企业部署数据防泄漏软件要提前告知，多重防护

2024-10-29

1.主动就是要提前告知，充足酝酿

要知道，企业数据防泄漏是为了维护企业权益，帮助企业健康持续发展的行为，是一个光明正大的行为，所以完全不用躲躲藏藏。有的企业为了怕引起员工反对，选择偷偷部署防泄密软件，这样反而激化员工的情绪，让员工以为企业做了什么不太光明的事情。

既如此，倒不如光明正大地将事情提前告知所有人，一来让大家了解企业防泄密的目的与意义；二来申明企业防泄密的范围，尽量平衡企业信息安全与员工个人隐私之间的关系；三是让大家提早有心里准备。真的的猛士，就该勇于面对问题，积极寻求解决方法，而不是犹疑与暗行。

2.主动就是要多重防护，以防万一

企业泄密的方式多种多样，你不知道机密信息在什么时候、从什么地方就泄露出去。有时候即使它在你的眼皮底下流失，你也无法察觉。因此企业应该建立全面的防护体系，为公司的机密信息建立多重保护，从而严防泄密。

首先，设置安全瞭望哨，洞晓城内的动静，发现安全隐患

企业防泄密与古时候的城防有许多相似之处，城防第一步便是要设立瞭望哨，随时监视城内外的动静，一有情况马上报告。瞭望哨就相当于整个城防系统的眼睛，随时发现可疑情况，知己知彼，才能料敌于先，一招制敌。

那什么是企业防泄密系统的瞭望哨？是安全审计系统。通过对企业的各种计算机操作，包括文档使用、网络聊天、邮件发送、U盘拷贝、网页浏览、程序运行等等，进行详细的记录与统计，并以可视化的形式呈现结果，企业管理者可凭此洞察内网中潜在的风险，并采取预防措施，将隐患爆发之前将其扼杀。

但在实际防泄密中，安全审计这一环节却常常被被不少企业所疏忽，企业往往误认为审计只是马后炮，其实这严重低估了审计的作用。安全审计的作用其实是贯穿防泄密整个过程的，事前可以预测风险，事中可以对可疑行为报警，事后可以提供强有力的证据，三位一体，这才是安全审计真正的面貌。也许现在安全审计的技术还不够完善，由此导致审计的效果还无法发挥出来。但随着技术的成熟，审计的威力将会使整个防泄密大放异彩。

如果企业一直停滞于已有的成见之中，忽视安全审计的作用，那相当于将自己的可视范围仅仅固定在有限空间里。等于远方的“敌人”杀到眼前时，已经“生米煮成熟饭”，此时企业匆忙应战，极易陷入被动的泥淖，承受损失几成定局，比如下面这个案例：

2005年前技术主任A先生离职，并用移动硬盘拷走千余份重要的技术资料。2007年，A通过其前手下，共获取L公司技术资料几百份。交给新东家换取高薪。2008年，L公司发现泄密，将A等告上法庭，最终L公司自曝经济损失高达14亿美元，A面临牢狱之灾。

其实这个事件，通过审计及早发现泄密并非难事，如能提早发现，L公司就可以避免损失， A员工也避免了犯罪，就不会造成最终“两败俱伤”的局面。事实上，安全管理较为成熟、完善的企业无一例外都非常重视审计，规模稍大的企业还会设立部门来专门负责各种操作、内容的审计工作，以便能及早发现泄密的苗头，并采取预防措施。

其次，城内重要区域设置关卡，有相应令牌者方可进入

在城防时，各个城门口都派有专门的士兵进行把守，对进出的人进行严格的检查，并对可疑人物进行重点盘问与搜查。企业信息防泄露也可遵循这种思路，一要在存有重要信息的地方设好关卡，防止随意出入，比如财务部不允许其他人随便进入、文档服务器只允许获得授权的人访问，以防重要信息泄露；二要在信息的各个出口设置关卡，比如U盘、E-mail等，限制文档的传播，杜绝信息由这些出口不知不觉外流出去。

如今新技术和应用不断地涌现出来，并接入企业的内网中，导致企业需要不断地面临新的泄密风险，因此企业的关卡也要相应地增加。当下智能手机、平板电脑移动应用逐渐在办公中普及，给企业的信息防泄管理带来了新的挑战，企业需要应当引起高度重视，并及早部署防护措施以防不测。

三要在一些特别的时期设置好关卡，比如发生人事变动、或者组织结构调整等，因为这些时候是信息泄露发生的高峰节点。比如2011年三星泄密事件，就是在其前雇员离职时发生的，原因是三星在该雇员离职后，并没有及时收回其访问公司文档服务器的权限，结果导致核心技术被泄露。

最后，机密信息采用密报，即使被夹带出城，也无法破解

城防中，在传递高度机密时，为保证绝对安全，都会采用暗语等方式，如此即使情报为敌军截获，也无法破译，不必担心信息泄露。对于企业的核心资产，当然也要采取非同一般的防护手段，必须将其加密，才能保护其安全。

加密的作用，就好比给每个重要的文档都配备一个专属的贴身保险柜，没有经过授权的人无法打开。目前在企业中广泛部署的透明加密除了最基础的加密保护外，更衍生出一整套文档权限管理体系，对文档的打开、复制、修改、截屏、打印等各种权限进行控制，同时能根据企业结构，将文档划分不同的秘密级别与所属部门。在这样情形下，企业可以精确地根据每个的职务内容与级别授予专门的文档权限，实现个性化防护。

加密虽好，独木难支。在实际防泄密中，很多企业仅仅对所谓的重点部门部署加密，对其他部门则不管不问，以为只要用最厉害的技术将最重要的资产保护好就行了。不过事与愿违，这种“重重（zhongzhong）防护”的思路潜在着许多弊端。

所谓的重点部门并不是孤立存在的，它也需要与其它部门沟通、传递文档。为了不影响工作，加密部门不得将文件解密。如果没有其他措施，这些解密文档流出之后就等于逃离了企业的可控范围，即使被泄露也无人知道无从调查。

因此企业应该改变这种单一化的防护模式，变“重重(zhongzhong)”为“重重(chongchong)，综合运用审计、管控与加密多种防泄密手段，对全公司进行全面防护，不放过任何一个可疑线索，不放行任何一个可能造成泄密的操作，才能掌握主动权，保护好信息资产。