信息系统发展到今天，人与人之间的沟通，知识文档的传递越发频繁，快速，便捷。这种快速发展也带来了内部管理方面的一些问题，即如何管理和保护这些信息资产，如何保护和维持自己的研发创新成果，如何避免我们的知识数据对外泄露，给竞争对手可利用的机会，这是企业目前面临的重大问题。本文旨在探索适合企业落地应用的一套数据防泄露的管理方案，使企业不同等级的商业数据受到不同策略的保护，在日益竞争激烈的环境下为企业打造一个安全的信息环境。
　　随着信息技术的飞速发展，对一个企业而言，来自外部的病毒、木马、网络攻击等种种网络安全威胁我们可以用防火墙，准入技术等来进行筛查和控制。但来自企业内部的数据泄露更是一个需要重视的问题。由于商业社会的竞争日趋激烈，企业研发数据、生产数据、财务数据、客户数据、人力资源数据等核心信息是关系企业生存与发展的命脉。企业内部监管手段的薄弱以及安全管理体系的缺乏都会给信息泄露有可乘之机。一旦有机密数据或者信息资产泄密，带来的损失和深远影响，将无可计量。因此一套健全的企业信息安全管理制度，一个适合企业生产运营的数据防泄露系统的建立是至关重要的。
　　1、信息安全管理
　　1.1 建立信息安全管理制度。在企业的任何一个信息系统的落地实施过程中，技术手段再强大的系统，没有与之相关的管理制度，系统是难以在企业中真正贯彻落实的。管理制度是企业中系统快速，顺利实施的关键。制度的建立要以保障信息安全，预防风险，完善控制措施以目的，范围涉及设备的发放及管理；服务器等重大设备的管理及口令规则；移动介质管理；数据恢复及备份管理；外来人员对本企业相关设备及数据操作的管理等。
　　1.2 建立信息安全管理组织机构。如果在企业内想要全面地落实信息安全管理制度，保证企业下发的各项政策和策略实施，以及外部人员访问企业信息和信息处理设施的安全，需要构建有效的信息安全组织架构。公司首先要成立信息安全领导小组，决定信息安全方面的一切事宜，领导小组至少要包含一名企业高层领导，这样下发实施应用可以更加有效。信息安全领导小组负责研究重大事件，落实方针政策和制定总体策略等。第二步成立信息安全工作组，设立组长及分管个块的副组长及组员。其职责为：针对信息安全领导小组做出的决策按所属管辖的区域范围开展工作；根据信息安全领导小组的工作部署，对信息安全工作进行具体安排、落实。信息安全工作组中要单独设立信息安全审计员，对各项操作工作进行日常及周期性审计，确保工作人员工作到位。
　　2、DLP 和文档加解密
　　企业信息安全制度和组织结构建立完成后，我们就可以着手企业防泄漏系统的调研了。通过技术咨询，防泄漏管理可以通过整机管控和文档加解密两方面入手，这里我们先了解一下DLP 和文档加解密。
　　2.1 DLP：数据泄露防护（Data leakage prevention，DLP），通过技术手段防止企业的指定数据或信息资产以违反安全策略规定的形式流出企业的一种策略。DLP 所具有的功能大致分为：（1）扫描发现公司服务器等任意位置上存储的机密数据。（2）通过自动隔离、复制和删除操作来自动保护存储数据。（3）通过提供有关使用模式和访问权限的详细信息来解决非结构化数据的数据保护问题。（4）定期扫描便携式计算机和台式机上存储的机密数据以保护或重新放置数据。（5）阻止违反数据安全策略的网络通信发送。（6）阻止违反数据安全策略发送电子邮件通信。（7）可通过集中平台管理所有数据泄漏防护策略。
