翻看中國古代的戰(zhàn)爭史，其實就是一部城池的攻防史。

幾千年來，“攻城拔寨”是歷來戰(zhàn)爭的直接目標(biāo)和關(guān)鍵動機。隨著戰(zhàn)事迭起，攻防相生，城池也因此成為最大，最重要的戰(zhàn)爭舞臺。從秦始皇修筑萬里長城開始至今，無論是歷代對于長城防線的高度重視，還是今天我們依然用“鋼鐵長城”來形容我們的國防理念，都足已說明這種以城墻為基礎(chǔ)的戰(zhàn)略防御思想，對我們的影響是多么重要、多么深遠。

同樣的道理也適用于企業(yè)的內(nèi)網(wǎng)安全領(lǐng)域，對于企業(yè)來說，安全事件經(jīng)常從各種地方發(fā)生，如果不能構(gòu)建一個堅固的安全防線，很可能關(guān)系企業(yè)發(fā)展命運的機密信息，只因為一個U盤的不慎重使用，或者是一個普通員工的無意操作，就輕易泄漏出去。

安馳鋁合金車輪有限公司（以下簡稱“安馳”）就深知防御體系的重要性，在2010年10月13日，正式部署IP-guard內(nèi)網(wǎng)安全系統(tǒng)，在其幫助下構(gòu)建了一個全方位、立體化的信息防泄漏三重保護體系。

前進之路的“心頭病”

安馳主要從事汽車、摩托車及各種高致密鋁合金車輪的制造，公司每年設(shè)計車輪的品種和款式的數(shù)量都居世界第一，年銷售收入達5億元人民幣，目前擁有三大生產(chǎn)基地，在職員工700多人，可實現(xiàn)年產(chǎn)300萬只優(yōu)質(zhì)鋁合金輪轂，產(chǎn)品遠銷至日本、美國、德國等62個國家。

利用信息技術(shù)，強化自主開發(fā)能力，快速推出針對各種型號車輪的最新設(shè)計款式，滿足客戶多元化需求，是安馳立足于激烈的鋁合金車輪行業(yè)，并出奇制勝的最大秘訣。

信息化的不斷開展，卻為安馳自主知識產(chǎn)權(quán)保護帶來了擔(dān)憂：強大的開放性和互通性催生了商業(yè)泄密、網(wǎng)絡(luò)間諜等眾多灰色名詞，持續(xù)涌現(xiàn)的企業(yè)機密信息外泄事件讓安馳的憂慮越來越深。

快速發(fā)展的安馳，就好比行駛在高速公路的汽車，行駛的速度越快，越要注意自身的安全，安馳的副總經(jīng)理吳湛表示：“任何一個微小的失誤，即會對安馳造成難以挽回的悲劇局面”。如果在此時出現(xiàn)代表安馳核心競爭力的設(shè)計圖紙信息外泄問題，造成的影響是無法估量的。

對此，安馳本身已經(jīng)制定了一套安全規(guī)章制度，也通過設(shè)置BIOS的方式封鎖了設(shè)計部門的USB接口（連接打印機的計算機除外），對設(shè)計部門甚至采取了網(wǎng)絡(luò)隔離，但一些泄密隱患還是存在：

◆ 封BIOS只能取得“允許/禁止”兩種效果，一禁全禁，一放全放，極有可能因為U盤、打印等造成泄密，用戶甚至還可以通過CMOS放電輕松繞過管制；

◆ 通過智能手機、打印帶走文件，或使用3G上網(wǎng)卡等連接網(wǎng)絡(luò)，通過網(wǎng)絡(luò)帶走；

◆ 在允許使用互聯(lián)網(wǎng)的部門，文件可能通過QQ、MSN、郵件外泄；

◆ 電腦或者硬盤丟失則難以防范；

另外，安馳缺乏對內(nèi)網(wǎng)行為的審計，管理者無法了解員工的操作行為，如果泄密事件發(fā)生，也無從追查。#p#

建立全方位信息防泄三重保護體系

在與IP-guard技術(shù)專家的溝通中，安馳說出了自己的困擾。IP-guard技術(shù)專家根據(jù)安馳的實際情況，為其提供了一套全方位信息防泄漏解決方案。

實際上，在安全領(lǐng)域中，某些企業(yè)為了確保自己的網(wǎng)絡(luò)安全高枕無憂，“不求最好，但求最貴”地位自己配備上各種“最佳”的單一產(chǎn)品，并期望這種“強強組合”能給企業(yè)套上萬無一失的金鐘罩。殊不知這種做法往往意味著企業(yè)必須付出較高的成本，并增加了技術(shù)的復(fù)雜性。

IP-guard所提供的全方位信息防泄漏解決方案，只需通過單一產(chǎn)品，即可為企業(yè)量身打造全面的信息防泄漏三重保護體系，最大限度保護內(nèi)部的機密資料，同時還為企業(yè)帶來很多其他的好處：減少了購買成本，簡化了日常的操作與管理，降低了系統(tǒng)的資源占用。

