IP-guard助力安驰构建信息防泄的”钢铁长城”

翻看中国古代的战争史，其实就是一部城池的攻防史。

几千年来，“攻城拔寨”是历来战争的直接目标和关键动机。随着战事迭起，攻防相生，城池也因此成为最大，最重要的战争舞台。从秦始皇修筑万里长城开始至今，无论是历代对于长城防线的高度重视，还是今天我们依然用“钢铁长城”来形容我们的国防理念，都足已说明这种以城墙为基础的战略防御思想，对我们的影响是多么重要、多么深远。

同样的道理也适用于企业的内网安全领域，对于企业来说，安全事件经常从各种地方发生，如果不能构建一个坚固的安全防线，很可能关系企业发展命运的机密信息，只因为一个U盘的不慎重使用，或者是一个普通员工的无意操作，就轻易泄漏出去。

安驰铝合金车轮有限公司（以下简称“安驰”）就深知防御体系的重要性，在2010年10月13日，正式部署IP-guard内网安全系统，在其帮助下构建了一个全方位、立体化的信息防泄漏三重保护体系。

前进之路的“心头病”

安驰主要从事汽车、摩托车及各种高致密铝合金车轮的制造，公司每年设计车轮的品种和款式的数量都居世界第一，年销售收入达5亿元人民币，目前拥有三大生产基地，在职员工700多人，可实现年产300万只优质铝合金轮毂，产品远销至日本、美国、德国等62个国家。

利用信息技术，强化自主开发能力，快速推出针对各种型号车轮的最新设计款式，满足客户多元化需求，是安驰立足于激烈的铝合金车轮行业，并出奇制胜的最大秘诀。

信息化的不断开展，却为安驰自主知识产权保护带来了担忧：强大的开放性和互通性催生了商业泄密、网络间谍等众多灰色名词，持续涌现的企业机密信息外泄事件让安驰的忧虑越来越深。

快速发展的安驰，就好比行驶在高速公路的汽车，行驶的速度越快，越要注意自身的安全，安驰的副总经理吴湛表示：“任何一个微小的失误，即会对安驰造成难以挽回的悲剧局面”。如果在此时出现代表安驰核心竞争力的设计图纸信息外泄问题，造成的影响是无法估量的。

对此，安驰本身已经制定了一套安全规章制度，也通过设置BIOS的方式封锁了设计部门的USB接口（连接打印机的计算机除外），对设计部门甚至采取了网络隔离，但一些泄密隐患还是存在：

◆ 封BIOS只能取得“允许/禁止”两种效果，一禁全禁，一放全放，极有可能因为U盘、打印等造成泄密，用户甚至还可以通过CMOS放电轻松绕过管制；

◆ 通过智能手机、打印带走文件，或使用3G上网卡等连接网络，通过网络带走；

◆ 在允许使用互联网的部门，文件可能通过QQ、MSN、邮件外泄；

◆ 电脑或者硬盘丢失则难以防范；

另外，安驰缺乏对内网行为的审计，管理者无法了解员工的操作行为，如果泄密事件发生，也无从追查。#p#

建立全方位信息防泄三重保护体系

在与IP-guard技术专家的沟通中，安驰说出了自己的困扰。IP-guard技术专家根据安驰的实际情况，为其提供了一套全方位信息防泄漏解决方案。

实际上，在安全领域中，某些企业为了确保自己的网络安全高枕无忧，“不求最好，但求最贵”地位自己配备上各种“最佳”的单一产品，并期望这种“强强组合”能给企业套上万无一失的金钟罩。殊不知这种做法往往意味着企业必须付出较高的成本，并增加了技术的复杂性。

IP-guard所提供的全方位信息防泄漏解决方案，只需通过单一产品，即可为企业量身打造全面的信息防泄漏三重保护体系，最大限度保护内部的机密资料，同时还为企业带来很多其他的好处：减少了购买成本，简化了日常的操作与管理，降低了系统的资源占用。

