面對(duì)日漸嚴(yán)重的內(nèi)部泄密事件，我們?nèi)绾问刈o(hù)企業(yè)的核心信息，如何防止內(nèi)部泄密也就成了擺在各個(gè)企業(yè)領(lǐng)導(dǎo)面前的一大問(wèn)題，本文主要介紹了大勢(shì)至企業(yè)數(shù)據(jù)防泄密、文件防泄密系統(tǒng)，以及如何防止內(nèi)部員工泄密，需要的朋友們可以參考下！

第一章前言

當(dāng)前，由于計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，企業(yè)信息化的深入開(kāi)展和應(yīng)用，使得企業(yè)員工上班工作大多通過(guò)計(jì)算機(jī)網(wǎng)絡(luò)來(lái)進(jìn)行，并將工作中形成的大量文件、無(wú)形資產(chǎn)和商業(yè)機(jī)密信息等借助于計(jì)算機(jī)、網(wǎng)絡(luò)存儲(chǔ)設(shè)備進(jìn)行儲(chǔ)存，而這些機(jī)密信息關(guān)乎企業(yè)的穩(wěn)健經(jīng)營(yíng)和經(jīng)濟(jì)效益，如何保護(hù)這些商業(yè)機(jī)密的安全，已經(jīng)成為企業(yè)網(wǎng)絡(luò)管理甚至是企業(yè)管理的重要方面。

但是，當(dāng)前國(guó)內(nèi)，很多涉密的企事業(yè)單位都把自己的注意力放在了防止外部入侵即網(wǎng)絡(luò)邊界安全，而恰恰忽略了身邊的威脅——內(nèi)部泄密。據(jù)FBI和CSI曾對(duì)484家公司進(jìn)行的網(wǎng)絡(luò)安全調(diào)查結(jié)果顯示：超過(guò)85%的安全威脅來(lái)自公司內(nèi)部，由于內(nèi)部人員泄密所導(dǎo)致的資產(chǎn)損失高達(dá)6000多萬(wàn)美元，它是黑客所造成損失的16倍、病毒所造成損失的12倍。企業(yè)若是忽略了其內(nèi)網(wǎng)安全防范措施，將損失許多寶貴的核心數(shù)據(jù)、專利技術(shù)信息，多年累積的技術(shù)資產(chǎn)和研發(fā)投入成為他人的嫁衣，甚至可能因此導(dǎo)致企業(yè)失去競(jìng)爭(zhēng)力。企業(yè)還可能喪失的是其聲譽(yù)，以及員工、合作伙伴與客戶的信賴。

面對(duì)日漸嚴(yán)重的內(nèi)部泄密事件，我們?nèi)绾问刈o(hù)企業(yè)的核心信息，如何防止內(nèi)部泄密也就成了擺在各個(gè)企業(yè)領(lǐng)導(dǎo)面前的一大問(wèn)題。其實(shí)，針對(duì)內(nèi)網(wǎng)安全，防止內(nèi)部信息泄漏早已有了比較成熟的體系。這得益于一個(gè)還不為廣大企業(yè)所知的行業(yè)——信息防泄密行業(yè)。信息防泄密從這個(gè)行業(yè)誕生時(shí)刻開(kāi)始就致力于保護(hù)國(guó)家秘密，維護(hù)國(guó)家涉密內(nèi)網(wǎng)安全，防止涉密信息泄漏。隨著企業(yè)保護(hù)核心信息的需求日益增長(zhǎng)，信息防泄漏行業(yè)也開(kāi)始逐漸為廣大企業(yè)提供信息安全服務(wù)。

