信息系統越來越多的使用于日常工作，成為不可或缺的工具和手段。通過企業信息化大大提高了企業生產效率，企業正在利用信息化技術來打破地域之間的阻礙，同時還會產生大量如客戶資料、營銷方案、財務報表、研發數據等關乎企業核心競爭力的機密資料。然而，信息技術本身的雙刃劍特性也在廣泛應用中不斷顯現：強大的開放性和互通性催生了商業泄密、網絡間諜等眾多灰色名詞。隨之而來的企業信息安全問題，越來越被公司的領導重視，各大公司、中小企業等也紛紛加大了對信息安全體系的建設。然而，例如"華裔工程師大鬧Gucci"、震驚全國的"力拓案"等泄密事件層出不窮，讓人不禁深深地思索：當我們越發重視信息安全建設，加大信息防護投入的同時，為何泄密事件一個接一個的出現？

被漠視的"燈下黑"-來自內部的信息泄露

難道信息泄密真的是防不勝防嗎？又或者是我們在信息安全體系建設上出現了沒有被注意到的"盲點"？讓我們來看看下面兩個案例：

案例一：一名被美國Gucci解僱的華裔網絡工程師，因為對公司做法感到不忿，以及想要炫耀自己的才能，多番入侵Gucci的電腦系統，干擾網絡的運作，關閉服務器及刪除內存資料，使得Gucci的電腦系統癱瘓，網上購物平臺也不能運作，他目前被控50項入侵電腦、身分盜竊、制造虛假商業記錄等罪名，一經定罪最高可面對15年監禁。

被告男子甄志隆現年34歲，原藉臺灣，現為美國公民，報稱居于新澤西州澤西市。他原是美國Gucci的網絡工程師，2010年因為違反公司規定被開除，離職后他多次入侵公司的電腦，最后事發被捕.

在甄志隆在一次入侵Gucci網絡的行動中，Gucci電腦網絡的文件及電郵功能癱瘓將近24小時，大部分文件及電郵亦被刪除，Gucci對此進行修復及補救，花費愈20萬元。另一次入侵時，甄志隆在網絡內逗留了兩個多小時，這次他刪除多個服務器，關閉一個內存網絡，以及把公司的電子郵箱全刪掉，結果Gucci的員工無法登入網絡，而且不僅是企業的員工，更影響至全國所有商店的經理以及電子商貿部門，對銷售造成嚴重的損失，Gucci的電腦部員工經過緊急搶修，也要到當天晚上才能修復。

據檢方資料，甄志隆受聘于Gucci期間以其擔任網絡工程師之職權，利用虛假的員工資料設立了一個帳號，方便自己登入公司的網絡。被Gucci解僱后，多番使用這個虛假帳戶，他利用自己對Gucci網絡的熟悉，暢通無阻地入侵Gucci的網絡，隨心所欲的作出不同的指令。

案例二：2004年5月，某大型企業研發中心發現某國外競爭對手領先一步完成了產品的設計開發，該研發中心領導一下就懵了。產品的設計開發可是該企業的重大研發項目，該企業想依托A產品完成產品線的轉換，大筆資金投入到該項目，眾多研發人員也付出了艱辛的勞動。企業在項目立項及開發過程中，還從未聽說有哪家單位也在進行A產品的開發，為什么競爭對手開發速度如此之快？

情況匯報給企業老總后，老總的第一反應就是內部人員泄密，隨即下令該項目所有人員停止開發，迅速離開工作崗位，并向公安部門報案。公安部門技術人員到達現場后，發現該研發中心保密工作存在重大疏漏：設計人員電腦與普通工作人員電腦連在同一個局域網內、計算機端口允許人員將資料隨意拷出、設計人員將某些機密文件設成共享、打印資料隨意帶出、所有電腦都可以上互聯網……經過檢查，公安部門初步判定為內部人員泄密，但是要查出是誰將資料泄密，難度太大。最終該案不了了之，企業也只能對研發中心領導進行降職處罰，該企業付出的1000余萬元研發費用、眾多研發人員的辛勤勞動全部付諸東流。

