安驰铝合金车轮有限公司主要从事各种高致密铝合金车轮的制造,现已拥有三大生产基地，每年设计车轮的品种和款式的数量都居世界第一，可实现年产300万只，远销至日、美、德等62个国家，是中国轮毂制造行业的领跑者。

安驰能够快速推出最新的设计款式是其制胜的秘诀，因此设计图纸作为其核心资产必须受到有效的保护，防止外泄出去。同时财务报表、生产流程文件等也是关系到企业正常运营的重要信息也需要合理使用，避免随意传播。为此，安驰自身已制定了一些安全策略，如通过BIOS封锁设计部门的USB接口、部分机器网络隔离等。

事实上，封BIOS只能“一禁全禁，一放全放”，用户有可能通过CMOS放电轻松绕过管制；智能手机、打印机、无线网卡等外部设备有造成泄密的可能，非网络隔离部门的文件也可能通过QQ、MSN、邮件等网络应用外泄，电脑或者硬盘丢失则更难以想象。

安驰最终选择了IP-guard信息防泄漏解决方案，采用细致的审计、严格的控制和稳定的加密三重保护手段，构建完善的整体信息防泄体系。“审计-控制-加密”三重保护，成功地整合到IP-guard单一产品中，安驰只需部署IP-guard即可防范一切意料之外的信息泄露，实现“事前防御- 事中控制- 事后审计”的完整的信息防泄漏流程。

通过对安驰内部的信息安全需求进行分析，IP-guard为其提供了信息防泄漏三重保护解决方案，在全公司范围内对文档的使用和流转进行审计和管控，同时在核心的设计部、工艺部、模具部和财务部四个部门实施文档透明加解密，对设计资料和财务信息进行最大限度的保护。

• 对设计部、工艺部、模具部常用的 AutoCAD、 PRO/E、UG设计类文档和财务部常用的OFFICE财务文档进行了强制加密，合法员工使用时自动解密，不影响他们原有的使用习惯。即使加密文档被非法带出部门外，也无法打开使用。
• 为四个部门的20名员工设定了不同的安全级别，经理可查看所有文档，普通员工只能查看设定级别文档，确保各个级别的员工不能访问越级的加密文档。

为了更高的安全性，在全公司范围内对泄密渠道进行了封堵：

• 禁止设计部、工艺部等四个核心部门U盘、3G上网卡、蓝牙等各类外部设备的使用
• 对允许使用互联网的部门，限制员工通过QQ、MSN、E-mail等网络应用发送带有文件名包含敏感信息或超出规定大小的文档。
• 限制设计部、财务部员工只能在指定的本地打印机进行打印。

记录各部门员工包括修改、复制、删除等文档使用操作以及文档的流转，上网行为等所有操作，帮助管理层洞察到可能的危险趋向，使得员工自觉遵守安全制度，同时还能为泄密事件提供强有力的追踪依据。

成功部署IP-guard之后，安驰公司实现了文档流转的可控可见可查，对可能的泄密渠道进行了封堵，再加上对设计图纸和其他文档进行的强制透明加密，保护机密文档时时刻刻处于加密安全状态。通过“审计-管控-加密”三重保护，构建了完善的整体信息防泄漏保护体系，最大限度保护了公司的信息资产，同时，还无形中规范了员工的行为。

“在看来，选择IP-guard是一个明智之举，它全面、有力的保护让我们不再担心设计图纸或者其他文档的安全，同时，还无形中规范了员工的行为。此外，IP-guard在技术支持方面的快速反映也令我们非常满意!”

世界最近一直都不太平。墨西哥湾石油泄漏了，韩朝冲突升级了，北非的突尼斯也发生政变了。开心网上的一项安全调查令人惊讶：大约只有2% 的人认为自己是拥有相当安全感的。看来，安全还真是个不小的问题。

无论是墨西哥湾、朝鲜、韩国还是突尼斯，对我们来说，都有点远。但是企业的信息资产安全问题，却跟我们息息相关。随着信息技术的飞速发展，目前企业内部已经有90%的文档实现了电子化，在网络为我们带来极高的效率和极大便利的同时，“企业机密外泄”这个词语也频繁出现在我们面前。

下面我们来看一个真实的案例：

广州广日物流股份有限公司是国有控股的中外合资企业，总资产近2亿元人民币，年运输量超过30万吨。公司在北京、上海、天津三大中心城市设立了分公司，物流业务辐射全国，获评为“AAAA级综合物流企业”。