作為一家專注企業(yè)上網(wǎng)行為管理、信息安全防護(hù)的專業(yè)廠家，大勢(shì)至（北京）軟件工程有限公司針對(duì)當(dāng)前危害企事業(yè)單位商業(yè)機(jī)密的安全的嚴(yán)峻現(xiàn)實(shí)，結(jié)合自己多年來(lái)服務(wù)于企事業(yè)單位、國(guó)家政府機(jī)關(guān)積累的經(jīng)驗(yàn)，并通過(guò)研發(fā)團(tuán)隊(duì)對(duì)信息安全防泄密技術(shù)的深入探索、研發(fā)，推出了當(dāng)前國(guó)內(nèi)信息防泄密功能最全面、操作最簡(jiǎn)單、部署最快捷的領(lǐng)先信息安全產(chǎn)品——大勢(shì)至電腦文件防泄密系統(tǒng)。可以廣泛應(yīng)用于國(guó)內(nèi)各行業(yè)企事業(yè)單位、政府機(jī)關(guān)、軍隊(duì)等機(jī)構(gòu)，全面保護(hù)單位內(nèi)部重要的電腦文件、機(jī)密信息的安全，嚴(yán)防通過(guò)各種管道泄密的風(fēng)險(xiǎn)發(fā)生。

大勢(shì)至電腦文件防泄密系統(tǒng)(下載地址:http://www.grabsun.com/monitorusb.html)是一款專門控制電腦USB端口使用、管理USB存儲(chǔ)設(shè)備接入以及防止電腦文件通過(guò)各種途徑泄密的電腦文件防泄密軟件。系統(tǒng)不僅可以完全控制USB存儲(chǔ)設(shè)備的使用，防止通過(guò)USB存儲(chǔ)設(shè)備泄密，而且還可以完全防止通過(guò)郵件、網(wǎng)盤、聊天軟件、FTP上傳等方式泄密。同時(shí)系統(tǒng)還集成了全方位的自我防護(hù)功能，可以防止通過(guò)第三方軟件或使用者惡意卸載或破壞，從而可以實(shí)現(xiàn)真正的電腦文件安全管理。

大勢(shì)至電腦文件防泄密系統(tǒng)由五大功能模塊組合：USB存儲(chǔ)設(shè)備管控模塊、電腦外設(shè)管控功能模塊、網(wǎng)絡(luò)防泄密模塊、操作系統(tǒng)關(guān)鍵位置防護(hù)模塊、系統(tǒng)自我防護(hù)模塊。

大勢(shì)至電腦文件防泄密系統(tǒng)功能強(qiáng)大，可完全控制優(yōu)盤（U盤）、移動(dòng)硬盤、數(shù)碼相機(jī)、MP3以及其它USB存儲(chǔ)設(shè)備的讀寫，有只讀、只寫、阻止、放行、寫標(biāo)識(shí)和標(biāo)識(shí)識(shí)別、透明地加密和解密等模式；大勢(shì)至電腦文件防泄密系統(tǒng)除可管控USB端口以及USB存儲(chǔ)設(shè)備外，還可控制其它的外圍設(shè)備，如：軟驅(qū)、1394火線、紅外設(shè)備、磁帶設(shè)備、藍(lán)牙設(shè)備、無(wú)線網(wǎng)卡、調(diào)制解調(diào)器、PCMCIA卡、COM端口和PLA口、打印機(jī)機(jī)控制、3G網(wǎng)卡等，同時(shí)還可以禁止員工私自安裝新硬件。

大勢(shì)至電腦文件防泄密系統(tǒng)可自動(dòng)識(shí)別插入的設(shè)備是USB存儲(chǔ)設(shè)備還是非存儲(chǔ)設(shè)備，不會(huì)影響USB鼠標(biāo)、鍵盤和打印機(jī)的正常使用。只有管理員才能登錄設(shè)置界面更改USB端口設(shè)置，也只有管理員才能關(guān)閉或卸載軟件。且系統(tǒng)一經(jīng)安裝，開(kāi)機(jī)后自動(dòng)啟動(dòng)并隱藏運(yùn)行，除管理員之外不能被惡意地刪除、終止、卸載和破解。

管理員可以對(duì)任意的USB存儲(chǔ)設(shè)備寫入標(biāo)識(shí)并對(duì)其設(shè)定一個(gè)使用權(quán)限，利用本系統(tǒng)將機(jī)器的USB端口封鎖的情況下，只有寫過(guò)標(biāo)識(shí)的盤才可以在指定的機(jī)器上使用，拿到未經(jīng)授權(quán)的機(jī)器上不可用，或只讓寫過(guò)標(biāo)識(shí)的盤在公司內(nèi)部通用，未經(jīng)授權(quán)的U盤或者外來(lái)的U盤不可用。系統(tǒng)運(yùn)行安全穩(wěn)定可靠，不影響Windows系統(tǒng)運(yùn)行效率。