在案例一中，GUCCI公司作為世界知名的大型企業，因為一名被解雇的網絡工程師，導致一片混亂。作為一家知名的創意性公司，GUCCI公司必然會非常注意對自己公司內部商業信息的保護，必然采用了眾多的手段，防護外部入侵。然而，甄志隆這名普通的網絡工程師，僅僅通過職務之便，利用虛假的員工資料設立了一個帳號，便做到了暢通無阻地入侵Gucci的網絡。雖然，這次的泄露事件并沒有帶給GUCCI公司多么巨大的損失。但是，假如我們進行一次假設，當甄志隆在成功進入GUCCI公司網絡后，并不是將公司文件刪除，而是轉移或者拷貝復制，最后通過其他途徑將這些信息外泄出去。那么，作為創意性公司的GUCCI，重要的核心資料、設計方案、客戶信息的泄露將會給它帶來令人無法想象的巨大損失！可以說對一家創意公司而言，創意的丟失就意味著死亡！

這不由引人深思：當我們通過IDS、UTM、防火墻等等防護技術，為企業構建起一個牢固的"外殼"的時候，我們的核心信息就已經安全了嗎？

再看第二個案例，某大型企業研發中心，因為內部人員泄密，付出了1000余萬元研發費用、眾多研發人員辛勤勞動全部付諸東流的慘痛代價。讓我們看看公安部門技術人員到達現場后發現的問題：設計人員電腦與普通工作人員電腦連在同一個局域網內、所有電腦都可以上互聯網、機密文件設成共享、打印資料隨意帶出、計算機端口允許人員將資料隨意拷出…以上的種種現象，充分的表現出了該企業的信息防護體系是多么的脆弱與混亂，而這，也正是國內大多數企業所常見的現狀。

綜合上面兩個案例，我們可以發現，無論是國外的知名企業，還是國內的大型公司，他們都明顯的忽略一個問題--來自公司內部的泄露風險。"事實上，對于企業來說，它們最關注的不應該是系統有沒有遭到了入侵，而應該是在系統中存放的數據和信息有沒有被盜取，有沒有被篡改，或者說是不是已經被破壞掉了!這才是重點。"這句話深刻說明了一件事情，那就是核心數據才是企業最應該關注的地方。所以能夠直接接觸核心信息的員工，才最有可能帶給公司帶來最大的損害。然而，對于內部員工的管理，因為目前辦公均為電子化辦公，需要使用到大量電子信息，包括技術資料，客戶信息等等關鍵數據，數量龐大，流轉速度又非常迅速，僅僅通過管理手段與規章約束，可以說根本就無法起到實際性的效果。

同時案例二，又體現出另外一個問題。信息一旦泄露根本無法追查，在實際的訴訟過程中取證也成為最大的問題，因為無法取證，或證據效力不夠，導致許多企業只能吃啞巴虧。而且信息的泄露大多數只有在問題出現后才能被發現，許多企業的重要信息早已泄露，但因目前未被公開使用，所以一直未被知悉，一旦使用，勢必造成巨大的經濟損失，就相當于一個又一個未被察覺的定時炸彈，時刻隱藏在企業的周圍。

信息防泄露行業-企業信息安全的"補天石"