IP-guard為安馳構(gòu)建了以“審計-控制-加密”為主的信息防泄漏三重保護體系：通過完整的文檔操作審計發(fā)現(xiàn)網(wǎng)內(nèi)安全的危險趨向，及時做出預(yù)防；對網(wǎng)絡(luò)和外部設(shè)備等可能的泄密渠道加以控制，防止文檔外流；高強度的透明加密保證文檔在論在何時何地都能得到有效保護。

安全事件發(fā)生前就被“揪”出來了

“現(xiàn)在，IP-guard的保護讓我們不再擔(dān)心設(shè)計圖紙或者其他文檔的安全。”吳湛介紹說，只要當(dāng)異常情況發(fā)生，比如員工有意、無意越級訪問了安全文檔，或者對機密文檔進行修改、刪除、打印等可能發(fā)生風(fēng)險的操作……IP-guard都會出現(xiàn)警報并且記錄下來，第一時間發(fā)現(xiàn)安全風(fēng)險，幫助安馳防范于未然。

通過IP-guard郵件管控和即時通訊管控功能，還能記錄安馳內(nèi)部包括Exchange、Lotus等常用郵件包括附件在內(nèi)的發(fā)送內(nèi)容，對于銷售部、市場部經(jīng)常使用QQ、MSN等幾十種常用即時通訊工具進行的文件傳輸也能進行記錄。

吳湛強調(diào)，公司還有專門的負責(zé)人，定期對IP-guard的日志記錄進行審計。“同時，我們還在公司內(nèi)部進行全程屏幕監(jiān)控，通過對屏幕進行實時查看，了解員工的任何不規(guī)范操作，防止泄密事件發(fā)生。”#p#

封堵了可能泄密漏洞，規(guī)范了內(nèi)網(wǎng)操作

吳湛介紹說，由于公司各部門的職能不同，安全漏洞出現(xiàn)的地方也不同，因此，必須要針對不同部門的特殊需求，利用IP-guard進行不同的管控。如禁止設(shè)計部、工藝部等四個核心部門U盤、3G上網(wǎng)卡、藍牙等各類外部設(shè)備的使用；對允許使用互聯(lián)網(wǎng)的市場部和銷售部，限制員工通過QQ、MSN、E-mail等網(wǎng)絡(luò)應(yīng)用發(fā)送帶有文件名包含敏感信息或超出規(guī)定大小的文檔。

“另外，我們還對內(nèi)部的上網(wǎng)行為進行了一些管理，提高了公司的工作效率。”安馳在全公司內(nèi)部實行人性化管理：上班時間，對于在線視頻、社交網(wǎng)站等非業(yè)務(wù)網(wǎng)絡(luò)應(yīng)用進行封堵；休息時間開放，讓員工勞逸結(jié)合；同時，禁止內(nèi)部隨意安裝包括炒股、新聞瀏覽、P2P網(wǎng)絡(luò)電視軟件等與工作無關(guān)的軟件，確保正常的業(yè)務(wù)的開展。

即使傳播出去也不怕

俗話說的好，不怕一萬，就怕萬一。雖然在內(nèi)部進行了全面的審計，對可能的泄密渠道進行了封堵，但萬一，千萬分之一的可能性機密被泄漏出去了，對于安馳來說，損失也是不可預(yù)計的。因此，為了最大限度地保障信息資產(chǎn)安全，安馳利用IP-guard建立了最后一道也是最強的透明加密體系。

首先，安馳通過IP-guard透明加密功能，對設(shè)計部、工藝部、模具部常用的 AutoCAD、 PRO/E、UG設(shè)計類文檔和財務(wù)部常用的OFFICE財務(wù)文檔進行了強制加密，合法員工使用時自動解密，不影響他們原有的使用習(xí)慣。即使加密文檔被非法帶出部門外，也無法打開使用。

“我們公司跟其他公司一樣，都有部門、層級關(guān)系，因此需要授予不同部門、級別的員工相應(yīng)的機密文檔訪問權(quán)限。”吳湛解釋道，利用IP-guard，安馳根據(jù)內(nèi)部的層級關(guān)系，建立了立體化的保密體系：設(shè)計部、工藝部、模具部、財務(wù)部的員工有權(quán)訪問自己部門里的加密文檔，公司經(jīng)理級以上的職員才有權(quán)訪問所有加密文檔。這樣做的好處在于，一是可以嚴格控制涉密文檔的傳播范圍，二是提高了員工的保密意識。

吳湛指出，對于需要出差的公司同事，他們也會給予有限的離線授權(quán)，允許在外出繼續(xù)使用加密文檔，文檔仍保持加密狀態(tài)，只能在被授權(quán)的計算機上使用。

“在這個項目實現(xiàn)的一年多時間里，IP-guard給我們帶來了最好的技術(shù)團隊，在多次的溝通調(diào)試中，讓我們這個‘安全長城’建立的非常堅固。”吳湛表示，IP-guard在項目實施有困難的時候及時給予技術(shù)支持，專業(yè)精神非常值得尊敬。