同時(shí)，大勢(shì)至電腦文件防泄密系統(tǒng)還可以完全阻止通過(guò)郵件、網(wǎng)盤、FTP文件上傳、聊天軟件發(fā)送文件、藍(lán)牙、PCI卡、無(wú)線設(shè)備、隨身wifi、光驅(qū)刻錄等等各種途徑泄露電腦文件的行為，全面保護(hù)電腦文件安全。

二、產(chǎn)品架構(gòu)

1、系統(tǒng)功能模塊

大勢(shì)至電腦文件防泄密系統(tǒng)主要有以下幾個(gè)功能模塊組成：

1）USB存儲(chǔ)設(shè)備管控模塊：可以實(shí)現(xiàn)禁用、只讀、只寫、只讓特定USB存儲(chǔ)設(shè)備使用，向USB存儲(chǔ)設(shè)備復(fù)制文件必須輸入密碼等；

2）電腦外設(shè)管控功能模塊：可以完全禁用光驅(qū)、軟驅(qū)、藍(lán)牙、隨身wifi、無(wú)線網(wǎng)卡、PCI網(wǎng)卡、1394端口的使用，可以嚴(yán)防通過(guò)上述外接設(shè)備泄密；

3）網(wǎng)絡(luò)防泄密模塊：可以有效防止郵件、網(wǎng)盤、聊天軟件、FTP、論壇等網(wǎng)絡(luò)途徑泄密。

4）操作系統(tǒng)關(guān)鍵位置防護(hù)模塊：可以完全控制注冊(cè)表、組策略、設(shè)備管理器、計(jì)算機(jī)管理等關(guān)鍵位置的使用，防止隨意修改操作系統(tǒng)關(guān)鍵位置而繞過(guò)系統(tǒng)監(jiān)控的情況。

5）系統(tǒng)自我防護(hù)模塊：集成全面的自我防護(hù)，防止隨意卸載或被第三方軟件攔截、破壞的情況發(fā)生，保護(hù)了系統(tǒng)安全。

（圖：系統(tǒng)功能模塊）

2、系統(tǒng)功能列表

大勢(shì)至電腦文件防泄密系統(tǒng)集成了電腦文件安全管控功能，可以防止U盤、移動(dòng)硬盤、網(wǎng)盤、郵件、QQ發(fā)送文件、藍(lán)牙、光驅(qū)、軟驅(qū)、PCI卡等所有可能的途徑泄密的行為，全面保護(hù)電腦文件安全，保護(hù)單位無(wú)形資產(chǎn)和商業(yè)機(jī)密。

（圖：商業(yè)機(jī)密信息泄密管道）

大勢(shì)至電腦文件防泄密系統(tǒng)詳細(xì)功能如下：

1）可以完全禁止使用U盤、移動(dòng)硬盤、SD卡、手機(jī)等USB存儲(chǔ)設(shè)備。

目前，同類軟件對(duì)USB存儲(chǔ)設(shè)備或移動(dòng)設(shè)備的控制，常常是基于修改注冊(cè)表或USB驅(qū)動(dòng)或隱藏盤符的方式來(lái)實(shí)現(xiàn)的，這種方式對(duì)于控制U盤使用有一定的作用，但是對(duì)于SD卡、移動(dòng)硬盤，尤其是手機(jī)、平板電腦等帶有存儲(chǔ)功能的設(shè)備（現(xiàn)在智能手機(jī)動(dòng)輒幾十G的容量可以存儲(chǔ)很多文件）常常無(wú)能為力，因?yàn)檫@些設(shè)備雖然采用USB接口進(jìn)行傳輸，但是通訊協(xié)議則完全不同，加之第三方軟件（如手機(jī)助手）的協(xié)助，使得通過(guò)注冊(cè)表、修改USB驅(qū)動(dòng)或隱藏盤符的方式很難有效應(yīng)對(duì)此類存儲(chǔ)設(shè)備，同時(shí)也極容易被一些稍懂技術(shù)人的通反向修改注冊(cè)表、修復(fù)USB驅(qū)動(dòng)或通過(guò)修改組策略而重新顯示隱藏的設(shè)備而輕松繞過(guò)。

