广日物流借助IP-guard建立信息防泄露体系

广日物流的信息化基础设施建设已经相当完善，就在广日物流利用信息化技术高速发展之时，内部发生了一起员工工资单被泄密的信息泄漏事件不仅违反了员工签订的保密协议，更为严重的是，让广日物流面临着员工外流的危险。利用IP-guard全面的信息防泄露解决方案，广日物流即可实现全方位地保护企业，有效防止企业信息外泄。

世界最近一直都不太平。墨西哥湾石油泄漏了，韩朝冲突升级了，北非的突尼斯也发生政变了。开心网上的一项安全调查令人惊讶：大约只有2% 的人认为自己是拥有相当安全感的。看来，安全还真是个不小的问题。

无论是墨西哥湾、朝鲜、韩国还是突尼斯，对我们来说，都有点远。但是企业的信息资产安全问题，却跟我们息息相关。随着信息技术的飞速发展，目前企业内部已经有90%的文档实现了电子化，在网络为我们带来极高的效率和极大便利的同时，"企业机密外泄"这个词语也频繁出现在我们面前。
 

下面我们来看一个真实的案例：

广州广日物流股份有限公司是国有控股的中外合资企业，总资产近2亿元人民币，年运输量超过30万吨。公司在北京、上海、天津三大中心城市设立了分公司，物流业务辐射全国，获评为"AAAA级综合物流企业"。

目前，广日物流的信息化基础设施建设已经相当完善，营运中心、物流中心、管理部门网络已经渐成体系，就在广日物流利用信息化技术高速发展之时，内部发生了一起信息泄漏事件：本应该是公司机密的员工工资列表，被别有用心的人以匿名邮件的形式传送到整个公司内部。此举，不仅违反了员工签订的保密协议，更为严重的是，让广日物流面临着员工外流的危险。

"这件事让我们领导非常愤怒，也让我们重视起自己内部的信息安全问题。我们重新评估了已有的信息安全体系之后，发现内部还存在着许多以前忽略的可能导致信息外泄的漏洞，我们希望能有一个全面的方案能够帮助我们最大限度防止信息泄露，保护重要的信息资产。"广日物流的IT部林部长告诉笔者。

木桶理论与安全风险

一个全面的信息防泄露解决方案，即要能全方位地保护企业，最大限度防止企业信息外泄。而在信息安全领域中，信息安全的整体防护强度取决于"马奇诺防线"中最为薄弱的一环。

这来源于我们熟知的木桶理论：一个由许多块长短不同的木板箍成的木桶，其容水量并不取决于最长的那块木板或全部木板的平均长度，而是取决于最短的那块木板。要想提高木桶整体效应，就必须要下功夫补齐最短的那块木板的长度。

对于广日物流来说，由于缺乏必要的技术管理手段，安全事件可能从各种地方发生。如果无法明确安全漏洞，很可能内部价值上千万的机密信息，只是因为一个U盘的不慎使用，或者是一个普通员工的无意识操作，就瞬间外泄出去。因此，广日物流必须从整体上来评估自身的信息安全状况，根据实际情况，构建一个全面的信息防泄露体系。

安全防护与产品选型

在意识到信息安全的重要性之后，广日物流曾采用过某安全产品进行管理，但由于该产品界面操作困难，功能上难以达到他们的要求，在部署了一段时间后就被卸载下来。

在决定重新挑选内网安全产品之后，林部长强调："功能强大、容易操作、稳定，是我们再次选型的关键。"经过半年多的选型、对比、试用，广日物流锁定了 IP-guard内网安全产品，" IP-guard不仅仅提供防护功能，它的全方位信息防泄露理念跟我们的想法不谋而合，也正是我们所需要的。"

实时掌握内部安全动态

要构建全面的信息防泄露体系，首先必须时刻掌握企业安全动态，做到有的放矢。因此很重要的一点是要使网内操作"可视化"，随时检测整个内网环境的安全状况，做到迅速反应，甚至可以预测到风险，化被动防御为积极防御。

"我们公司与其他物流公司一样，业务流程极为复杂，内部的订单处理、采购、出货处理、配送、会计审核、营运管理、绩效管理等一系列作业流程都会生成大量的数据信息，我们不希望这些数据被外界所拿到。" 林部长表示他们需要时刻掌握文档的操作，防止有意或者无意的泄漏行为。

利用 IP-guard，广日物流能够了解到内部文档的所有操作记录，包括对文档的创建、访问、修改、复制、删除以及拷贝到移动存储设备等操作等，有效审查文档被谁使用、怎么使用。

由于之前曾经出现过"邮件泄密"事件，林部长强调，领导们对于邮件的管控特别重视。 IP-guard邮件管控功能，能够全面记录标准协议与Exchange格式邮件包括附件在内的接收和收发内容，以及Lotus和网页邮件的包括附件在内的发送内容，帮助广日物流备案和审计企业的往来邮件，防止类似的泄露事件再度发生，让领导非常满意。

"我们也有专门的工程师会每周查看日志记录。"林部长说他们在公司内部进行了全程屏幕监控，通过对屏幕进行实时查看，详细了解到员工的所有操作，真正做到时刻掌握企业安全动态。

封堵可能的泄密漏洞

在文档操作可视化、透明化的基础上，面对日益增多的信息泄漏手段，还必须有一个全面分析的视角，预见可能存在的泄漏方式并且进行最大限度地封堵。如果缺乏全面的分析，可能会忽略某个安全漏洞的真正威胁，相应采取的安全措施也可能无法解决真正的问题。

"我们公司的部门非常多，各个部门产生的文档各不相同，因此需要借助 IP-guard建立文档的分级访问权限。"林部长表示，借助 IP-guard，对公司各部门进行了用户组的划分，如营运部、物流部、客服部、管理部……同时基于员工不同的部门和级别设置了完善的文档操作权限，控制员工对本地、网络等各种位置的文件甚至文件夹的操作权限，包括访问、复制、修改、删除等。

"现在，我们对员工用网络发送文档，也管理的比较严格。"林部长和同事们利用 IP-guard即时通讯工具管控功能，在使用互联网跟外界进行联系的管理中心和物流中心，限制员工通过网络应用发送公司内部文档，防止如车辆跟踪调度安排、运力资源调配方案、工资信息等通常以Office word、Excel格式存在的机密文档外泄。
 

同时，还通过 IP-guard禁止内部人员随意使用U盘、3G上网卡、蓝牙等各类外部设备拷贝文档，"在设置管理策略的时候，我们也考虑到了各种特殊情况。"林部长表示个别员工由于工作需要可申请放开U盘的使用权限，但只允许拷贝到公司电脑，不允许把内部文档拷贝出公司电脑带出去。

电脑中毒、流氓软件也是曾经让林部长很头痛的问题，"通过 IP-guard，我们过滤了非法、色情的网站，同时还限制员工使用公司电脑玩游戏、炒股等，不但减少了网络带来的风险还营造了积极向上的工作氛围，也让我们的维护工作轻松多了。"

最后，林部长说道，现在越来越觉得，信息资产安全是一个基础，只有内部安全了，公司才能够安心发展。目前公司的业务范围越来越广，在了北京、上海、天津、南京、西安、沈阳、重庆、成都等多个城市设立了分公司和办点，"现在领导对 IP-guard建立的信息防泄露体系比较满意，利用 IP-guard进行跨区域网络管控，把这些分散的分公司和办事处集中管理起来，是下一步我们要做的事。"