三一重工是全球工程机械制造商50强、全球最大的混凝土机械制造商、中国企业500强、福布斯“中国顶尖企业”，中国工程机械行业标志性品牌和亚洲品牌500强。公司始创于1989年，经过二十多年的发展，三一重工的产品已经达到世界一流水平，打造了业内知名的“三一”品牌。2011年7月，三一重工以215.84亿美元的市值，首次入围FT全球500强，成为唯一上榜的中国机械企业。目前集团拥有员工近7万名。

信息化在三一重工内部迅速开展，所带来的结果是各种电子格式的文档和数据，分布在终端、移动设备、服务器等各个设备，传输于内部网络和外部网络之间，文档和数据可控性越来越差；各分公司的规模和程度不断扩张，总部无法详细掌握分支机构的详细情况。

因此，三一重工采用了IP-guard信息防泄露三重保护解决方案，在保护企业核心知识产权的同时，就各个地区进行优化部署，实现总公司对国内分公司以及海外分支机构的集中管理。内网建设开展至今，网络运行快速、稳定。IP-guard高效、专业的服务机制更是受到三一重工相关负责人高度赞誉。

世界最近一直都不太平。墨西哥湾石油泄漏了，韩朝冲突升级了，北非的突尼斯也发生政变了。开心网上的一项安全调查令人惊讶：大约只有2% 的人认为自己是拥有相当安全感的。看来，安全还真是个不小的问题。

无论是墨西哥湾、朝鲜、韩国还是突尼斯，对我们来说，都有点远。但是企业的信息资产安全问题，却跟我们息息相关。随着信息技术的飞速发展，目前企业内部已经有90%的文档实现了电子化，在网络为我们带来极高的效率和极大便利的同时，“企业机密外泄”这个词语也频繁出现在我们面前。

下面我们来看一个真实的案例：

广州广日物流股份有限公司是国有控股的中外合资企业，总资产近2亿元人民币，年运输量超过30万吨。公司在北京、上海、天津三大中心城市设立了分公司，物流业务辐射全国，获评为“AAAA级综合物流企业”。

目前，广日物流的信息化基础设施建设已经相当完善，营运中心、物流中心、管理部门网络已经渐成体系，就在广日物流利用信息化技术高速发展之时，内部发生了一起信息泄漏事件：本应该是公司机密的员工工资列表，被别有用心的人以匿名邮件的形式传送到整个公司内部。此举，不仅违反了员工签订的保密协议，更为严重的是，让广日物流面临着员工外流的危险。

“这件事让我们领导非常愤怒，也让我们重视起自己内部的信息安全问题。我们重新评估了已有的信息安全体系之后，发现内部还存在着许多以前忽略的可能导致信息外泄的漏洞，我们希望能有一个全面的方案能够帮助我们最大限度防止信息泄露，保护重要的信息资产。”广日物流的IT部林部长告诉笔者。

一个全面的信息防泄露解决方案，即要能全方位地保护企业，最大限度防止企业信息外泄。而在信息安全领域中，信息安全的整体防护强度取决于“马奇诺防线”中最为薄弱的一环。

这来源于我们熟知的木桶理论：一个由许多块长短不同的木板箍成的木桶，其容水量并不取决于最长的那块木板或全部木板的平均长度，而是取决于最短的那块木板。要想提高木桶整体效应，就必须要下功夫补齐最短的那块木板的长度。

对于广日物流来说，由于缺乏必要的技术管理手段，安全事件可能从各种地方发生。如果无法明确安全漏洞，很可能内部价值上千万的机密信息，只是因为一个U盘的不慎使用，或者是一个普通员工的无意识操作，就瞬间外泄出去。因此，广日物流必须从整体上来评估自身的信息安全状况，根据实际情况，构建一个全面的信息防泄露体系。

在意识到信息安全的重要性之后，广日物流曾采用过某安全产品进行管理，但由于该产品界面操作困难，功能上难以达到他们的要求，在部署了一段时间后就被卸载下来。

在决定重新挑选内网安全产品之后，林部长强调：“功能强大、容易操作、稳定，是我们再次选型的关键。”经过半年多的选型、对比、试用，广日物流锁定了IP-guard内网安全产品，“IP-guard不仅仅提供防护功能，它的全方位信息防泄露理念跟我们的想法不谋而合，也正是我们所需要的。”

要构建全面的信息防泄露体系，首先必须时刻掌握企业安全动态，做到有的放矢。因此很重要的一点是要使网内操作“可视化”，随时检测整个内网环境的安全状况，做到迅速反应，甚至可以预测到风险，化被动防御为积极防御。

