当前位置： >
& & & &数据防泄漏大部分企业的痛点，数据的保密性这也是解决信息安全最根本的三要素CIA原始驱动力。绝大多数企业决定弥补信息安全功能，成立信息安全团队，投资信息安全的初衷就是防止企业核心数据外泄。数据安全是一个永恒的领域，从最原始的网站防篡改，到如今五花八门的各种数据安全产品和咨询方案，每个产品和服务都有自身适用场景，任何企业的数据防泄漏都不能割裂处理看，就像CISSP中经常讲到的没有One Size Fits All的通用解决方案，只能根据企业的实际情况适配不同的场景，不同的场景选择不同的解决方案。
& & & &由于安全攻防（攻击防护、监测和响应）是数据防泄漏的基础，没有了防火墙、威胁情报、APT攻击发现、IDS、大数据风险监控系统等通用的安全基础设施，没有强有力的安全运营团队，光靠买几套数据防泄漏软件（防水墙、终端/网络DLP软件、数据库防火墙、桌面管理软件等）和服务（数据安全咨询服务）是无法达到预期效果的。
& & & &从技术角度来看数据防泄漏就是要保障核心数据存储、使用、传输三个过程的安全，防止信息泄露成为企业数据安全保护建设工作的关键和核心，通过事前、事中、事后的整体策略对敏感数据采取全过程保护。事前预防应做到避免安全事件的发生或降低安全事件发生的概率，事中监控应尽可能发现安全风险，尽可能较少误报，减少安全事件造成的影响，事后审计应做到在安全事件发生后根据数据标签或指纹可进行全程追溯。下面将从存储、使用和传输的三个过程进行阐述。
& & & &存储中数据：存放在数据库、文件服务器、存储于备份设备上的数据等，存储中的数据通常包括企业全部核心商秘信息，因此对企业的核心数据库、文档管理系统等进行安全防护成为重中之中。如果数据比较集中，而且分类明晰，如很多企业有文档管理系统，可以通过数据库防火墙、数据库透明加密、以及敏感数据发现系统进行扫描，做指纹，然后指纹分发到各出口安全设备进行阻拦。除此以外：文件服务器、应用系统和数据库应采取基于用户角色的授权访问控制，并且赋予用户所需最小权限，如进行&三员管理&：系统管理员、安全管理员、审计员相互独立相互制约。对处理核心商秘上产生的工作文档和通过各种方式从数据库或网络应用中获取的核心商秘数据，均应采取技术措施防泄漏，核心商秘数据的外发，需经过审批授权，并对数据做集中式留档审计; 对于如何防止脱裤、撞库、注入、虚假注册、地下交易的技术措施由于主要涉及到攻击防护技术，本章不做详细阐述。
& & & &传输中数据：通过网络应用程序传输的数据，对商业秘密数据的存储、传输、使用行为进行审计，审计记录集中保存。目前主要是微信、QQ、邮件等。因此上网行为管理、NAC、网络DLP、防水墙等均能派上用场。通过SIEM或大数据数据防泄漏系统将审计内容（部分日志记录需要业务系统进行定制开发）：访问者、访问目标、访问方式、访问结果（下载、上传、删除、查询、更新等）、访问时间、访问所在服务器或终端的主机名、IP地址、MAC等进行记录和审计，基于源目IP，端口、协议、账户、访问行为、时间等作出异常模型（如特殊时间段的访问、超过平均值的单IP或单账户的流量等），进行用户画像和告警。基于信息的敏感度、企业资源成本、信息安全团队能力、满足《网络安全法》的前提下建议审计记录至少保存六个月，核心商秘审计记录至少保存十二个月，当然有个前提是企业的安全团队（风险/审计/IT）能基于企业实际情况建立数据风控模型，能基于人物画像和行为画像在六个月内发现异常情况，不然审计记录保存再长的时间也只是没有价值的&沉睡数据&。
& & & &使用中的数据：通过终端访问的数据，包括保存在终端磁盘上的数据、终端内存中的数据、屏幕显示中的数据等。终端防护历来是重点同时也是难点，之所以说是重点，因为所有服务器上的数据均能在广泛的终端存在，服务器可以重重防护，但终端上可能很容易就出去了。之所以说是难点，因为终端分布广，100%覆盖率基本不现实（终端多样性、不兼容性、网络稳定性、用户水平和接受性、推广成本、业务多样、用户易用性）、终端软件安装覆盖率、失联率、拦截率等是考核的重点。对于终端追求的是&突出重点&，对重点信息和重点岗位力求百发百中，对低敏感内容终端尽可能的覆盖，覆盖不到的通过网络等其他风控系统做风险补偿。
