三一重工是工程機械制造商50強、大的混凝土機械制造商、中國企業(yè)500強、福布斯"企業(yè)"，中國工程機械行業(yè)標(biāo)志性品牌和亞洲品牌500強。公司始創(chuàng)于1989年，經(jīng)過二十多年的發(fā)展，三一重工的產(chǎn)品已經(jīng)達到水平，打造了業(yè)內(nèi)的"三一"品牌。2011年7月，三一重工以215.84億美元的市值，入圍FT500強，成為上榜的中國機械企業(yè)。目前集團擁有員工近7萬名。

從核心到邊緣，統(tǒng)一建立安全體系

信息化在三一重工內(nèi)部迅速開展，所帶來的結(jié)果是各種電子格式的文檔和數(shù)據(jù)，分布在終端、移動設(shè)備、服務(wù)器等各個設(shè)備，傳輸于內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間，文檔和數(shù)據(jù)可控性越來越差；各分公司的規(guī)模和程度不斷擴張，總部無法詳細(xì)掌握分支機構(gòu)的詳細(xì)情況。

因此，三一重工采用了IP-guard信息防泄露三重保護解決方案，在保護企業(yè)核心知識產(chǎn)權(quán)的同時，就各個地區(qū)進行優(yōu)化部署，實現(xiàn)總公司對國內(nèi)分公司以及海外分支機構(gòu)的集中管理。內(nèi)網(wǎng)建設(shè)開展至今，網(wǎng)絡(luò)運行快速、穩(wěn)定。IP-guard高效、專業(yè)的服務(wù)機制更是受到三一重工相關(guān)負(fù)責(zé)人高度贊譽。

近一直都不太平。墨西哥灣石油泄漏了，韓朝沖突升級了，北非的突尼斯也發(fā)生了。開心網(wǎng)上的一項安全調(diào)查令人驚訝：大約只有2% 的人認(rèn)為自己是擁有相當(dāng)安全感的。看來，安全還真是個不小的問題。

無論是墨西哥灣、朝鮮、韓國還是突尼斯，對我們來說，都有點遠。但是企業(yè)的信息資產(chǎn)安全問題，卻跟我們息息相關(guān)。隨著信息技術(shù)的飛速發(fā)展，目前企業(yè)內(nèi)部已經(jīng)有90%的文檔實現(xiàn)了電子化，在網(wǎng)絡(luò)為我們帶來*的效率和極大便利的同時，"企業(yè)機密外泄"這個詞語也頻繁出現(xiàn)在我們面前。

下面我們來看一個真實的案例：

廣州廣日物流股份有限公司是國有控股的中外合資企業(yè)，總資產(chǎn)近2億元人民幣，年運輸量超過30萬噸。公司在北京、上海、天津三大中心城市設(shè)立了分公司，物流業(yè)務(wù)，獲評為"AAA*綜合物流企業(yè)"。

目前，廣日物流的信息化基礎(chǔ)設(shè)施建設(shè)已經(jīng)相當(dāng)完善，營運中心、物流中心、管理部門網(wǎng)絡(luò)已經(jīng)漸成體系，就在廣日物流利用信息化技術(shù)高速發(fā)展之時，內(nèi)部發(fā)生了一起信息泄漏事件：本應(yīng)該是公司機密的員工工資列表，被別有用心的人以匿名郵件的形式傳送到整個公司內(nèi)部。此舉，不僅違反了員工簽訂的保密協(xié)議，更為嚴(yán)重的是，讓廣日物流面臨著員工外流的危險。

"這件事讓我們非常憤怒，也讓我們重視起自己內(nèi)部的信息安全問題。我們重新評估了已有的信息安全體系之后，發(fā)現(xiàn)內(nèi)部還存在著許多以前忽略的可能導(dǎo)致信息外泄的漏洞，我們希望能有一個全面的方案能夠幫助我們限度防止信息泄露，保護重要的信息資產(chǎn)。"廣日物流的IT部林部長告訴筆者。