因此，當(dāng)前國(guó)內(nèi)同類限制U口使用的軟件常常面臨著功能上和安全上的不足和漏洞，無(wú)法充分保護(hù)電腦USB接口的安全。而大勢(shì)至電腦文件防泄密系統(tǒng)采用Windows最底層的HOOK技術(shù)和文件驅(qū)動(dòng)技術(shù)，可以在操作系統(tǒng)內(nèi)核實(shí)時(shí)阻斷USB設(shè)備接入以及用戶向設(shè)備拷貝文件的動(dòng)作，從而可以完全不受注冊(cè)表、USB驅(qū)動(dòng)或組策略的影響，理論上可以完全禁用一切帶有USB存儲(chǔ)功能的設(shè)備，最大限度保護(hù)了用戶的信息安全和商業(yè)機(jī)密。

2）完全禁用光驅(qū)、軟驅(qū)的使用，同時(shí)還可以只禁止光驅(qū)刻錄、限制刻錄光驅(qū)的使用而不影響光驅(qū)播放功能。

目前，同類軟件常常只能通過(guò)注冊(cè)表、光驅(qū)驅(qū)動(dòng)或組策略的方式來(lái)禁止光驅(qū)使用、禁止軟驅(qū)使用。這使得這種方式一方面極容易被繞過(guò)或突破，另一方面也無(wú)法精確區(qū)分光驅(qū)的播放或刻錄功能，不利于對(duì)光驅(qū)和軟驅(qū)實(shí)現(xiàn)精準(zhǔn)的控制。

3）完全禁用電腦COM口、禁止電腦端口使用、禁止打印機(jī)等外接設(shè)備的使用。

目前，大勢(shì)至電腦文件防泄密系統(tǒng)可以完全禁用藍(lán)牙、禁用串口、禁用并口、禁用1394口、禁用紅外傳輸、禁用PCMCIA、禁用無(wú)線網(wǎng)卡、禁用有線網(wǎng)卡、禁用調(diào)制解調(diào)器等端口設(shè)備，從而防止了通過(guò)上述端口設(shè)備來(lái)外傳或泄露公司商業(yè)機(jī)密的行為。同時(shí)，大勢(shì)至電腦文件防泄密系統(tǒng)還可以根據(jù)用戶的需要實(shí)時(shí)增加新出現(xiàn)的端口設(shè)備和最新出現(xiàn)的通訊技術(shù)而增加新的功能控制模塊，從而可以實(shí)時(shí)、全方位保護(hù)電腦信息安全和文件安全。

4）全面保護(hù)操作系統(tǒng)的安全，禁止修改注冊(cè)表、組策略、設(shè)備管理器、計(jì)算機(jī)管理、開(kāi)機(jī)啟動(dòng)項(xiàng)，禁止進(jìn)入電腦安全模式。

大勢(shì)至電腦文件防泄密系統(tǒng)是國(guó)內(nèi)獨(dú)家集成了對(duì)操作系統(tǒng)全方位控制的安全軟件。目前可以有效禁用注冊(cè)表、禁用設(shè)備管理器、禁用組策略、禁止進(jìn)入電腦安全模式、禁止任務(wù)管理器、禁止U盤啟動(dòng)電腦、禁止光盤啟動(dòng)操作系統(tǒng)等等功能，從而一方面極大地保護(hù)了操作系統(tǒng)自身的安全，另一方面也有效地保護(hù)了大勢(shì)至電腦文件防泄密系統(tǒng)的安全，防止被控制電腦企圖通過(guò)各種方式來(lái)破壞本系統(tǒng)的正常工作。