“我们公司与其他物流公司一样，业务流程极为复杂，内部的订单处理、采购、出货处理、配送、会计审核、营运管理、绩效管理等一系列作业流程都会生成大量的数据信息，我们不希望这些数据被外界所拿到。” 林部长表示他们需要时刻掌握文档的操作，防止有意或者无意的泄漏行为。

利用IP-guard，广日物流能够了解到内部文档的所有操作记录，包括对文档的创建、访问、修改、复制、删除以及拷贝到移动存储设备等操作等，有效审查文档被谁使用、怎么使用。

由于之前曾经出现过“邮件泄密”事件，林部长强调，领导们对于邮件的管控特别重视。IP-guard邮件管控功能，能够全面记录标准协议与Exchange格式邮件包括附件在内的接收和收发内容，以及Lotus和网页邮件的包括附件在内的发送内容，帮助广日物流备案和审计企业的往来邮件，防止类似的泄露事件再度发生，让领导非常满意。

“我们也有专门的工程师会每周查看日志记录。”林部长说他们在公司内部进行了全程屏幕监控，通过对屏幕进行实时查看，详细了解到员工的所有操作，真正做到时刻掌握企业安全动态。

在文档操作可视化、透明化的基础上，面对日益增多的信息泄漏手段，还必须有一个全面分析的视角，预见可能存在的泄漏方式并且进行最大限度地封堵。如果缺乏全面的分析，可能会忽略某个安全漏洞的真正威胁，相应采取的安全措施也可能无法解决真正的问题。

“我们公司的部门非常多，各个部门产生的文档各不相同，因此需要借助IP-guard建立文档的分级访问权限。”林部长表示，借助IP-guard，对公司各部门进行了用户组的划分，如营运部、物流部、客服部、管理部……同时基于员工不同的部门和级别设置了完善的文档操作权限，控制员工对本地、网络等各种位置的文件甚至文件夹的操作权限，包括访问、复制、修改、删除等。

“现在，我们对员工用网络发送文档，也管理的比较严格。”林部长和同事们利用IP-guard及时通讯工具管控功能，在使用互联网跟外界进行联系的管理中心和物流中心，限制员工通过QQ、MSN、E-mail等网络应用发送公司内部文档，防止如车辆跟踪调度安排、运力资源调配方案、工资信息等通常以Office word、Excel格式存在的机密文档外泄。

同时，还通过IP-guard禁止内部人员随意使用U盘、3G上网卡、蓝牙等各类外部设备拷贝文档，“在设置管理策略的时候，我们也考虑到了各种特殊情况。”林部长表示个别员工由于工作需要可申请放开U盘的使用权限，但只允许拷贝到公司电脑，不允许把内部文档拷贝出公司电脑带出去。

电脑中毒、流氓软件也是曾经让林部长很头痛的问题，“通过IP-guard，我们过滤了非法、色情的网站，同时还限制员工使用公司电脑玩游戏、炒股等，不但减少了网络带来的风险还营造了积极向上的工作氛围，也让我们的维护工作轻松多了。”

最后，林部长说道，现在越来越觉得，信息资产安全是一个基础，只有内部安全了，公司才能够安心发展。目前公司的业务范围越来越广，在了北京、上海、天津、南京、西安、沈阳、重庆、成都等多个城市设立了分公司和办点，“现在领导对IP-guard建立的信息防泄露体系比较满意，利用IP-guard进行跨区域网络管控，把这些分散的分公司和办事处集中管理起来，是下一步我们要做的事。”

广东华南药业集团位于广东东莞，业务主要涉及人用药品、医疗器械和药品包装材料三大领域。公司品牌之一“华南牌”被评为广东省著名商标。公司研究、生产和推广国家级新药，并形成了百余个有竞争力的产品组合。公司下属的广东省中药制剂工程研究开发中心致力于中药制剂现代化的研究和开发，并拥有企业博士后工作站。

作为一间大型制药企业，华南药业较早的开始了企业的信息化工程，在这一过程中，华南药业的研发资料、产品配方、销售数据等各项资料逐渐由纸质转变为电子文档，在“力拓案”等电子文档泄露事件频发的今天，华南药业对分散存储于公司内部网络的各类资料的安全比较担心。经过慎重的对比评测，最终，华南药业采用了IP-guard信息安全解决方案来保护自身的信息资产。