木桶理論與安全風(fēng)險

一個全面的信息防泄露解決方案，即要能地保護企業(yè)，限度防止企業(yè)信息外泄。而在信息安全領(lǐng)域中，信息安全的整體防護強度取決于"馬奇諾防線"中薄弱的一環(huán)。

這來源于我們熟知的木桶理論：一個由許多塊長短不同的木板箍成的木桶，其容水量并不取決于最長的那塊木板或全部木板的平均長度，而是取決于最短的那塊木板。要想提高木桶整體效應(yīng)，就必須要下功夫補齊最短的那塊木板的長度。

對于廣日物流來說，由于缺乏必要的技術(shù)管理手段，安全事件可能從各種地方發(fā)生。如果無法明確安全漏洞，很可能內(nèi)部價值上千萬的機密信息，只是因為一個U盤的不慎使用，或者是一個普通員工的無意識操作，就瞬間外泄出去。因此，廣日物流必須從整體上來評估自身的信息安全狀況，根據(jù)實際情況，構(gòu)建一個全面的信息防泄露體系。

安全防護與產(chǎn)品選型

在意識到信息安全的重要性之后，廣日物流曾采用過某安全產(chǎn)品進行管理，但由于該產(chǎn)品界面操作困難，功能上難以達到他們的要求，在部署了一段時間后就被卸載下來。

在決定重新挑選內(nèi)網(wǎng)安全產(chǎn)品之后，林部長強調(diào)："功能強大、容易操作、穩(wěn)定，是我們再次選型的關(guān)鍵。"經(jīng)過半年多的選型、對比、試用，廣日物流鎖定了IP-guard內(nèi)網(wǎng)安全產(chǎn)品，"IP-guard不僅僅提供防護功能，它的信息防泄露理念跟我們的想法不謀而合，也正是我們所需要的。"

實時掌握內(nèi)部安全動態(tài)

要構(gòu)建全面的信息防泄露體系，首先必須時刻掌握企業(yè)安全動態(tài)，做到有的放矢。因此很重要的一點是要使網(wǎng)內(nèi)操作"可視化"，隨時檢測整個內(nèi)網(wǎng)環(huán)境的安全狀況，做到迅速反應(yīng)，甚至可以預(yù)測到風(fēng)險，化被動防御為積極防御。

"我們公司與其他物流公司一樣，業(yè)務(wù)流程極為復(fù)雜，內(nèi)部的訂單處理、采購、出貨處理、配送、會計審核、營運管理、績效管理等一系列作業(yè)流程都會生成大量的數(shù)據(jù)信息，我們不希望這些數(shù)據(jù)被外界所拿到。" 林部長表示他們需要時刻掌握文檔的操作，防止有意或者無意的泄漏行為。

利用IP-guard，廣日物流能夠了解到內(nèi)部文檔的所有操作記錄，包括對文檔的創(chuàng)建、訪問、修改、復(fù)制、刪除以及拷貝到移動存儲設(shè)備等操作等，有效審查文檔被誰使用、怎么使用。

由于之前曾經(jīng)出現(xiàn)過"郵件"事件，林部長強調(diào)，們對于郵件的管控特別重視。IP-guard郵件管控功能，能夠全面記錄標(biāo)準(zhǔn)協(xié)議與Exchange格式郵件包括附件在內(nèi)的接收和收發(fā)內(nèi)容，以及Lotus和網(wǎng)頁郵件的包括附件在內(nèi)的發(fā)送內(nèi)容，幫助廣日物流備案和審計企業(yè)的往來郵件，防止類似的泄露事件再度發(fā)生，讓非常滿意。

"我們也有專門的工程師會每周查看日志記錄。"林部長說他們在公司內(nèi)部進行了全程屏幕監(jiān)控，通過對屏幕進行實時查看，詳細(xì)了解到員工的所有操作，真正做到時刻掌握企業(yè)安全動態(tài)。

封堵可能的漏洞

在文檔操作可視化、透明化的基礎(chǔ)上，面對日益增多的信息泄漏手段，還必須有一個全面分析的視角，預(yù)見可能存在的泄漏方式并且進行限度地封堵。如果缺乏全面的分析，可能會忽略某個安全漏洞的真正威脅，相應(yīng)采取的安全措施也可能無法解決真正的問題。