目前，广日物流的信息化基础设施建设已经相当完善，营运中心、物流中心、管理部门网络已经渐成体系，就在广日物流利用信息化技术高速发展之时，内部发生了一起信息泄漏事件：本应该是公司机密的员工工资列表，被别有用心的人以匿名邮件的形式传送到整个公司内部。此举，不仅违反了员工签订的保密协议，更为严重的是，让广日物流面临着员工外流的危险。

“这件事让我们领导非常愤怒，也让我们重视起自己内部的信息安全问题。我们重新评估了已有的信息安全体系之后，发现内部还存在着许多以前忽略的可能导致信息外泄的漏洞，我们希望能有一个全面的方案能够帮助我们最大限度防止信息泄露，保护重要的信息资产。”广日物流的IT部林部长告诉笔者。

一个全面的信息防泄漏解决方案，即要能全方位地保护企业，最大限度防止企业信息外泄。而在信息安全领域中，信息安全的整体防护强度取决于“马奇诺防线”中最为薄弱的一环。

这来源于我们熟知的木桶理论：一个由许多块长短不同的木板箍成的木桶，其容水量并不取决于最长的那块木板或全部木板的平均长度，而是取决于最短的那块木板。要想提高木桶整体效应，就必须要下功夫补齐最短的那块木板的长度。

对于广日物流来说，由于缺乏必要的技术管理手段，安全事件可能从各种地方发生。如果无法明确安全漏洞，很可能内部价值上千万的机密信息，只是因为一个U盘的不慎使用，或者是一个普通员工的无意识操作，就瞬间外泄出去。因此，广日物流必须从整体上来评估自身的信息安全状况，根据实际情况，构建一个全面的信息防泄漏体系。

在意识到信息安全的重要性之后，广日物流曾采用过某安全产品进行管理，但由于该产品界面操作困难，功能上难以达到他们的要求，在部署了一段时间后就被卸载下来。

在决定重新挑选内网安全产品之后，林部长强调：“功能强大、容易操作、稳定，是我们再次选型的关键。”经过半年多的选型、对比、试用，广日物流锁定了IP-guard内网安全产品，“IP-guard不仅仅提供防护功能，它的全方位信息防泄漏理念跟我们的想法不谋而合，也正是我们所需要的。”

要构建全面的信息防泄漏体系，首先必须时刻掌握企业安全动态，做到有的放矢。因此很重要的一点是要使网内操作“可视化”，随时检测整个内网环境的安全状况，做到迅速反应，甚至可以预测到风险，化被动防御为积极防御。

“我们公司与其他物流公司一样，业务流程极为复杂，内部的订单处理、采购、出货处理、配送、会计审核、营运管理、绩效管理等一系列作业流程都会生成大量的数据信息，我们不希望这些数据被外界所拿到。” 林部长表示他们需要时刻掌握文档的操作，防止有意或者无意的泄漏行为。

利用IP-guard，广日物流能够了解到内部文档的所有操作记录，包括对文档的创建、访问、修改、复制、删除以及拷贝到移动存储设备等操作等，有效审查文档被谁使用、怎么使用。

由于之前曾经出现过“邮件泄密”事件，林部长强调，领导们对于邮件的管控特别重视。IP-guard邮件管控功能，能够全面记录标准协议与Exchange格式邮件包括附件在内的接收和收发内容，以及Lotus和网页邮件的包括附件在内的发送内容，帮助广日物流备案和审计企业的往来邮件，防止类似的泄露事件再度发生，让领导非常满意。

“我们也有专门的工程师会每周查看日志记录。”林部长说他们在公司内部进行了全程屏幕监控，通过对屏幕进行实时查看，详细了解到员工的所有操作，真正做到时刻掌握企业安全动态。

在文档操作可视化、透明化的基础上，面对日益增多的信息泄漏手段，还必须有一个全面分析的视角，预见可能存在的泄漏方式并且进行最大限度地封堵。如果缺乏全面的分析，可能会忽略某个安全漏洞的真正威胁，相应采取的安全措施也可能无法解决真正的问题。

“我们公司的部门非常多，各个部门产生的文档各不相同，因此需要借助IP-guard建立文档的分级访问权限。”林部长表示，借助 IP-guard，对公司各部门进行了用户组的划分，如营运部、物流部、客服部、管理部……同时基于员工不同的部门和级别设置了完善的文档操作权限，控制员工对本地、网络等各种位置的文件甚至文件夹的操作权限，包括访问、复制、修改、删除等。

“现在，我们对员工用网络发送文档，也管理的比较严格。”林部长和同事们利用IP-guard及时通讯工具管控功能，在使用互联网跟外界进行联系的管理中心和物流中心，限制员工通过QQ、MSN、E-mail等网络应用发送公司内部文档，防止如车辆跟踪调度安排、运力资源调配方案、工资信息等通常以Office word、Excel格式存在的机密文档外泄。