5）全面防止員工卸載、防止被殺毒軟件誤殺或攔截等，集成對(duì)殺毒軟件的特別防護(hù)。

作為一款基于Windows內(nèi)核技術(shù)構(gòu)建的網(wǎng)絡(luò)安全軟件，由于運(yùn)行在操作系統(tǒng)內(nèi)核，同時(shí)在運(yùn)行過(guò)程中要執(zhí)行一些安全探測(cè)工作。因此，不可避免地被一些殺毒軟件、網(wǎng)絡(luò)安全防護(hù)軟件視為病毒、木馬而殺掉或攔截，從而影響了本系統(tǒng)功能的發(fā)揮。因此，我們集成了對(duì)第三方軟件的防護(hù)功能，可以完全阻斷當(dāng)前國(guó)內(nèi)所有主流殺毒軟件、電腦安全軟件對(duì)本系統(tǒng)的攔截和誤殺，從而完全保證了本系統(tǒng)的正常工作。

總之，大勢(shì)至電腦文件防泄密系統(tǒng)已經(jīng)從單純的管理電腦USB接口的軟件，正在轉(zhuǎn)變成一款有效管理電腦各種設(shè)備運(yùn)行、加固操作系統(tǒng)安全的專業(yè)電腦安全管理軟件，可以提供從電腦設(shè)備管理、操作系統(tǒng)安全加固、電腦信息安全和商業(yè)機(jī)密保護(hù)全方位的解決方案。

6）可以設(shè)置允許或禁止的程序白名單、黑名單以及禁止或允許網(wǎng)址訪問(wèn)的白名單和黑名單。

大勢(shì)至電腦文件防泄密系統(tǒng)新版本中增加了禁止運(yùn)行的程序黑名單和只允許運(yùn)行的程序白名單，以及禁止訪問(wèn)的網(wǎng)址黑名單和只讓打開(kāi)的網(wǎng)址白名單，從而可以實(shí)現(xiàn)禁止員工運(yùn)行某些程序或只讓電腦運(yùn)行某些程序，同時(shí)也實(shí)現(xiàn)了禁止員工訪問(wèn)某些網(wǎng)站或只讓員工訪問(wèn)某些網(wǎng)站的功能，實(shí)現(xiàn)了對(duì)員工上網(wǎng)行為的管理，防止員工隨意安裝程序、隨意瀏覽網(wǎng)址的行為。

7）全面禁止隨身wifi、wifi共享精靈以及wifi萬(wàn)能鑰匙等無(wú)線設(shè)備，防止網(wǎng)絡(luò)不適當(dāng)擴(kuò)展。

當(dāng)前，各種網(wǎng)絡(luò)熱點(diǎn)（類似于無(wú)線路由器）的工具的出現(xiàn)，使得員工可以輕松在自己電腦的USB端口來(lái)使用這些工具（尤其是以360隨身wifi、百度隨身wifi為代表）為自己的筆記本電腦、手機(jī)或平板電腦提供無(wú)線上網(wǎng)功能，從而一方面可以用于自己的娛樂(lè)、網(wǎng)購(gòu)、下載或網(wǎng)址瀏覽等行為，另一方面也搶占了公司網(wǎng)絡(luò)資源，并且對(duì)信息安全、網(wǎng)絡(luò)安全造成潛在的威脅（員工可以輕松將電腦的重要文件通過(guò)無(wú)線傳輸發(fā)送到自己的筆記本電腦、手機(jī)或平板）。

因此，大勢(shì)至電腦文件防泄密系統(tǒng)在新版本中實(shí)時(shí)增加了對(duì)這些隨身wifi的控制，并實(shí)時(shí)跟進(jìn)對(duì)市面上新增的隨身wifi或類似工具的屏蔽功能，管理員工上網(wǎng)行為，保護(hù)電腦安全和商業(yè)機(jī)密。如下圖所示：

（圖：禁止隨身wifi）

對(duì)于wifi共享精靈、wifi萬(wàn)能鑰匙等無(wú)線wifi共享軟件，由于其運(yùn)行必須依賴于電腦自身的無(wú)線網(wǎng)卡，因此可以勾選“禁用無(wú)線網(wǎng)卡”來(lái)屏蔽其使用；如果需要用無(wú)線網(wǎng)卡，那么可以通過(guò)“禁止打開(kāi)的程序”這里，添加禁止安裝或運(yùn)行的軟件名稱，例如“wifi共享精靈”，添加后這臺(tái)電腦就無(wú)法使用wifi共享精靈軟件了。如下圖所示：