面對以上出現的信息安全問題，我們不禁要提問，企業要如何進行有效的防護呢？這個問題其實早就已有答案。那就是一直服務于國家秘密信息保密一線的信息防泄漏行業。

信息防泄漏行業起步于2002年左右，最早的一批廠商都不是專門做信息防泄漏，如中軟、漢邦等，均是有一個部門或一個業務單元來做，但也有專門做信息防泄漏的企業，如鼎普等。發展到現在，信息防泄漏的技術已經較為成熟，通過一系列的國家政策規定與市場選擇淘汰，已有一大批的產品誕生并被使用。目前中國信息防泄漏企業，主要的服務對象還是以國家單位為主，遵照的主要還是以國家政策為主。所有的產品都傾向于高度安全性，適當高效性的原則設計與生產。所以所有的信息防泄漏產品的特點都是保密安全性極高，但是使用方便性相對較低，同時因符合國家政策并完全滿足國家涉密單位的要求，使得這些產品具有極高的安全性。隨著中國的企業正在由中國制造向中國創造轉變，企業內部如客戶資料、營銷方案、財務報表、研發數據等信息資產對于自身來說的重要性越來越大，這些知識產權甚至是核心競爭力所在，一旦外泄后果不堪設想。與此同時企業內部的IT應用不斷增多，企業對于IT的依賴性加強，這就導致信息外泄的渠道也大大增多，安全風險無處不在。使得企業對于自身信息安全有了更加高的要求。這也促使了，中國信息防泄漏這一行業漸漸浮現于廣大普通的公司企業的面前。一些專業從事于信息防泄漏的企業例如如鼎普、億賽通等廠商也開始為一般民用客戶服務，使普通企業也能享受到國家級的保密安全防護水平。

長期服務于國家機構、軍工單位的信息防泄漏行業，針對內網安全、內部信息防泄密等等問題進行了深入的研究，已經形成成熟的防護體系，將內部信息泄露的途徑進行了劃分，例如網絡途徑，存儲途徑，端口外設途徑、打印途徑、電磁發射途徑等。并且從信息系統安全基本要素的角度出發，針對"網絡安全、主機安全、介質安全、數據與應用安全、網絡安全隔離與信息交換"等5個方面，研發出以終端防護為目的，阻止核心信息外泄為核心，綜合解決內網終端、用戶行為、網絡通信、應用系統、數據庫面臨的安全隱患問題，全面穩定的系列產品例如"鼎普內網安全綜合管理系統"。

"鼎普內網安全綜合管理系統"立足于"事前防御-事中控制-事后審計"的安全防護理念，綜合運用底層驅動、驅動攔截、網絡協議驅動過濾、文件驅動過濾、加密傳輸、身份認證多種技術，實現對主機各種泄密途徑實時控制，對網絡運行安全、高效管理的一體化集中解決方案。通過"非法外聯""可信終端"模塊，及時阻斷內網終端連接互聯網，并及時報警，同時確保非授權終端無法進入內網環境，充分保證內網網絡安全。利用技術手段，對終端計算機端口進行管理監控，防止內部人員隨意使用外設設備，減少核心數據外泄途徑。

通過"安全登錄"模塊，合理的對接觸核心信息的內部人員進行身份認證，進行管控，有效的從堵住信息泄密的源頭，防止信息外泄，讓企業擺脫只能通過規章制度限制員工的局限性。依托強大的審計功能，針對內部人員對終端、核心信息的違規操作，及時報警，保留審計記錄，給企業取證帶來極大便利，一旦發生泄密事件，能夠及時最追，在最大程度上挽回企業損失。

無論是"內網安全綜合管理系統"，又或是信息防泄漏行業研發的其他產品例如："文檔集中管控""介質管理系統"等等，它們的核心目的就是從最應該被保護的核心信息、數據出發，從網絡到終端切斷信息外泄的途徑，保證數據的存儲、復制、轉移可管、可控、可審計，做好企業信息安全的"補天石"！

伴隨著中國企業的日益做強做大，技術上不斷的創新，不斷的超越。會有越來越多的中國企業站在信息、技術的更前沿，隨之而來的也是愈發嚴峻的知識產權保護、信息安全防泄漏的壓力。作專業化的信息防泄漏企業如鼎普科技、思智泰克等，將會充分的利用自己已經成熟的技術、積累的豐富經驗。在保護商業秘密這條戰線上，為廣大的企業用戶，提供更安全、更便捷、更全面的信息防泄漏服務！為保護企業知識產權，防止企業核心商業秘密外泄做出自己應有的貢獻！企業的核心秘密就代表著企業的未來，防止核心秘密泄露就是在守衛企業的明天！

【編輯推薦】

1. “維基泄密事件”重敲數據安全防護警鐘
2. 鼎普對企業數據的安全保護實施部署與應用
3. 鼎普科技：信息防泄漏要關注應用細節
4. iPad泄密事件反思 應用安全評估問題
5. 邁克菲首席技術官談iPad泄密事件