同时，还通过IP-guard禁止内部人员随意使用U盘、3G上网卡、蓝牙等各类外部设备拷贝文档，“在设置管理策略的时候，我们也考虑到了各种特殊情况。”林部长表示个别员工由于工作需要可申请放开U盘的使用权限，但只允许拷贝到公司电脑，不允许把内部文档拷贝出公司电脑带出去。

电脑中毒、流氓软件也是曾经让林部长很头痛的问题，“通过IP-guard，我们过滤了非法、色情的网站，同时还限制员工使用公司电脑玩游戏、炒股等，不但减少了网络带来的风险还营造了积极向上的工作氛围，也让我们的维护工作轻松多了。”

最后，林部长说道，现在越来越觉得，信息资产安全是一个基础，只有内部安全了，公司才能够安心发展。目前公司的业务范围越来越广，在了北京、上海、天津、南京、西安、沈阳、重庆、成都等多个城市设立了分公司和办点，“现在领导对IP-guard建立的信息防泄漏体系比较满意，利用IP-guard进行跨区域网络管控，把这些分散的分公司和办事处集中管理起来，是下一步我们要做的事。”

广东华南药业集团位于广东东莞，业务主要涉及人用药品、医疗器械和药品包装材料三大领域。公司品牌之一“华南牌”被评为广东省著名商标。公司研究、生产和推广国家级新药，并形成了百余个有竞争力的产品组合。公司下属的广东省中药制剂工程研究开发中心致力于中药制剂现代化的研究和开发，并拥有企业博士后工作站。

作为一间大型制药企业，华南药业较早的开始了企业的信息化工程，在这一过程中，华南药业的研发资料、产品配方、销售数据等各项资料逐渐由纸质转变为电子文档，在“力拓案”等电子文档泄露事件频发的今天，华南药业对分散存储于公司内部网络的各类资料的安全比较担心。经过慎重的对比评测，最终，华南药业采用了IP-guard信息安全解决方案来保护自身的信息资产。

• 内网环境较为复杂，目前形成了400多台电脑为主体的局域网环境，大部分为xp，有少部分的vista及win 7系统，按照职能部门进行分组。
• 内部网络有专门的文档服务器，用以存储各类文档。但由于缺乏有效的管理，任何内网用户都可以接触到其中的文档，访问、修改都没有限制。
• 内部移动存储设备的使用缺乏有效管理，任何人都可以使用自己的U盘、MP3、手机等设备复制转移电子文档，有很大的文档泄露隐患的同时还经常造成病毒泛滥影响内网稳定。
• 内部员工普遍应用QQ等即时通讯软件，在线沟通中也有一定的泄密可能。
• 用户的一些不良使用习惯经常会导致客户端计算机故障，严重时会影响工作的正常进行，IT管理人员不得不整日跑动跑西的当救火员。

经过对华南药业内网环境所面临的信息安全问题进行仔细的调研与分析，溢信科技的工作人员为其推荐了IP-guard信息安全解决方案。由于IP-guard对从win 2000到win 7的操作系统的支持性都非常好，并且支持域环境部署，在IP-guard技术人员的指导下，华南药业很快在网内的所有计算机上安装了IP-guard内网安全管理系统客户端，实现了以下管理功能：

信息安全：

• 审计并控制文档操作：利用IP-guard文档操作管控模块，对文档服务器上的重要文档的使用权限进行控制。如能否访问、修改或者删除，谁能够进行这些操作，在修改、删除等风险操作发生时对高度敏感的文档及时备份。同时，保证所有的相关文档操作都能够被完整记录，以便于日后审计查看。
• 管理外设应用：利用IP-guard设备管控功能限制外部设备的使用，如刻录、蓝牙、打印、拨号外联等，防止用户经由广泛应用的外部设备进行文档的复制与转移。
• 网络通讯控制：应用IP-guard网络控制功能，细致规定网内所有计算机之间的通讯权限，达到部门间网络区隔的目的，同时及时检测并阻断外部计算机非法连入内网获取信息。
• 移动设备管理：控制外来移动设备的使用权限，并应用IP-guard的移动存储加密功能将内部的所有移动存储设备包括U盘、移动硬盘、记忆卡等制作成内部专用的加密盘。
• 程序控制：应用IP-guard的程序控制功能，禁止可能造成泄密的程序的运行，如网络共享软件等；对于经由QQ、MSN等即时通讯软件，应用IP-guard的即时通讯管理功能阻断超过规定大小或者文件名含有敏感关键词的文档外发，同时审计发送的具体文档甚至具体的对话内容。