（圖：禁用無(wú)線網(wǎng)卡、禁止打開(kāi)的程序）

8）禁止郵件發(fā)送、網(wǎng)盤上傳、論壇附件上傳、FTP上傳、只讓特定QQ號(hào)登陸、只讓特定阿里旺旺賬戶登陸、禁止QQ發(fā)送文件、禁止QQ群共享文件上傳等。

在企事業(yè)單位局域網(wǎng)中，不僅可以通過(guò)電腦USB端口、USB存儲(chǔ)設(shè)備拷貝電腦文件，而且還可以通過(guò)郵件附件發(fā)送、網(wǎng)盤上傳、論壇上傳附件、FTP外發(fā)、QQ發(fā)送文件、QQ群共享文件上傳等方式泄露公司商業(yè)機(jī)密，為此大勢(shì)至電腦文件防泄密系統(tǒng)集成了對(duì)上述網(wǎng)絡(luò)應(yīng)用程序的控制功能，可以完全防止通過(guò)網(wǎng)絡(luò)泄露商業(yè)機(jī)密的行為，最大限度保護(hù)了單位的無(wú)形資產(chǎn)和商業(yè)機(jī)密。

此外，大勢(shì)至電腦文件防泄密系統(tǒng)在禁止郵箱使用、屏蔽郵件附件發(fā)送的同時(shí)還可以只讓使用特定郵箱、只允許使用某些郵箱，從而實(shí)現(xiàn)了靈活的郵箱使用控制。

9）獨(dú)家既支持單機(jī)安裝、單機(jī)管理，又支持基于C/S架構(gòu)的服務(wù)端和客戶端的管理，從而方便了用戶的使用。

總之，大勢(shì)至電腦文件防泄密系統(tǒng)是當(dāng)前國(guó)內(nèi)禁止電腦U盤、禁止電腦USB存儲(chǔ)設(shè)備或其他外接設(shè)備功能最全、封堵最強(qiáng)，同時(shí)也是操作最簡(jiǎn)單的電腦信息安全防護(hù)軟件，可以幫助企事業(yè)單位全面保護(hù)電腦重要文件的安全，防止隨意拷貝、泄露等情況的發(fā)生，全面保護(hù)單位無(wú)形資產(chǎn)和商業(yè)機(jī)密。

10）可以為用戶進(jìn)行個(gè)性化定制，隨時(shí)禁止各種電腦設(shè)備、禁止修改操作系統(tǒng)任何配置，全力保護(hù)電腦安全和商業(yè)機(jī)密。

大勢(shì)至研發(fā)團(tuán)隊(duì)?wèi){借在網(wǎng)絡(luò)管理、網(wǎng)絡(luò)安全防護(hù)領(lǐng)域多年的技術(shù)積累，可以實(shí)時(shí)為用戶定制各種電腦管理功能，從而滿足了用戶個(gè)性化的、實(shí)時(shí)的網(wǎng)絡(luò)管理需要。禁止使用手機(jī)存儲(chǔ)就是大勢(shì)至公司應(yīng)國(guó)內(nèi)某些客戶的要求而開(kāi)發(fā)的，也是同類USB控制系統(tǒng)無(wú)法做到的。

11）獨(dú)家提供實(shí)時(shí)的“人工現(xiàn)場(chǎng)”支持服務(wù)，免除用戶的后顧之憂。

用戶只需要在系統(tǒng)界面上點(diǎn)擊“遠(yuǎn)程協(xié)助”，然后將彈出的遠(yuǎn)程協(xié)助軟件生成的ID和密碼告訴我們，便可享受大勢(shì)至公司專業(yè)技術(shù)人員的實(shí)時(shí)人工遠(yuǎn)程支持服務(wù)，此遠(yuǎn)程協(xié)助軟件速度比同類軟件（如QQ遠(yuǎn)程協(xié)助）快2倍，媲美于人工現(xiàn)場(chǎng)操作，徹底免除用戶的后顧之憂。