工作時間進行非業務操作。同時，由于某些公司員工信息安全意識比較薄弱，很多時候將客戶信息、內部敏感信息等在公網上隨便傳播，并沒有加密，這樣的信息數據很容易被竊取修改。由此產生的泄密事件，也會給公司帶來巨大損失。為此，某些公司高層反對開通網絡，也曾經實施過懲罰制度，但效果不理想，因為如果不開通網絡工作，會給工作帶來不便。事實上并不是所有的員工都需要網絡的，銷售、采購外部協作、生產管理等部門的員工可能需要上網，但是像人事、工程設計等部門上班時間用網絡的很少。這就是說，我們需要找到一個合適的手段例如網絡信息監測系統，控制本地上網，監控員工上網行為。結合內核數據截收和預處理技術、深度內容檢測技術、智能識別阻斷等專利技術，為客戶解決網頁過濾、封堵與工作無關的網絡應用需求。讓企業可以根據行業特征、業務需要和企業文化來制定個性化的網頁訪問策略，過濾非工作相關的網頁。同時制定精細的帶寬管理策略，對不同崗位的員工、不同網絡應用劃分帶寬通道，并設定優先級，合理利用有限的帶寬資源，節省投入成本。并且可以制定全面的信息收發監控策略，有效控制關鍵信息的傳播范圍，以及避免可能引起的信息泄漏風險。

措施五：建立基于硬件級別的防護體系，避免眾多安全防護產品基于操作系統的脆弱性。

在企業的日常工作中，計算機終端是信息存儲、傳輸、應用處理的基礎設施,它可以稱為信息的源頭，其自身安全性涉及到系統安全、數據安全等各個方面, 這就要求企業及時調整安全防護策略,重視計算機終端安全。目前多數計算機終端的防護思路是在既有操作系統上加載軟件。這種方式就像建立在沙丘之上的堡壘，存在致命的弱點。例如，操作系統本身不安全;重裝系統會使軟件的功能全部失效，非法卸載安全軟件，使敏感信息系統主機失去保護;硬盤丟失，所有重要信息數據將全部暴露等等。針對這些問題，目前就有一些產品，以PCI適配卡為硬件載體、基于BIOS級別的設計，實現了重要敏感信息終端的安全“硬”保護，從信息的源頭保證了硬件級安全。因為PCI總線已成為當今計算機終端使用的事實總線標準，具有豐富的硬件資源，不易受資源環境限制。同時，PCI設備配置空間采用自動方式，反跟蹤能力強。且從BIOS級別上對計算機終端進行防護，是較高層次的技術實現途徑，可行并有效。這種安全性不依賴于任何操作系統或軟件，實現了強制終端從硬盤啟動，杜絕從光盤啟動，防止隨意重裝操作系統;用戶可指定主機必須安裝的軟件，開機后該產品會自動對其進行檢測，如果系統中不存在指定軟件(可能被卸載)則主機不能啟動和使用。同時實現了基于BIOS的硬件級登錄認證，以及芯片級的數據全盤保護，但保護對用戶完全透明，即使硬盤丟失數據也不可能被恢復。另外，這種可對硬盤實施整盤加密，對包括操作系統文件在內的所有硬盤數據實施全盤保護。即使硬盤丟失，其中的數據也無法被數據恢復技術破解而遭到竊取。部署這種基于硬件設備的防護產品，可以進一步阻止惡意破壞導致的信息泄漏，保護企業核心信息。

措施六：制定合適的制度，對違反企業規定的行為進行獎懲。對員工進行教育并嚴格執行制度，從頭腦中杜絕信息泄漏。

我們知道有一句老話，"三分技術，七分管理"，這里切實反映出了制度規范在信息防泄漏的中重要性。內網安全系統是重要的安全系統，但也因為涉及到很多應用和便攜設備，多少會對普通用戶的使用習慣造成影響。這個時候，就要求企業能夠利用成文規章來合理的約束用戶的行為，加強用戶教育，為系統的實施創造制度依據，才能讓安全更加深入人心。“技術服務于管理，管理依托于技術”，管理和技術相結合，技術限制配合制度管理，對違反企業規定的行為進行獎懲，對員工進行教育并嚴格執行制度，這樣企業信息安全不再內憂外患。