1  信息泄漏风险
        目前电子行业的企业，尤其是以研发设计为主的企业，大都非常具有保密意识，对于知识产权和创新成果的保护关系到企业的核心利益，甚至生死存亡。总的来说，信息泄漏的途径可以分为以下几个方面：
         ?  办公计算机或硬盘的外带；
         ?  利用移动存储设备将数据带出；
         ?  局域网拷贝；
         ?  通过Internet的文件外发；
         ?  外设端口或外设文件数据外带；
         ?  文件服务器被非法入侵。
2  解决方案的设计原则
         电子行业解决方案的设计原则如下：
         ?  方案应当从全局出发，构建整体的解决方案；
         ?  方案应当对于特殊的办公场景（分布式编译、硬件烧录）给予响应；
         ?  方案应当体现足够的适应性与灵活性，以便针对不同的办公角色（如管理者、员工）给出相应的安全防护与监管方法。
3  解决方案
3.1    磁盘加密
        ?  技术实现
        针对硬盘丢失或被盗造成的数据泄密风险，防水墙提供硬盘数据的安全加固手段。整个安全加固的核心是基于磁盘驱动层的加密加固处理，保证硬盘在被非法外带或丢失后，呈“锁死”状态，其内容无法被他人所读取。
        ?  补充说明
        针对硬盘的加密处理，不会对本地或网络办公（单机编译或分布式编译等）的效率产生任何不良的影响，可以有效减小产品上线阻力。
3.2    移动存储设备使用管理
        ?  技术实现
        对于带存储功能的移动设备，一律设定为加密写入，拷贝至该类设备的文档等都会以密文形式存在，密文拷贝回本地计算机则解除该文件级加密。
        ?  补充说明
        管理层人员的移动存储设备使用权限可以全部放开，或适度放开，常见的控制方式为默认禁用，通过设备注册的方式放开对于少数设备的使用权，但设备的插拔、文件操作等系统都会有日志存档；
        针对硬件烧录情景，默认的移动存储写加密并不会对其产生影响。因为该类硬件不会被系统识别为移动存储设备，所以向其进行数据写入并不受限，从而有效保证原有办公步骤的连续性。
3.3    局域网网络访问边界管理
        ?  技术实现
        对内网办公机设定网络通讯密钥，该处理基于网络驱动层进行，基于密钥可以设定计算机可以访问的内网边界。可以实现例如本部门透明通讯但不能与其它部门或个人计算机间进行互联的效果。
        ?  补充说明
        对于管理较为严格的环境，基于网络访问控制还可以对计算机的外网访问能力进行约束，可以在不改变网络拓扑的情况下，将计算机强制设定为无法接入外网(无论是私接网络、Modem、3G网卡、WIFI等方式均无法突破网络控制)的状态；
         管理者计算机可以被放置在一个“可信”的区域中，其与内部涉密网络可以不受限的互访互通，但对外网或其它网络的访问却不受限制、或受有限的控制。
3.4    文档传输控制
         ?  技术实现
         文档传输控制可以从以下三个方面提供功能输出：
         文件外发控制。控制设定程度是否可以启用文件外发功能，常见的设定方式是指定可以外发文件的程序列表，即白名单模式（如QQ、IE等）；
         文件外发加密。承接文件外发控制功能提供的进程名单，进行定向加密处理，进行有针对性的加密设定，通过这类进程外发的文档就都会处于加密状态；
         文件外发审批。合归化的文档外发申请由员工出发，经领导审批方可进行。文件外发审批可以提供流程设定、角色定制等功能，有效疏导文件交互需求。
        ?  补充说明
        同部门，且同时俱备文件外发加密策略的计算机之间的文件交互呈透明状态，可以实现自动加解密的效果，对外发送文件仍呈加密状态，对于管理人员可以只下发解密策略。
3.5    外设与外设端口管理
        ?  技术实现
        针对具备数据传输能力的数据端口和外设，例如串口、并口、红外、蓝牙、无线网卡、刻录光驱等，如与办公无实质性的联系，应进行禁用处理。防水墙可以提供10余种外设与端口管理清单，只需要从清单中选择想禁用的目标即可。
        ?  补充说明
        管理不一定非得是全局性质的，针对个别计算机可以做放开处理；
         受控外设设备清单是可定制的，即可以通过关键字等方式新建外设或端口对像，从而实现随时更新外设控制范围的效果，以增强对日新月异的外设使用情形的管控。
3.6    服务器安全准入
        ?  技术实现
        公司内部之间，除了利用飞秋、QQ等常见的交互工具外，最为普及的是利用文件服务器进行文件传递。文件服务器上的数据、文档等经过长期累积存储，渐渐成为数据存储的核心地带，往往会成为“窃　密”的重灾区。防水墙可以提供服务器准入软件或硬件网关，在网络层过滤和排查来访者身份的真实性与有效性，只有安装了客户端程序，且得到管理员授权的计算机被会放行，非法联入将被禁止。
3.7    计算机使用行为审计
        ?  技术实现
        普通员工的文件外带途径受到管制和约束，但对于中高层管理人员往往这种方法并不适用。因此，防水墙可以提供全方位的终端行为审计功能，对于相关人员的文件操作、打印操作、邮件操作、网址访问等进行全方位的记录，一是从威慑的角度去约束其行为，从而实现“有据可依，有据可查”的据果。
        ?  补充说明
        防水墙提供专门的报表程序，用于对各类行为日志进行分析，可以按照计算机范围、日志、特为特征、关键字等多种方式进行数据过滤与筛选。

电脑技术板块欢迎您,猴岛有你更精彩!