系统维护：

• 远程维护：利用IP-guard的远程维护功能，实现对网内所有计算机的集中管理与维护，迅速及时的排除故障。同时利用其软件分发功能方便的进行软件的大规模集中部署。
• 资产管理：利用IP-guard的资产管理功能，管理网内的软硬件IT资产并跟踪其变动情况，防止集团资产的流失。

通过在网内部署IP-guard信息安全解决方案，基本做到了对网内电子文档流转的可控可见，白标着企业核心竞争力的电子文档的安全有了保证。同时，IP-guard实用的系统维护与资产管理功能，也让IT系统运行的更加稳定和高效。

北京神州数码品众科技有限公司，前身是神州数码BTC事业部，目前已经成为中国针对银行信用卡客户最大的直复营销渠道之一，通过目录邮购、Internet、电话中心等方式向4,000万信用卡客户提供包括3C、精品等在内的中高端产品。

品众科技内部产生的诸如客户姓名、邮件地址列表、商品底价等文档保密性要求极高。在信息泄漏事件频发的今天，品众科技对存储于公司内部网络的各类资料的安全存在忧虑。品众科技的IT部门决定，寻找一个专业的内网安全产品，来解决这些问题。

品众进行了多方的查找和比较，经过一段时间的试用，最终决定借助IP-guard信息防泄漏解决方案构建起分级保密的信息防泄漏体系。

类似于漫画中的信息泄漏场景，在很多企业里都曾上演过。但并不是所有企业都能在安全危机发生之前及时制止。当前如何防止外泄，已成为众多企业的“心头痛”。神州数码品众科技就在公司业务红红火火之时，遭遇到了信息泄漏的困扰。

品众内部存放着如顾客资料、商品底价等众多关系其核心竞争力的电子文档。应该说品众是具备一定安全意识的，将所有岗位按照掌握资料的重要程度分为一、二、三级岗位：一级岗位掌握机密程度最高，二级岗位次之，三级岗位最低。但由于缺乏一定的技术方法，岗位的划分虽然清晰，文档访问权限却没有限制，任何人都能访问机密资料，甚至用U盘、MP3、手机将这些资料带走。

为了方便与外界联系，内部普遍使用QQ、MSN、飞信。一旦员工在聊天过程中泄漏商品最低底价或客户资料，损失将不可估量。同时，公司缺乏对发送邮件内容的控制和审计，即使机密信息被发送也无从得知。

如果真的发生漫画中的泄密情况，那后果可不是炒掉几个人就能弥补的。品众科技的IT部门意识到除了制定信息安全规定，还要寻找一个专业的内网安全产品，来解决这些问题。经过多方的查找和比较，品众最终选择了IP-guard内网安全管理系统。

品众首次采购就购进了包括设备管控、应用程序管理、网络管控、文档操作管控、打印管控、屏幕监控、网络控制、邮件管控、即时通讯管控和基本功能在内的十大模块，并进行了如下管理：

• 规范了设备的使用。

  以前，员工随意使用U 盘、蓝牙等转移电子文档。现在，通过IP-guard 设备管控功能，禁止了在保密性高的一、二级岗位上使用USB接口、蓝牙、刻录等移动存储。其中一级岗位中的请款核销岗因工作需要必须使用USB 接口的，通过IP-guard将USB口设为只读。

• 分级别文档访问授权。

  为避免重要文档被随意访问，品众首先借助IP-guard对文档服务器上的文档使用权限进行了控制：如能否访问、修改或删除，什么级别的岗位能进行这些操作，并且在修改、删除等风险操作发生时对高度敏感的文档及时备份。

  同时为每个级别的岗位以及高涉密岗位的具体操作人员制定了文档访问和使用的分级授权。并将访问、修改、复制等文档操作和打印等使用行为都一一记录下来，及时审计是否有违规行为发生。

• 更加严格的操作审计。

  对一级岗位进行全程屏幕监控，记录保留半年，其他岗位不进行监控。

• 控制网络传输。

  在一、二级岗位上禁止QQ、MSN等的使用。同时禁止所有岗位使用网页邮件，并记录收发邮件的内容及附件。同时禁止上班时间访问炒股、娱乐新闻等于工作无益的网站。

品众科技的案例给企业最大的启示就在于分级授权，按照岗位的安全需求，进行严格的分级管理。很多企业对于这点不够重视，导致企业机密文档被任意访问、传播。出于安全性的考虑，建立一个分级保密体系对是十分必要和有效的。