IP-guard为安驰构建了以“审计-控制-加密”为主的信息防泄漏三重保护体系：通过完整的文档操作审计发现网内安全的危险趋向，及时做出预防；对网络和外部设备等可能的泄密渠道加以控制，防止文档外流；高强度的透明加密保证文档在论在何时何地都能得到有效保护。

安全事件发生前就被“揪”出来了

“现在，IP-guard的保护让我们不再担心设计图纸或者其他文档的安全。”吴湛介绍说，只要当异常情况发生，比如员工有意、无意越级访问了安全文档，或者对机密文档进行修改、删除、打印等可能发生风险的操作……IP-guard都会出现警报并且记录下来，第一时间发现安全风险，帮助安驰防范于未然。

通过IP-guard邮件管控和即时通讯管控功能，还能记录安驰内部包括Exchange、Lotus等常用邮件包括附件在内的发送内容，对于销售部、市场部经常使用QQ、MSN等几十种常用即时通讯工具进行的文件传输也能进行记录。

吴湛强调，公司还有专门的负责人，定期对IP-guard的日志记录进行审计。“同时，我们还在公司内部进行全程屏幕监控，通过对屏幕进行实时查看，了解员工的任何不规范操作，防止泄密事件发生。”#p#

封堵了可能泄密漏洞，规范了内网操作

吴湛介绍说，由于公司各部门的职能不同，安全漏洞出现的地方也不同，因此，必须要针对不同部门的特殊需求，利用IP-guard进行不同的管控。如禁止设计部、工艺部等四个核心部门U盘、3G上网卡、蓝牙等各类外部设备的使用；对允许使用互联网的市场部和销售部，限制员工通过QQ、MSN、E-mail等网络应用发送带有文件名包含敏感信息或超出规定大小的文档。

“另外，我们还对内部的上网行为进行了一些管理，提高了公司的工作效率。”安驰在全公司内部实行人性化管理：上班时间，对于在线视频、社交网站等非业务网络应用进行封堵；休息时间开放，让员工劳逸结合；同时，禁止内部随意安装包括炒股、新闻浏览、P2P网络电视软件等与工作无关的软件，确保正常的业务的开展。

即使传播出去也不怕

俗话说的好，不怕一万，就怕万一。虽然在内部进行了全面的审计，对可能的泄密渠道进行了封堵，但万一，千万分之一的可能性机密被泄漏出去了，对于安驰来说，损失也是不可预计的。因此，为了最大限度地保障信息资产安全，安驰利用IP-guard建立了最后一道也是最强的透明加密体系。

首先，安驰通过IP-guard透明加密功能，对设计部、工艺部、模具部常用的 AutoCAD、 PRO/E、UG设计类文档和财务部常用的OFFICE财务文档进行了强制加密，合法员工使用时自动解密，不影响他们原有的使用习惯。即使加密文档被非法带出部门外，也无法打开使用。

“我们公司跟其他公司一样，都有部门、层级关系，因此需要授予不同部门、级别的员工相应的机密文档访问权限。”吴湛解释道，利用IP-guard，安驰根据内部的层级关系，建立了立体化的保密体系：设计部、工艺部、模具部、财务部的员工有权访问自己部门里的加密文档，公司经理级以上的职员才有权访问所有加密文档。这样做的好处在于，一是可以严格控制涉密文档的传播范围，二是提高了员工的保密意识。

吴湛指出，对于需要出差的公司同事，他们也会给予有限的离线授权，允许在外出继续使用加密文档，文档仍保持加密状态，只能在被授权的计算机上使用。

“在这个项目实现的一年多时间里，IP-guard给我们带来了最好的技术团队，在多次的沟通调试中，让我们这个‘安全长城’建立的非常坚固。”吴湛表示，IP-guard在项目实施有困难的时候及时给予技术支持，专业精神非常值得尊敬。