& & & &通常情况下，大型企业均面临以下几个比较通用的几个典型场景：
& & & &普通办公场所：特点是保密级别不高，人员分散，但需求固定：主要是网络需求或内外部沟通，比较适合侵入度较小的解决方案：如网络准入控制NAC、无线控制器WLC、上网行为管理、网络DLP、NGFW、安全邮件网关、移动终端管理MDM/MAM/MCM等多种方式对数据进行保护。
& & & &分布式网点、店铺、办事处：特点是操作单一，标准化成本低，网点分散，管理成本和维护成本较高，终端数据相对不多，日常主要使用企业通用的内部系统，员工IT需求不高。比较适合使用虚拟桌面来解决数据防泄漏问题，将敏感核心数据留在总部的终端服务器上，服务器的数据通过企业数据中心或总部集中的专业安全能力，如防火墙、网络DLP（防水墙）、终端DLP、数据库审计系统、漏洞和补丁管理系统、敏感数据扫描系统、敏感数据签名过滤系统、大数据安全风险感知系统等来实现数据安全。
& & & &制造工厂生产环境：主要数据是包含基础技术开发和加工工序、工艺图纸、工程文档、机加工程序等，由于工厂的生产实际限制情况，很多DLP产品无法安装，如数控机床系统不支持外来程序，改造成本很高，USB口无法有效管理，造成开发程序泄漏等。&
& & & &适合通过DNC系统，MES系统和ERP系统先将零散的数据IT化，再将非结构化数据进行系统化，将原来的通过USB拷贝变成系统下发程序直接到机床，减少中间过程环节，有效的降低工厂机加工程序外泄风险，使得原来的生产过程文档从编制到归档整个过程，通过流程化的管理方式，规范整个操作过程，对文档通过产品制造方案的形式进行打包管理，保证数据的安全性及唯一性；将程序文档进行流程管理、版本控制、操作追溯、程序说明文档与联网通信系统集成，通过将生产过程文档远程推送到操作终端，实现自动化推送及无纸化办公，将零散文档和程序先IT化，然后再纳入信息安全管理范围，实现数据程序从编制到定型归档整个流程均可控。避免原有的程序从编辑人员、审核人员、分发人员、程序调试/试切、批产和管理等流程中通过U盘拷贝的各种风险。
& & & &小规模普通生产研发机构：对互联网的依赖和对共享平等的文化氛围要求没有互联网公司创新机制下的高，但对生产、质量、技术和流程要求较高，能容忍一定程度的控制，比较适合终端DLP监控，打印监控，桌面USB管控，核心数据通过微软的RMS授权，并配合一定程度的网络DLP，移动终端管理MDM/MAM/MCM这种对安全和效率的折中方案。
& & & &核心研究机构：双网隔离，所有的协作均在内网完成，内外交互通过网闸或中转设备进行摆渡。内部使用安全U盘（仅仅内部机器能识别），对外交流使用可控U盘（授权的U盘可以拷贝低密度的数据到外部机器），所有行为均受到监控，重点岗位对外人员执行硬盘全盘加密策略，要求高的系统配置二线防泄密岗，手机等设备严禁带入研究场所，对应的物理安全也相应提升，所有系统严格执行&涉密机不上网，上网机不涉密&。
& & & &从管理角度来看，数据防泄密工作贯穿企业信息安全工作全生命周期，一般数据保护项目流程就是：敏感数据识别，定级，分场景保护，监控数据流向（数据溯源），优化安全策略。但最难的不是后面的保护措施，而是数据的识别和定级必须依靠各业务部门的大力配合，没有业务部门高级管理者参与的话，失败的概率很高。数据安全项目一般从上而下，管理为主，建议采用集团办公室、各业务部门、安全团队三方组成联合战队的形式推进，安全团队可以借此建立一个二层/三层的组织架构，把项目做成长效机制，信息安全工作才能长久落地。组织架构可以分成三层：第一层信息安全委员会（由相关部门负责人组成）、第二层执行层（由跨部门的数据安全项目组成员组成）、第三层推广层（由各业务部门关键员工组成）。这个过程安全团队可采用透明的方式配合业务部门做好数据防泄密的技术支持工作，协助他们做好数据防范工作，而不是强制他们要做，低姿态进入业务系统，尽可能的扩大最广泛的信息安全统一战线是企业信息安全工作的最长久的保障。
