翻看中国古代的战争史,其实就是一部城池的攻防史。
几千年来,“攻城拔寨”是历来战争的直接目标和关键动机。随着战事迭起,攻防相生,城池也因此成为最大,最重要的战争舞台。从秦始皇修筑万里长城开始至今,无论是历代对于长城防线的高度重视,还是今天我们依然用“钢铁长城”来形容我们的国防理念,都足已说明这种以城墙为基础的战略防御思想,对我们的影响是多么重要、多么深远。
同样的道理也适用于企业的内网安全领域,对于企业来说,安全事件经常从各种地方发生,如果不能构建一个坚固的安全防线,很可能关系企业发展命运的机密信息,只因为一个U盘的不慎重使用,或者是一个普通员工的无意操作,就轻易泄漏出去。
安驰铝合金车轮有限公司(以下简称“安驰”)就深知防御体系的重要性,在2010年10月13日,正式部署IP-guard内网安全系统,在其帮助下构建了一个全方位、立体化的信息防泄漏三重保护体系。
前进之路的“心头病”
安驰主要从事汽车、摩托车及各种高致密铝合金车轮的制造,公司每年设计车轮的品种和款式的数量都居世界第一,年销售收入达5亿元人民币,目前拥有三大生产基地,在职员工700多人,可实现年产300万只优质铝合金轮毂,产品远销至日本、美国、德国等62个国家。
利用信息技术,强化自主开发能力,快速推出针对各种型号车轮的最新设计款式,满足客户多元化需求,是安驰立足于激烈的铝合金车轮行业,并出奇制胜的最大秘诀。
信息化的不断开展,却为安驰自主知识产权保护带来了担忧:强大的开放性和互通性催生了商业泄密、网络间谍等众多灰色名词,持续涌现的企业机密信息外泄事件让安驰的忧虑越来越深。
快速发展的安驰,就好比行驶在高速公路的汽车,行驶的速度越快,越要注意自身的安全,安驰的副总经理吴湛表示:“任何一个微小的失误,即会对安驰造成难以挽回的悲剧局面”。如果在此时出现代表安驰核心竞争力的设计图纸信息外泄问题,造成的影响是无法估量的。
对此,安驰本身已经制定了一套安全规章制度,也通过设置BIOS的方式封锁了设计部门的USB接口(连接打印机的计算机除外),对设计部门甚至采取了网络隔离,但一些泄密隐患还是存在:
◆ 封BIOS只能取得“允许/禁止”两种效果,一禁全禁,一放全放,极有可能因为U盘、打印等造成泄密,用户甚至还可以通过CMOS放电轻松绕过管制;
◆ 通过智能手机、打印带走文件,或使用3G上网卡等连接网络,通过网络带走;
◆ 在允许使用互联网的部门,文件可能通过QQ、MSN、邮件外泄;
◆ 电脑或者硬盘丢失则难以防范;
另外,安驰缺乏对内网行为的审计,管理者无法了解员工的操作行为,如果泄密事件发生,也无从追查。#p#
建立全方位信息防泄三重保护体系
在与IP-guard技术专家的沟通中,安驰说出了自己的困扰。IP-guard技术专家根据安驰的实际情况,为其提供了一套全方位信息防泄漏解决方案。
实际上,在安全领域中,某些企业为了确保自己的网络安全高枕无忧,“不求最好,但求最贵”地位自己配备上各种“最佳”的单一产品,并期望这种“强强组合”能给企业套上万无一失的金钟罩。殊不知这种做法往往意味着企业必须付出较高的成本,并增加了技术的复杂性。
IP-guard所提供的全方位信息防泄漏解决方案,只需通过单一产品,即可为企业量身打造全面的信息防泄漏三重保护体系,最大限度保护内部的机密资料,同时还为企业带来很多其他的好处:减少了购买成本,简化了日常的操作与管理,降低了系统的资源占用。
IP-guard为安驰构建了以“审计-控制-加密”为主的信息防泄漏三重保护体系:通过完整的文档操作审计发现网内安全的危险趋向,及时做出预防;对网络和外部设备等可能的泄密渠道加以控制,防止文档外流;高强度的透明加密保证文档在论在何时何地都能得到有效保护。
安全事件发生前就被“揪”出来了
“现在,IP-guard的保护让我们不再担心设计图纸或者其他文档的安全。”吴湛介绍说,只要当异常情况发生,比如员工有意、无意越级访问了安全文档,或者对机密文档进行修改、删除、打印等可能发生风险的操作……IP-guard都会出现警报并且记录下来,第一时间发现安全风险,帮助安驰防范于未然。
通过IP-guard邮件管控和即时通讯管控功能,还能记录安驰内部包括Exchange、Lotus等常用邮件包括附件在内的发送内容,对于销售部、市场部经常使用QQ、MSN等几十种常用即时通讯工具进行的文件传输也能进行记录。
吴湛强调,公司还有专门的负责人,定期对IP-guard的日志记录进行审计。“同时,我们还在公司内部进行全程屏幕监控,通过对屏幕进行实时查看,了解员工的任何不规范操作,防止泄密事件发生。”#p#
封堵了可能泄密漏洞,规范了内网操作
吴湛介绍说,由于公司各部门的职能不同,安全漏洞出现的地方也不同,因此,必须要针对不同部门的特殊需求,利用IP-guard进行不同的管控。如禁止设计部、工艺部等四个核心部门U盘、3G上网卡、蓝牙等各类外部设备的使用;对允许使用互联网的市场部和销售部,限制员工通过QQ、MSN、E-mail等网络应用发送带有文件名包含敏感信息或超出规定大小的文档。
“另外,我们还对内部的上网行为进行了一些管理,提高了公司的工作效率。”安驰在全公司内部实行人性化管理:上班时间,对于在线视频、社交网站等非业务网络应用进行封堵;休息时间开放,让员工劳逸结合;同时,禁止内部随意安装包括炒股、新闻浏览、P2P网络电视软件等与工作无关的软件,确保正常的业务的开展。
即使传播出去也不怕
俗话说的好,不怕一万,就怕万一。虽然在内部进行了全面的审计,对可能的泄密渠道进行了封堵,但万一,千万分之一的可能性机密被泄漏出去了,对于安驰来说,损失也是不可预计的。因此,为了最大限度地保障信息资产安全,安驰利用IP-guard建立了最后一道也是最强的透明加密体系。
首先,安驰通过IP-guard透明加密功能,对设计部、工艺部、模具部常用的 AutoCAD、 PRO/E、UG设计类文档和财务部常用的OFFICE财务文档进行了强制加密,合法员工使用时自动解密,不影响他们原有的使用习惯。即使加密文档被非法带出部门外,也无法打开使用。
“我们公司跟其他公司一样,都有部门、层级关系,因此需要授予不同部门、级别的员工相应的机密文档访问权限。”吴湛解释道,利用IP-guard,安驰根据内部的层级关系,建立了立体化的保密体系:设计部、工艺部、模具部、财务部的员工有权访问自己部门里的加密文档,公司经理级以上的职员才有权访问所有加密文档。这样做的好处在于,一是可以严格控制涉密文档的传播范围,二是提高了员工的保密意识。
吴湛指出,对于需要出差的公司同事,他们也会给予有限的离线授权,允许在外出继续使用加密文档,文档仍保持加密状态,只能在被授权的计算机上使用。
“在这个项目实现的一年多时间里,IP-guard给我们带来了最好的技术团队,在多次的沟通调试中,让我们这个‘安全长城’建立的非常坚固。”吴湛表示,IP-guard在项目实施有困难的时候及时给予技术支持,专业精神非常值得尊敬。