企业终端数据防泄漏的最佳方案实施路线梳理

在当期信息化时代，海量的数据零散的存放在各种电脑终端上，如何保护企业核心数据不泄密，是每个企业管理者都关心的事情，如何去做好数据防泄漏的保护？怎么做企业终端数据防泄漏？不是依靠某一个软件或者系统就能实现的，从整个数据的流转、生成、交互等方面，洞察眼MIT系统为大家归纳了一套企业终端数据防泄漏的实施路线，希望能给企业管理者一些启发。

一、了解资产：我们核心的企业数据有哪些？它们的属性是什么？

这里就需要对企业的数据做好梳理，数据的分类，分级。

比如：

图纸，实验数据，配方文档，工艺文档----（这些数据关乎企业的核心竞争力）

新产品规划，立项，调研等文档数据-------（关乎企业未来竞争力）

公司会议纪要，工作计划，制度------------（企业管理脉络）

生产、销售、库存、营收、利润、财务等文档（企业真实经营数据）

供应商信息、外协加工图纸、采购订单等-----（关乎企业供应链的健康稳健）

针对以上数据，哪些数据关于企业生存需要绝对保密，哪些是普通保护，哪些能信息公开？需要管理者来梳理分级。

二、分析威胁：摸清数据泄露的方式有哪些？

比如：主动泄露的方式

互联网外泄

  邮箱：（自建、租赁） 发送邮件（附件）给外部邮箱、保存草稿在外网环境登录，公司内部使用不受控制的Webmall发送邮件（附件）传输敏感信息

  移动存储介质：U盘、移动硬盘； 使用移动存储拷贝、U盘启动绕过安全控制进行拷贝、硬盘外挂绕过拷贝。

个人设备：手机、平板、个人电脑等个人设备办公、连接电脑做存储使用、与办公终端无线/蓝牙等互传外发公司资料。

上传网络：论坛、贴吧、网盘上传文件到网上，带走企业核心数据。

IM软件：微信、QQ，钉钉； 通过IM外传文件等敏感信息外泄。

局域网外泄

文件共享、飞秋传输、FTP/NFS、RDP、蓝牙、文档同步等方式外泄。

物理方式外泄：

打印复印：打印纸质文档带出、  文件拍照/摄像 、屏幕拍照/录像等。

三、保护措施：数据泄露威胁的应对方式

通过摸清数据泄露的路径与方式，我们可以从三个维度来进行防护。物理防护、终端防护、网络防护。

1、终端物理防护措施：

拍照保护的措施

  防窥屏、屏幕水印、拍照管理（禁止相机入内、镜头贴膜、准牌证）、MDM等

打印保护的措施：

终端管控打印限制（DLP）、共享打印（刷卡）、打印审计记录、打印标签（密级标志、打印水印、条码追溯）、碎纸机、纸质文档存放管理

电脑端口防护：

禁止手机连接、NAC限制个人电脑接入、禁止使用同步类Web服务、限制内部服务对公网开放、VPN认证、MDM，禁止存储外联、限制存储只读、审计存储读写/留存记录、物理封堵/BIOS禁止U盘启动（BIOS密码可被清除，使用主板带加密芯片的电脑）

2、网络防护措施：

  网络隔离、网络安全域、组策略禁止共享、终端降权及桌管禁止非法软件、  桌管禁止软件使用、上网行为禁止使用IM、禁止传文件、传输审计、网络与终端DLP、 上网行为禁止上传、上网行为审计、禁止访问上传类网站、hosts文件禁止非法网站、网络与终端DLP系统防护。

3、终端数据防泄漏保护措施：

数据的保护一般分为两种，一是终端数据不落地，通过数据的封闭管理，来实现数据的保护。二是数据加密。

桌面云

数据不落地保护，  通过虚拟化技术实现桌面环境的隔离，一方面限制办公环境与外界的交互，另一方面实现办公数据集中化管理与备份

  应用场景：适用于办公环境单一的客服类、培训类、行政支持文职类等固定办公的、需要灵活移动办公位的，以及对安全要求较高的且以上线工作为主的研发技术岗

  限制条件：桌面标准化，需要投入极大、需要网络环境非常好，建议规模较大时考虑

  存在的问题：应用场景局限，需要IT成熟度较高，员工习惯需要培养

数据加密

  磁盘头加密

    一般仅笔记本由此功能，需要在BIOS中设置，可防止设备丢失硬盘外挂导致的泄露

    问题：登录电脑需要输入2次密码（ThinkPad可设置指纹），可被高级别黑客绕过

  磁盘加密/环境加密/透明加密

  对整个磁盘加密，防止设备丢失后信息泄露，防止员工有意无意外传信息，可用免费的bitlocker或者商业软件

    存在问题：加密会显著影响设备性能，影响与外部的交流效率，不当管理和使用易导致数据丢失（需要良好的备份支持）

  文档加密

  对指定的文档进行加密，可防止设备丢失后的敏感信息泄露，可部分防止员工外泄信息。

    问题：自动加密需要使用较高投入且需要预先梳理资产策略，主动加密需要员工自行操作，

    建议：可在规模较大的情况下，针对核心信息资产使用场景使用加密软件和DLP产品进行实施