& & & &对于企业而言可以参考《中央企业商业秘密保护暂行规定》和《中央企业商业秘密信息系统安全技术指引》，该法规最核心的内容是数据安全保护，还包括网络安全、服务器与应用安全、终端安全、移动介质安全以及制度的安全，以期建立一个相对完善的防护体系。
您可能需要了解的产品：，，
下一篇： 上一篇：
同类文章排行
最新资讯文章
您的浏览历史
深圳市网域科技股份有限公司
地址：深圳市南山区高新技术园高新南七道R2-B栋4楼(北京大学正对面）
技术服务热线：400- 邮箱：
ICP备案号：
全国免费咨询热线防止企业数据外泄的五种方法_百度文库
赠送免券下载特权
10W篇文档免费专享
部分付费文档8折起
每天抽奖多种福利
两大类热门资源免费畅读
续费一年阅读会员，立省24元！
防止企业数据外泄的五种方法
网络工程师|
总评分3.9|
用知识赚钱
阅读已结束，下载本文需要
想免费下载本文？
定制HR最喜欢的简历
下载文档到电脑，同时保存到云知识，更方便管理
加入VIP
还剩4页未读，
定制HR最喜欢的简历
你可能喜欢天极传媒：天极网全国分站
您现在的位置：
& &&上网行为管理帮助公司防范数据泄密
上网行为管理如何帮助公司防范数据泄密天极网网络频道 08:14
　　在数据泄密事件频发的今天，无论是个人还是公司都应该对自己的信息安全防护进行一次彻头彻尾的反思，然而公司信息安全也是个人信息安全的集合，因此，公司更应该关注员工对公司网络的使用。
　　黑客或其他病毒的入侵行为一度给公司造成了很大的困扰，但我们暂且不表黑客专为公司“订制”的攻击行为以及终端设备使用不当带来的信息安全风险，因为事实上，在办公室里，还隐藏着另外一个数据安全风险：内部员工。
　　公司发生频率较高的更多是员工有意或无意的泄漏，其中无意的泄漏几乎每天都会上演，如通过邮件或聊天工具将机密信息误发出去。网络设备，可监控、、等常见聊天工具。员工通过聊天工具传送公司文件的行为，公司可根据关键字过滤进行有效的封堵。员工日常工作中Web邮件和论坛发帖的行为，也可根据需要进行封堵或内容审计，从而防止公司机密信息的无意外泄，并做到事件发生时有据可查。
　　点击“查看”可以浏览QQ聊天内容
　　点击“下载”可以浏览邮件内容
　　除此之外，不乏有意泄露公司信息的员工，如对公司心怀不满的员工，被公司辞退的员工等。通过查看员工工作时间的聊天记录、网页浏览历史、邮件及发帖内容，可掌握员工的工作状态，防止对公司心怀不满的员工在离职前恶意窃取公司机密，对公司信息安全造成极大危害。对于那些无视公司制度的员工，通过网络设备进行弥补可以起到有效的辅助作用。产品是公司揪出“内鬼”的最佳助手。
　　应用控制种类繁多 “一机多能”且一举多得
　　社交网络的盛行造成员工工作状态懈怠，是公司效益的“敌手”之一，但是殊不知其也是恶意攻击侵入公司网络的一个途径。近日，国内某知名微博就出现用户无意点击链接感染病毒的事件。随着微博的流行，公司又多了一个安全隐患。百卓网络上为管理产品能够识别800种常见应用，支持URL分类封堵，可根据需要设置禁止访问的网页，并支持分时段控制。全面规范员工上网行为，提升公司网络利用价值，保障公司网络安全及信息安全。
适用范围：中小企业
功能概述：信息安全网关
支持多条Internet线路的带宽叠加, 扩大网络出口带宽
支持bypass功能
强大的上网行为管理及内容审计
基于应用的带宽管理
灵活的网络接入及多链路负载均衡
强大的病毒过滤功能, 包括网页防毒、电子邮件防毒、文件传输防毒、病毒过滤日志等