内网环境较为复杂，目前形成了400多台电脑为主体的局域网环境，大部分为xp，有少部分的vista及win 7系统，按照职能部门进行分组。

内部网络有专门的文档服务器，用以存储各类文档。但由于缺乏有效的管理，任何内网用户都可以接触到其中的文档，访问、修改都没有限制。

内部移动存储设备的使用缺乏有效管理，任何人都可以使用自己的U盘、MP3、手机等设备复制转移电子文档，有很大的文档泄露隐患的同时还经常造成病毒泛滥影响内网稳定。

内部员工普遍应用QQ等即时通讯软件，在线沟通中也有一定的泄密可能。

用户的一些不良使用习惯经常会导致客户端计算机故障，严重时会影响工作的正常进行，IT管理人员不得不整日跑动跑西的当救火员。

经过对华南药业内网环境所面临的信息安全问题进行仔细的调研与分析，溢信科技的工作人员为其推荐了IP-guard信息安全解决方案。由于IP-guard对从win 2000到win 7的操作系统的支持性都非常好，并且支持域环境部署，在IP-guard技术人员的指导下，华南药业很快在网内的所有计算机上安装了IP-guard内网安全管理系统客户端，实现了以下管理功能：

信息安全：

审计并控制文档操作：利用IP-guard文档操作管控模块，对文档服务器上的重要文档的使用权限进行控制。如能否访问、修改或者删除，谁能够进行这些操作，在修改、删除等风险操作发生时对高度敏感的文档及时备份。同时，保证所有的相关文档操作都能够被完整记录，以便于日后审计查看。

管理外设应用：利用IP-guard设备管控功能限制外部设备的使用，如刻录、蓝牙、打印、拨号外联等，防止用户经由广泛应用的外部设备进行文档的复制与转移。

网络通讯控制：应用IP-guard网络控制功能，细致规定网内所有计算机之间的通讯权限，达到部门间网络区隔的目的，同时及时检测并阻断外部计算机非法连入内网获取信息。

移动设备管理：控制外来移动设备的使用权限，并应用IP-guard的移动存储加密功能将内部的所有移动存储设备包括U盘、移动硬盘、记忆卡等制作成内部专用的加密盘。

程序控制：应用IP-guard的程序控制功能，禁止可能造成泄密的程序的运行，如网络共享软件等；对于经由QQ、MSN等即时通讯软件，应用IP-guard的即时通讯管理功能阻断超过规定大小或者文件名含有敏感关键词的文档外发，同时审计发送的具体文档甚至具体的对话内容。

系统维护：

远程维护：利用IP-guard的远程维护功能，实现对网内所有计算机的集中管理与维护，迅速及时的排除故障。同时利用其软件分发功能方便的进行软件的大规模集中部署。

资产管理：利用IP-guard的资产管理功能，管理网内的软硬件IT资产并跟踪其变动情况，防止集团资产的流失。

通过在网内部署IP-guard信息安全解决方案，基本做到了对网内电子文档流转的可控可见，白标着企业核心竞争力的电子文档的安全有了保证。同时，IP-guard实用的系统维护与资产管理功能，也让IT系统运行的更加稳定和高效。

北京神州数码品众科技有限公司，前身是神州数码BTC事业部，目前已经成为中国针对银行信用卡客户最大的直复营销渠道之一，通过目录邮购、Internet、电话中心等方式向4,000万信用卡客户提供包括3C、精品等在内的中高端产品

品众科技内部产生的诸如客户姓名、邮件地址列表、商品底价等文档保密性要求极高。在信息泄漏事件频发的今天，品众科技对存储于公司内部网络的各类资料的安全存在忧虑。品众科技的IT部门决定，寻找一个专业的内网安全产品，来解决这些问题。

品众进行了多方的查找和比较，经过一段时间的试用，最终决定借助IP-guard信息防泄露解决方案构建起分级保密的信息防泄露体系。

类似于漫画中的信息泄漏场景，在很多企业里都曾上演过。但并不是所有企业都能在安全危机发生之前及时制止。当前如何防止外泄，已成为众多企业的“心头痛”。神州数码品众科技就在公司业务红红火火之时，遭遇到了信息泄漏的困扰。

品众内部存放着如顾客资料、商品底价等众多关系其核心竞争力的电子文档。应该说品众是具备一定安全意识的，将所有岗位按照掌握资料的重要程度分为一、二、三级岗位：一级岗位掌握机密程度最高，二级岗位次之，三级岗位最低。但由于缺乏一定的技术方法，岗位的划分虽然清晰，文档访问权限却没有限制，任何人都能访问机密资料，甚至用U盘、MP3、手机将这些资料带走。