　　2.2 文档加解密：是指通过采用加密算法和各种加密技术对网络或计算机中的文档进行加密防止文档非法外泄的技术。文档加解密技术所具有的功能有：（1）透明加解密：针对公司有关涉密的文档进行加密，在加密的过程中不会对公司员工的日常工作产生影响。（2）泄密控制：可以对涉密采取控制其拷贝，授予文档只读的权限，打印过程中加水印，封锁usb 口等方式控制泄密。（3）访问控制：公司员工如果想要查看相关涉密文档时，可向管理员或相关人员提出申请，给与权限后方可查看。（4）认证方式：可以使用连接服务器认证，usb-key 认证等认证方式进行文件解密查看。
　　3、企业数据防扩散管理
　　3.1 确定企业信息扩散漏洞。通过以上两种数据防泄漏的技术基本可以满足企业对数据安全管理的要求，技术手段有很多种，那么企业到底有哪些地方会有信息扩散的漏洞，在什么工作场景会出现哪些的泄露点并且如何管控呢？我们可以把管控场景分为公司内部及公司外部两个环境，具体泄露点及管控如下：（1）公司内部：公司内部场景也可以理解为公司局域网内的所有操作场景，它所包含的可能出现文件泄露的方式有针对应用程序的安全管控，对于公司范围内的、应用可设置为白名单，针对公司级应用的涉密数据操作不执行安全审计；电子文档传递管控，通过传递电子文档，数据会发生极高频率泄露的可能，我们需要监控邮件、web 传送、共享、即时通讯，在上述动作中进行安全监控并记录日志；打印文件的管控，对涉密文件打印进行安全监控并记录日志；移动设备的管控，可以通过移动设备全盘加密或注册使用等方式进行管控。（2）公司外部：公司外部场景是员工出差时会出现的数据泄露点，分为电子文档管控和移动设备管控两方面，建议外出人员所携带的重要文件进行加密，移动设备全盘加密，这样就算发生丢失现象也不会造成很大的损失。
　　3.2 建立数据防扩散平台。企业的信息漏洞管控需要一个完整的防扩散平台的支撑，我们在寻求并且测试平台的过程中会发现，如果对所有的终端机进行控制，包括硬盘加密，usb 加密，各种通信端口的封锁等，员工在实际工作中会出现很大的不方便性，有时甚至会严重影响到工作。因此我们考虑大范围的应用是只需要监督的，使用日志功能，存储所有要保护点的动作及抓图，留下操作的痕迹，这样是不会影响员工的工作，一旦发生事件可以快速跟踪到相关日志查找到相关责任人。但是，还是有一批重要的文件是需要重点保护的，这时就需要文件的加解密技术了，把要重点保护的文件透明加密，这样即便有人把文件带出去，也不能打开，从而保护了重要数据。策略建立及下发也是数据防扩散平台建立的重要环节。首先建立不同的用户组，根据文档流转及操作情况建立不同的策略组，涉密文件打上标记，不同用户组及用户下发其相应的策略。策略下发后，用户客户端将监控涉密文件的使用流转情况，及时记录文档状态。
　　3.3 日志审计。日志审计，数据防泄漏管理的重点。
　　对于用户的操作，数据防泄漏系统能够将操作日志存在数据库中。存储的数据可以提供报表以及图表等形式供审计员使用，发现可疑的地方及时上报。提前预防好过事后补救，在可能发生泄密前就切断泄密渠道。一旦泄密情况发生，用户操作记录，可以第一时间作为最有力的证据拿出。有了日志审计功能，员工对文档的操作也就不会像没有防泄漏系统时的那么随意了，也加强了员工对文件自我保护的意识。
　　4、结束语
　　信息安全管理制度及数据防泄漏系统的构建对企业高效运行具有重要意义，企业在提升核心竞争力的同时，必须强化信息安全意识，采取相应的措施，建立一个综合性的防御安全体系。DLP 和文档加密两种方式结合应用，既加强了数据保护，又宽松了使用人员的环境，策略上的下发灵活多变，比较适合当前大多数企业的应用。并且随着应用的深入，策略随时可更改以适应当时的工作环境需求。这种方式比较符合大多数企业对于信息安全管控的要求。