具有防火墙及VPN功能
丰富的Web推送功能
设备支持PatrolView-Advance日志审计软件, 能更能好的满足公安部82号令要求
（作者：网络频道新闻组责任编辑：林志机）
欢迎在新浪微博上关注我们
DIY整机企业级软件如何防止企业数据泄密？_百度知道
如何防止企业数据泄密？
我有更好的答案
数据泄密基本上可以分为来自内部和外部两大类。1.内部人员离职拷贝带走资料泄密；2.内部人员无意泄密和恶意泄密；3.外部竞争对手窃密；4.黑客和间谍窃密； 5.存储设备丢失和维修失密；6.对外信息发布失控失密；目前采用加密手段，对数据进行加密保护，已经成为业界主要做法。天锐绿盾数据防泄密系统多年来一直致力于帮助企业完善内部的数据防泄密体系建设。各类型数据加密、外发文档安全控制、U盘认证加密等等，专注企业数据保护。
采纳率：28%
绿盾文件加密从信息源头、途径等途径进行企业信息安全保护，具体如下：1、文档加密，防止外泄，绿盾根据公司需要，对指定的文档类型进行自动、透明加密，确保文件在公司内部能正常使用，但当文档资料脱离局域网环境后，未经授权无法读取，显示为密文。这样即使有人通过各种途径将公司的数据非法带离也无法读取，使用。就从根本上解决了公司数据信息外泄的问题。同样的，即使是公司员工带笔记本出差时不慎丢失电脑也不会因电脑内的数据文件信息外泄给公司造成重大的损失，相对而言，损失的仅仅是一台电脑而已。2、外发途径全部控制，绿盾对公司的终端可进行监控，并对包括打印、剪切、复制、截屏等可以导致数据外泄的途径都做限制，防止有人通过这些方法把公司的重要数据带出去。3、重要数据多重保护绿盾可以对企业的重要敏感数据进行保护，防止公司重要数据被破坏或者删除：可以禁止删除加密的数据：井可设置对员工访问、编辑、修改、删除等操作的文件进行备份，以防止有人恶意的毁坏公司重要数据。4、有效控制外发文件若因工作所需要将公司的资料带离或外发也很方便，只需将外发资料通过发送外发申请后由公司高层审计确认即可明文外发，对外发的数据还能控制打开的次数、使用的有效时间、是否在指定电脑上打开等，可有效防止外发文档的二次扩散。5、防止文件越权读取支持某一部门的文档只能在指定部门或指定范围内流通，禁止其他部门读取、使用该文档6、离线策略安全方便a) 短期离线方案：直接在服务器上设置允许脱机时间，离线后仍可以阅读文档。比如高级管理人员的笔记本电脑下班后需要阅读加密文档。该策略的应用也能防止服务器因突发情况宕机导致加密文件无法使用，可提高系统整体安全性能。b) 中长期离线方案(如出差)：可以使用绿盾的离线策略。离线策略需要向管理员申请，获得批准后导入即可。且离线策略可以活设定离线使用天数，这样在方便员工外部办公的同时也有效地保证了文档的安全。7、丰富的报表统计查询针对网络管理和行政管理需要，绿盾提供了强大的报表统计功能，从人员、机器、计算机操作行为、文件操作记录、资产统计、实时报警日志等多个维度进行内网使用情况分析，并以表格、图表形式呈现，可供企业进行人力资源管理分析，提升员工办公效率。8、内网行为全程管理绿盾能对计算机操作行为进行全部的审计和控制，包括屏幕、聊天内容的记录，程序窗口变化日志等，可供管理者进行事后追查综上，绿盾能为企业提供完整、专业、有效的信息安全解决方案，做到“数据偷不着，偷走打不开；外发可控制，事后易追查”的效果，严防泄密，确保企业核心数据不外泄，确保企业信息安全
商业机密的泄露会对企业造成巨大的损失，假如被竞争对手掌握后果更是不堪设想。文件夹加密超级大师安全度高，可完全胜任保护商业机密的任务。这款软件有360和微软的安全认证，可以在任何win系统下打开，而且不会被杀毒软件误杀。
为您推荐：
其他类似问题
您可能关注的内容
企业数据的相关知识
换一换
回答问题，赢新手礼包
个人、企业类
违法有害信息,请在下方选择后提交
色情、暴力
我们会通过消息、邮箱等方式尽快将举报结果通知您。