"我們公司的部門非常多，各個部門產(chǎn)生的文檔各不相同，因此需要借助IP-guard建立文檔的分級訪問權(quán)限。"林部長表示，借助IP-guard，對公司各部門進行了用戶組的劃分，如營運部、物流部、客服部、管理部……同時基于員工不同的部門和級別設(shè)置了完善的文檔操作權(quán)限，控制員工對本地、網(wǎng)絡(luò)等各種位置的文件甚至文件夾的操作權(quán)限，包括訪問、復(fù)制、修改、刪除等。

"現(xiàn)在，我們對員工用網(wǎng)絡(luò)發(fā)送文檔，也管理的比較嚴(yán)格。"林部長和同事們利用IP-guard及時通訊工具管控功能，在使用互聯(lián)網(wǎng)跟外界進行聯(lián)系的管理中心和物流中心，限制員工通過QQ、MSN、等網(wǎng)絡(luò)應(yīng)用發(fā)送公司內(nèi)部文檔，防止如車輛跟蹤調(diào)度安排、運力資源調(diào)配方案、工資信息等通常以O(shè)ffice word、Excel格式存在的機密文檔外泄。

同時，還通過IP-guard禁止內(nèi)部人員隨意使用U盤、3G、藍牙等各類外部設(shè)備拷貝文檔，"在設(shè)置管理策略的時候，我們也考慮到了各種特殊情況。"林部長表示個別員工由于工作需要可申請放開U盤的使用權(quán)限，但只允許拷貝到公司電腦，不允許把內(nèi)部文檔拷貝出公司電腦帶出去。

電腦中毒、軟件也是曾經(jīng)讓林部長很頭痛的問題，"通過IP-guard，我們過濾了非法、色情的網(wǎng)站，同時還限制員工使用公司電腦玩游戲、炒股等，不但減少了網(wǎng)絡(luò)帶來的風(fēng)險還營造了積極向上的工作氛圍，也讓我們的維護工作輕松多了。"

最后，林部長說道，現(xiàn)在越來越覺得，信息資產(chǎn)安全是一個基礎(chǔ)，只有內(nèi)部安全了，公司才能夠安心發(fā)展。目前公司的業(yè)務(wù)范圍越來越廣，在了北京、上海、天津、南京、西安、沈陽、重慶、成都等多個城市設(shè)立了分公司和辦點，"現(xiàn)在對IP-guard建立的信息防泄露體系比較滿意，利用IP-guard進行跨區(qū)域網(wǎng)絡(luò)管控，把這些分散的分公司和辦事處集中管理起來，是下一步我們要做的事。"

廣東華南藥業(yè)集團位于廣東東莞，業(yè)務(wù)主要涉及人用藥品、科研和藥品包裝材料三大領(lǐng)域。公司品牌之一"華南牌"被評為廣東省。公司研究、生產(chǎn)和推廣新藥，并形成了百余個有競爭力的產(chǎn)品組合。公司下屬的廣東省中藥制劑工程研究開發(fā)中心致力于中藥制劑現(xiàn)代化的研究和開發(fā)，并擁有企業(yè)博士后工作站。

