目前大家往往低估了“审计”的功效，认为它只是马后炮，只能用于事后追踪责任。却不知“审计”其实是信息防泄露中最重要的一环，它就如平日我们用以探测病情的CT仪器，帮助企业对内部安全问题做到可视化，并对防泄漏项目效果进行评估，为防护策略调整提供依据。

按需部署，在内部建构全面、力度轻重不一的防泄露体系

C企业在问诊过程中向老黄提出需要寻找一整套防泄密方案，进行统一的管理。老黄认为，这样的思路是正确的，唯有全面、整体的防泄漏体系才能实现真正的安全，这也是IP-guard三重保护信息防泄漏解决方案的核心思路。它将审计、管控、加密等防泄密技术，并将所有的防泄漏管理都整合到统一管理平台，从而形成统一、全面的防泄漏体系。通过统一的管理平台，不仅管理、维护简便，提高IT管理人员的效率，而且能根据企业的需求快速进行功能扩充，无缝集成。

C企业可应用三重保护信息防泄漏解决方案，根据企业内部每个部门具体的涉密级别，对症下药，实现力度轻重不一的全面防御，在不影响安全的前提下，最大限度实现安全。

比如对于行政部、后勤部等这些涉密程度较低的部门，部署基础的审计以及适当的管控即可。而对于工作中能接触到敏感信息，但又与外部有较频繁文件交互的销售部，则部署详细的审计以及严格的管控如严格控制文档的权限，不需要看到的信息决不能让他们看到。对于存放大量机密信息的财务部，除了审计以及管控外，如果情况允许，可考虑部署加密，多加一重安全。

C企业提到企业内部经常使用的应用程序是邮件以及QQ，因此对这两个程序需要严格的管控和审计。IP-guard邮件管控功能，能够管理普通类型邮件、Exchange以及Lotus格式邮件，并通过网页浏览禁止在内部使用网页邮件。通过IP-guard的邮件管控功能，限定内部人员只能通过指定账户与外界联系，并根据具体情况进行附件名称、大小等的限定，这就解决了C企业对于邮件“防不胜防”的困惑了。对于经常外发信息到外界的销售部，还需要通过限定发送邮件必须抄送主管经理这一方式，最大程度避免疏漏。对QQ的管理，除了销售部外，一律禁止在上班时间使用QQ。对于销售部门，则通过IP-guard的即时通讯管控，限定只能使用指定账号与外界联系。通过IP-guard的邮件管控、即时通讯管控，便能很好地解决了C企业目前的主要泄密渠道。

除了进行相应的管控外，对内部行为进行详细的审计、定期查看记录也是不可忽视的。通过查看审计内容，能及时发现异常，快速应对，降低了安全事故发生的几率。

避免离职人员泄密，须打好“预防针”

老黄在上面提到企业内部情况是在不断发展的，C企业向老黄描述的人员频繁流动就是其中的一个经典情况。老黄在与客户交流中发现，离职顺便带走一些资料已经不是个例，要避免离职人员可能会引起泄密事件，老黄认为需要从技术和管理两方面去着手。

及时收紧离职人员的权限是很重要的，有不少泄密事件都是因为没有及时收回权限而导致的。尤其是管理层的人员，对于安全管理部门的管理员，还要及时注销其账号或者修改密码，保证其在离职后无法登陆到公司的各种安全管理系统中来。除了权限调整要及时外，对于即将离职的人员，需要详尽、高频次的审计。这样可以及时发现异常情况，阻止泄密事件的发生，而且还能形成心理震慑作用，降低泄密风险。

除此之外，还需要相应的一些管理，比如在内部建立并实施严格的管理制度，如与员工签署保密协议等。

出诊心得

目前大家都已经开始意识到了企业信息的价值所在以及泄密的危害，防护的意识都在提高，安全需求也愈加迫切。虽然每个企业的情况都是不一样的，需要具体问题具体分析。但老黄认为，信息防泄漏万变不离其宗，根本的防护思想是一样，都是需要全面、整体的防护体系。

通过审计发现问题，进而根据具体的问题按需部署，有针对性的防御。部署项目后并不意味着信息防泄露就可一劳永逸了，需要定期对内部情况进行详细审计，通过报表进行趋势对比，评估防御效果，随时调整安全防护策略，形成动态防护。

(责任编辑：)