近期，芯片巨头英特尔被爆出其前员工盗窃内部价值10亿美元机密信息的新闻，离职泄密不容小觑。今天，IP-guard将针对“出差”这个具有高风险性的流程，在技术层面上跟各位一起探索对策：

 

       

一、规范出差流程，确保有据可查

随着公司业务的扩展，需要出差的人员也日益增加，员工一般都会携带企业配备的指定出差的笔记本电脑，因此出差外借笔记本的流程显得更加重要。首先要确保所有出差的笔记本上都安装了IP-guard客户端；其次，每当有出差需求之时，需要向信息安全部门或IT部门提交申请，申请内容包括出差人员、出差时间等详细信息。

 

二、对重要机密进行透明加密，防止丢失外泄

对保密级别高的文档进行透明加密，同时设置离线登录密码，防止笔记本被盗窃或丢失造成的机密泄露。

设置离线登录密码，策略设置如下：

右键点击客户端桌面右下角的加密系统图标，选择设置-选项，打开窗口。在安全密码设置窗口中设置好密码（原密码为空），再选择离线登录设置。取消自动登入，选择使用安全密码设置，点击应用再确定。这样客户端离线时需要输入安全密码才能登录离线授权。

 

三、记录所有操作，实施文档备份

根据书面申请中的出差时间设置离线策略，同时在出差期间加强审计如增大屏幕频率、备份拷出文件、记录邮件及IM操作等。

根据出差时间设置离线策略，策略设置如下：

在控制台的文档安全管理中选择长期离线授权，再选择出差的客户端机器，双击或者右键选择设置权限，在长期离线授权窗口中启用离线授权，并设置对应的离线权限。

增加屏幕记录，策略设置如下：

添加一条新屏幕记录策略，如每15秒钟记录一帧屏幕。

备份拷出文件，策略设置如下：

选择高级-文档控制，新增一条文档控制策略，允许对文档的操作权限，选择除了硬盘之外的其它盘符类型，再勾选复制/移动到备份和复制/移动出备份，保存策略，这样从硬盘拷贝出去的文件就会备份了。

 

四、指定U盘使用，禁止随意拷贝

在出差过程中，只能使用公司指定的移动设备，禁止使用其他移动设备，防止文档被随意拷贝传播。

内盘内用，禁止外部设备使用，策略设置如下：

在控制台-分类管理-移动存储中，建好公司内部U盘库。另外，在高级-移动存储授权中设置两条策略，第一条禁止所有移动盘可读可写。第二条允许移动存储为内部U盘的可读可写，勾选可读可写，在移动存储中选择内部U盘。

 

五、加强安全审计，发现安全风险

出差归来后，信息安全部门或IT部门需要对信息进行严格审查，包括对邮件、IM传输、文件拷贝等应用加强审计，及时发现安全风险。

文档流传审计上，需要着重审计打印、即时通讯传输、邮件收发等，以移动存储拷贝操作为例，设置查询条件：

时间范围选择出差时间段，操作类型选择“复制”，盘符类型选择“可移动盘”，源文件可输入核心文件例如设计图纸文件*.dwg。查询出差时间段内对核心文档通过移动存储设备拷贝操作情况并导出成excel文档。