客戶需求：

• 作為一間大型制藥企業(yè)，華南藥業(yè)較早的開始了企業(yè)的信息化工程，在這一過程中，華南藥業(yè)的研發(fā)資料、產(chǎn)品配方、銷售數(shù)據(jù)等各項資料逐漸由紙質(zhì)轉(zhuǎn)變?yōu)殡娮游臋n，在"力拓案"等電子文檔泄露事件頻發(fā)的今天，華南藥業(yè)對分散存儲于公司內(nèi)部網(wǎng)絡(luò)的各類資料的安全比較擔(dān)心。經(jīng)過慎重的對比評測，最終，華南藥業(yè)采用了IP-guard信息安方案來保護自身的信息資產(chǎn)。
• 內(nèi)網(wǎng)環(huán)境較為復(fù)雜，目前形成了400多臺電腦為主體的局域網(wǎng)環(huán)境，大部分為xp，有少部分的vista及win 7系統(tǒng)，按照職能部門進行分組。
• 內(nèi)部網(wǎng)絡(luò)有專門的文檔服務(wù)器，用以存儲各類文檔。但由于缺乏有效的管理，任何內(nèi)網(wǎng)用戶都可以接觸到其中的文檔，訪問、修改都沒有限制。
• 內(nèi)部移動存儲設(shè)備的使用缺乏有效管理，任何人都可以使用自己的U盤、MP3、手機等設(shè)備復(fù)制轉(zhuǎn)移電子文檔，有很大的文檔泄露隱患的同時還經(jīng)常造成病毒泛濫影響內(nèi)網(wǎng)穩(wěn)定。
• 內(nèi)部員工普遍應(yīng)用QQ等即時通訊軟件，在線溝通中也有一定的可能。
• 用戶的一些不良使用習(xí)慣經(jīng)常會導(dǎo)致客戶端計算機故障，嚴(yán)重時會影響工作的正常進行，IT管理人員不得不整日跑動跑西的當(dāng)救火員。

方案詳解：

經(jīng)過對華南藥業(yè)內(nèi)網(wǎng)環(huán)境所面臨的信息安全問題進行仔細(xì)的調(diào)研與分析，溢信科技的工作人員為其推薦了IP-guard信息安方案。由于IP-guard對從win 2000到win 7的操作系統(tǒng)的支持性都非常好，并且支持域環(huán)境部署，在IP-guard技術(shù)人員的指導(dǎo)下，華南藥業(yè)很快在網(wǎng)內(nèi)的所有計算機上安裝了IP-guard內(nèi)網(wǎng)安全管理系統(tǒng)客戶端，實現(xiàn)了以下管理功能：

信息安全：

• 審計并控制文檔操作：利用IP-guard文檔操作管控模塊，對文檔服務(wù)器上的重要文檔的使用權(quán)限進行控制。如能否訪問、修改或者刪除，誰能夠進行這些操作，在修改、刪除等風(fēng)險操作發(fā)生時對高度敏感的文檔及時備份。同時，保證所有的相關(guān)文檔操作都能夠被完整記錄，以便于日后審計查看。
• 管理外設(shè)應(yīng)用：利用IP-guard設(shè)備管控功能限制外部設(shè)備的使用，如刻錄、藍牙、打印、撥號外聯(lián)等，防止用戶經(jīng)由廣泛應(yīng)用的外部設(shè)備進行文檔的復(fù)制與轉(zhuǎn)移。
• 網(wǎng)絡(luò)通訊控制：應(yīng)用IP-guard網(wǎng)絡(luò)控制功能，細(xì)致規(guī)定網(wǎng)內(nèi)所有計算機之間的通訊權(quán)限，達到部門間網(wǎng)絡(luò)區(qū)隔的目的，同時及時檢測并阻斷外部計算機非法連入內(nèi)網(wǎng)獲取信息。
• 移動設(shè)備管理：控制外來移動設(shè)備的使用權(quán)限，并應(yīng)用IP-guard的移動存儲加密功能將內(nèi)部的所有移動存儲設(shè)備包括U盤、移動硬盤、記憶卡等制作成內(nèi)部專用的加密盤。
• 程序控制：應(yīng)用IP-guard的程序控制功能，禁止可能造成的程序的運行，如網(wǎng)絡(luò)共享軟件等；對于經(jīng)由QQ、MSN等即時通訊軟件，應(yīng)用IP-guard的即時通訊管理功能阻斷超過規(guī)定大小或者文件名含有敏感關(guān)鍵詞的文檔外發(fā)，同時審計發(fā)送的具體文檔甚至具體的對話內(nèi)容。

系統(tǒng)維護：

• 遠程維護：利用IP-guard的遠程維護功能，實現(xiàn)對網(wǎng)內(nèi)所有計算機的集中管理與維護，迅速及時的排除故障。同時利用其軟件分發(fā)功能方便的進行軟件的大規(guī)模集中部署。
• 資產(chǎn)管理：利用IP-guard的資產(chǎn)管理功能，管理網(wǎng)內(nèi)的軟硬件IT資產(chǎn)并跟蹤其變動情況，防止集團資產(chǎn)的流失。

