目前越来越多的企业意识到内网安全的重要性，纷纷开始着手部署相关产品。但是由于内网安全建设经验不足，大家在选择与部署相关产品和方案时很茫然，如何选择适合自己的方案，怎样让方案从最开始的计划书变成最终高效运行的企业系统，是大家面临的一个重要课题。

　　一个项目的顺利实施离不开全面详细的规划与科学的管理。要使信息防泄漏方案能够卓有成效地实施，必须从一开始就要进行严密的分析与科学的选择。从流程上来讲主要有以下几点：

　　首先最好成立专门的项目组，确定各自的工作内容。

　　然后要弄清楚企业的信息安全需求点。为什么要部署信息防泄漏方案?是为满足国家信息安全保护要求，还是身处在一个商业机密泄露高发行业?企业的重要数据在哪里?是研发部?还是设计部?谁可以接触到它?企业中可能存在的泄密渠道有哪些?网络通讯还是移动存储设备?等等，最终落实到项目需求分析书中。

　　再根据项目需求分析来设计实施计划，详细的安全保护策略和配套的安全管理制度。这个阶段涉及到产品选型，企业在选择产品的时候，除了考虑效率、安全性、稳定性、兼容性等技术指标外，还应该考虑厂商的研发能力、行业成功案例、售后服务等因素，综合实力强的厂商可信度更高。

　　接下来是信息防泄漏方案的部署与测试。这个环节要注意科学的管理，人员的选择，进度的把握等等。如果是按模块进行部署的，可以在每个模块部署后及时进行测试与验证，以便发现问题与解决。

　　最后在信息防泄漏系统运行与维护时，要注意与管理相结合，正所谓“七分技术，三分管理”，只有与管理配合，信息防泄漏方能达到最佳效果。

　　信息防泄漏解决方案怎样才能囊括对企业原有的ERP\PLM\OA等业务系统中数据的保护?

　　随着企业信息管理系统的普及，应用系统的安全问题日渐成为企业的一个重要需求点，这些系统往往存储着企业重要的数据，而且访问量大，用户身份杂，所以必须进行控制。实际上内网安全系统与企业原来的应用系统并不存在不相容的问题，内网安全系统的作用之一就是要保护存储于ERP/OA/PLM这些系统中数据的安全。目前来说可以从以下两方面进行安全部署：

　　一是充分利用好这些应用系统本身的权限控制机制，严格分配不同人员的权限及流动人员的权限管理，这是最基本的。

　　二是可以在这些系统前部署加密安全网关，对系统访问的权限进行严格的控制，确保只有经过认证的程序和用户可以访问，这样既可以保证数据的正常使用，又可避免数据在终端泄露;同时也要对打印、复制等行为进行适当管控，并且对操作进行详尽的审计，便于随时核查。

　　企业应该怎样看待审计在信息防泄漏体系中的角色?如何才能避免审计带来的隐私难题?

　　虽然审计功能已经出现一段时间，但其实一直处于被忽视的位置。不少企业认为审计除了在事故发生后用于溯寻原因，无其他重要用处。是一个误解，实际上审计应该说是企业部署信息防泄漏方案的基础。部署前审计帮助企业发现存在的问题，应用过程中审计帮助企业掌握网络实况，最后审计是企业检验效果与实行改进的依据。可以说，审计就是企业信息安全的晴雨表，但如何将审计的作用发挥到最大，同时避免有关隐私的法律问题，需要企业做好以下几方面。

　　1、要明确审计的范围，比如是不是需要审计所有的内容，还是只审计上网就够了?从安全角度来说是越全越好，但从合理性角度来说，不该审计的，就不应该去碰;

　　2、对审计人员的权限，要有所限制。谁有审计的权限，什么情况下可以审计，需要走什么样的流程，都该有成文的规定。由于审计人员拥有直接查看可能涉及到隐私的信息的权限，就有必要对其审计行为进行再审计。

　　3、要合理利用审计的来的信息，善于将得到的信息根据自己的需要做成高度可视化的报表，反映出关键的问题，为决策提供指导。

　　4、从实施的角度来说，最好做到告知义务，同时形成制度性，在员工入职时进行保密协议等的签署和公司制度、安全制度的培训。

　　相信随着审计本身的功能(如报表)的强大，越来越多的企业会认可它的重要性，也会花更多时间与精力去研究与应用它。

　　以上五个问题是溢信科技在2011-2012调研数据中精选出来的，企业在部署信息防泄漏方案时最常面对的几个难题，但是答案显然是不足以解决所有问题的。信息防泄漏建设不是一蹴而就的，需要企业结合自身的实际情况慢慢地去探索。未来随着新技术的发展，企业面临的网络必然更加复杂，而业务的发展也必然会要求企业的内网具有更大的开放性，信息安全是企业发展一项基础性工作，企业必须真正重视起来，并投入足够的人力物力进行研究与执行，才能找到适合自己的卓有成效的信息防泄漏方案。

(责任编辑：闫小琪)