为了方便与外界联系，内部普遍使用QQ、MSN、飞信。一旦员工在聊天过程中泄漏商品最低底价或客户资料，损失将不可估量。同时，公司缺乏对发送邮件内容的控制和审计，即使机密信息被发送也无从得知。

如果真的发生漫画中的泄密情况，那后果可不是炒掉几个人就能弥补的。品众科技的IT部门意识到除了制定信息安全规定，还要寻找一个专业的内网安全产品，来解决这些问题。经过多方的查找和比较，品众最终选择了IP-guard内网安全管理系统。

品众首次采购就购进了包括设备管控、应用程序管理、网络管控、文档操作管控、打印管控、屏幕监控、网络控制、邮件管控、即时通讯管控和基本功能在内的十大模块，并进行了如下管理：

规范了设备的使用。
以前，员工随意使用U 盘、蓝牙等转移电子文档。现在，通过IP-guard设备管控功能，禁止了在保密性高的一、二级岗位上使用USB接口、蓝牙、刻录等移动存储。其中一级岗位中的请款核销岗因工作需要必须使用USB 接口的，通过IP-guard将USB口设为只读。

分级别文档访问授权。
为避免重要文档被随意访问，品众首先借助IP-guard对文档服务器上的文档使用权限进行了控制：如能否访问、修改或删除，什么级别的岗位能进行这些操作，并且在修改、删除等风险操作发生时对高度敏感的文档及时备份。
同时为每个级别的岗位以及高涉密岗位的具体操作人员制定了文档访问和使用的分级授权。并将访问、修改、复制等文档操作和打印等使用行为都一一记录下来，及时审计是否有违规行为发生。

更加严格的操作审计。
对一级岗位进行全程屏幕监控，记录保留半年，其他岗位不进行监控。

控制网络传输。
在一、二级岗位上禁止QQ、MSN等的使用。同时禁止所有岗位使用网页邮件，并记录收发邮件的内容及附件。同时禁止上班时间访问炒股、娱乐新闻等于工作无益的网站。

品众科技的案例给企业最大的启示就在于分级授权，按照岗位的安全需求，进行严格的分级管理。很多企业对于这点不够重视，导致企业机密文档被任意访问、传播。出于安全性的考虑，建立一个分级保密体系对是十分必要和有效的。

神威药业有限公司是一家以现代中药科研、生产为主的大型现代医药企业，是国内产销量最大、技术水平最高的中药注射液、软胶囊、颗粒剂生产基地。“神威”商标为中国驰名商标，“神威”品牌为中国500最具价值品牌之一。公司先后荣获中国十大最受赞赏的医药企业、行业内最具成长力的自主品牌企业、中国十大行业百佳雇主、2005年中国成长企业百强、全国“五一”劳动奖状、全国重要先进集体等上百项光荣称号。

作为一间大型制药企业，神威制药较早开始了企业的信息化工程，激增的电子文档以及多种电子数据对内网的安全性提出了新的要求，IP-guard融合多种技术手段的信息防泄露三重保护体系成为神威制药进行内网建设的核心体系。 通过部署IP-guard，神威药业实现了三个方面的改进：维护了核心竞争力、塑造了良好的工作环境、IT运维更加快速，这些无疑大大提升了神威药业的工作效率和市场竞争力，促进了神威药业稳定的发展，从另一个角度讲也为深受疾病困扰的患者带来了更多的福音。

吉田拉链（以下简称“YKK”）是世界上最大、最著名的拉链制造商之一，代表着行业标准，因为采用日本精确的工艺，原料和管理方法，虽然YKK价格是其它牌子拉链的10倍左右，但目前YKK仍是拉链行业最大的市场份额拥有者。 1995年，YKK在中国境内投资的第三个拉链生产基地——吉田拉链（深圳）有限公司，发展壮大后的深圳YKK拥有一流的生产设备、健全的管理体制，公司秉承了一贯追求优良品质的传统，结合中国市场的特性生产出高品质的金属、尼龙、树脂拉链以及扣具、钮扣产品，满足中国市场全方位的需求。

为保护内部设计到核心竞争力的机密文档，YKK应用了IP-guard提供的全方位信息防泄露三重保护体系，通过IP-guard实现了对机密文档的可控、可见、可查，实现机密数据的安全流转，同时严格控制泄密渠道，大袋了高强度的安全性和稳定性，为YKK铸造了坚固的信息安全防护城。