實施效果：

通過在網(wǎng)內(nèi)部署IP-guard信息安方案，基本做到了對網(wǎng)內(nèi)電子文檔流轉(zhuǎn)的可控可見，白標(biāo)著企業(yè)核心競爭力的電子文檔的安全有了保證。同時，IP-guard實用的系統(tǒng)維護與資產(chǎn)管理功能，也讓IT系統(tǒng)運行的更加穩(wěn)定和高效。

北京神州數(shù)碼品眾科技有限公司，前身是神州數(shù)碼BTC事業(yè)部，目前已經(jīng)成為中國針對銀行客戶較大的直復(fù)營銷渠道，通過目錄郵購、Internet、電話中心等方式向4,000萬客戶提供包括3C、精品等在內(nèi)的中產(chǎn)品

用戶需求：

品眾科技內(nèi)部產(chǎn)生的諸如客戶姓名、郵件地址列表、商品*等文檔保密性要求*。在信息泄漏事件頻發(fā)的今天，品眾科技對存儲于公司內(nèi)部網(wǎng)絡(luò)的各類資料的安全存在憂慮。品眾科技的IT部門決定，尋找一個專業(yè)的內(nèi)網(wǎng)安全產(chǎn)品，來解決這些問題。

解決方案：

品眾進行了多方的查找和比較，經(jīng)過一段時間的試用，最終決定借助IP-guard信息防泄露解決方案構(gòu)建起分級保密的信息防泄露體系。

類似于漫畫中的信息泄漏場景，在很多企業(yè)里都曾上演過。但并不是所有企業(yè)都能在安全危機發(fā)生之前及時制止。當(dāng)前如何防止外泄，已成為眾多企業(yè)的"心頭痛"。神州數(shù)碼品眾科技就在公司業(yè)務(wù)紅紅火火之時，遭遇到了信息泄漏的困擾。

品眾內(nèi)部存放著如顧客資料、商品*等眾多關(guān)系其核心競爭力的電子文檔。應(yīng)該說品眾是具備一定安全意識的，將所有崗位按照掌握資料的重要程度分為一、二、三級崗位：一級崗位掌握機密程度，二級崗位次之，三級崗位。但由于缺乏一定的技術(shù)方法，崗位的劃分雖然清晰，文檔訪問權(quán)限卻沒有限制，任何人都能訪問，甚至用U盤、MP3、手機將這些資料帶走。

為了方便與外界聯(lián)系，內(nèi)部普遍使用QQ、MSN、飛信。一旦員工在過程中泄漏商品*或客戶資料，損失將不可估量。同時，公司缺乏對發(fā)送郵件內(nèi)容的控制和審計，即使機密信息被發(fā)送也無從得知。

如果真的發(fā)生漫畫中的情況，那后果可不是炒掉幾個人就能彌補的。品眾科技的IT部門意識到除了制定信息安全規(guī)定，還要尋找一個專業(yè)的內(nèi)網(wǎng)安全產(chǎn)品，來解決這些問題。經(jīng)過多方的查找和比較，品眾最終選擇了IP-guard內(nèi)網(wǎng)安全管理系統(tǒng)。

品眾采購就購進了包括設(shè)備管控、應(yīng)用程序管理、網(wǎng)絡(luò)管控、文檔操作管控、打印管控、屏幕監(jiān)控、網(wǎng)絡(luò)控制、郵件管控、即時通訊管控和基本功能在內(nèi)的模塊，并進行了如下管理：

• 規(guī)范了設(shè)備的使用。
  以前，員工隨意使用U 盤、藍牙等轉(zhuǎn)移電子文檔?，F(xiàn)在，通過IP-guard設(shè)備管控功能，禁止了在保密性高的一、二級崗位上使用USB接口、藍牙、刻錄等移動存儲。其中一級崗位中的請款核銷崗因工作需要必須使用USB 接口的，通過IP-guard將USB口設(shè)為只讀。
• 分級別文檔訪問。
  為避免重要文檔被隨意訪問，品眾首先借助IP-guard對文檔服務(wù)器上的文檔使用權(quán)限進行了控制：如能否訪問、修改或刪除，什么級別的崗位能進行這些操作，并且在修改、刪除等風(fēng)險操作發(fā)生時對高度敏感的文檔及時備份。
  同時為每個級別的崗位以及高涉密崗位的具體操作人員制定了文檔訪問和使用的分級。并將訪問、修改、復(fù)制等文檔操作和打印等使用行為都一一記錄下來，及時審計是否有違規(guī)行為發(fā)生。
• 更加嚴(yán)格的操作審計。
  對一級崗位進行全程屏幕監(jiān)控，記錄保留半年，其他崗位不進行監(jiān)控。
• 控制網(wǎng)絡(luò)傳輸。
  在一、二級崗位上禁止QQ、MSN等的使用。同時禁止所有崗位使用網(wǎng)頁郵件，并記錄收發(fā)郵件的內(nèi)容及附件。同時禁止上班時間訪問炒股、娛樂新聞等于工作無益的網(wǎng)站。

專家評述：

品眾科技的案例給企業(yè)的啟示就在于分級，按照崗位的安全需求，進行嚴(yán)格的分級管理。很多企業(yè)對于這點不夠重視，導(dǎo)致企業(yè)機密文檔被任意訪問、傳播。出于安全性的考慮，建立一個分級保密體系對是十分必要和有效的。

神威藥業(yè)有限公司是一家以現(xiàn)代中藥科研、生產(chǎn)為主的大型現(xiàn)代醫(yī)藥企業(yè)，公司先后榮獲中國贊賞的醫(yī)藥企業(yè)、行業(yè)內(nèi)成長力的自主品牌企業(yè)、中國行業(yè)百佳雇主、2005年中國成長企業(yè)、全國"五一"勞動獎狀、全國重要*集體等上百項光榮稱號。

完善防泄體系促進穩(wěn)定發(fā)展

作為一間大型制藥企業(yè)，神威制藥較早開始了企業(yè)的信息化工程，激增的電子文檔以及多種電子數(shù)據(jù)對內(nèi)網(wǎng)的安全性提出了新的要求，IP-guard融合多種技術(shù)手段的信息防泄露三重保護體系成為神威制藥進行內(nèi)網(wǎng)建設(shè)的核心體系。 通過部署IP-guard，神威藥業(yè)實現(xiàn)了三個方面的改進：維護了核心競爭力、塑造了良好的工作環(huán)境、IT運維更加快速，這些無疑大大提升了神威藥業(yè)的工作效率和市場競爭力，促進了神威藥業(yè)穩(wěn)定的發(fā)展，從另一個角度講也為深受疾病困擾的患者帶來了更多的福音。

吉田拉鏈（以下簡稱"YKK"）是世界上的拉鏈制造商，代表著行業(yè)標(biāo)準(zhǔn)，因為采用日本精確的工藝，原料和管理方法，雖然YKK價格是其它牌子拉鏈的10倍左右，但目前YKK仍是拉鏈行業(yè)的*擁有者。 1995年，YKK在中國境內(nèi)投資的第三個拉鏈生產(chǎn)基地——吉田拉鏈（深圳）有限公司，發(fā)展壯大后的深圳YKK擁有的生產(chǎn)設(shè)備、健全的管理體制，公司秉承了一貫追求優(yōu)良品質(zhì)的傳統(tǒng)，結(jié)合中國市場的特性生產(chǎn)出高品質(zhì)的金屬、尼龍、樹脂拉鏈以及扣具、鈕扣產(chǎn)品，滿足中國市場的需求。

部署IP-guard所達到的效果

為保護內(nèi)部設(shè)計到核心競爭力的機密文檔，YKK應(yīng)用了IP-guard提供的信息防泄露三重保護體系，通過IP-guard實現(xiàn)了對機密文檔的可控、可見、可查，實現(xiàn)機密數(shù)據(jù)的安全流轉(zhuǎn)，同時嚴(yán)格控制渠道，高強度的安全性和穩(wěn)定性，為YKK鑄造了堅固的信息安全防護城。