夜雨聆风企业数据泄露这件事,真正经历过的人都知道,事后追责的难度远大于事前预防。客户名单被离职员工带走、设计图纸流到竞争对手手里、财务数据被截图发出去,这些事情发生的方式往往很普通,普通到防不胜防。
信企卫做的事情就是在这些普通的操作路径上设卡,把泄露渠道一个个堵住。这篇文章把信企卫的六个核心功能拆开来讲,每个功能解决的是什么问题、实际用起来是什么感受,说清楚。
透明无感知加密:员工感知不到,文件已经安全了
员工正常使用电脑,用Word写文件、用CAD画图、用Excel做表格,保存的时候文件自动完成加密,整个过程没有任何弹窗提示,操作习惯不需要改变。
在授权设备上打开,一切正常;文件被拷到U盘或者发到个人邮箱,对方打开是乱码。
加密在底层驱动层完成,不依赖文件格式插件,Office、PDF、CAD、图片格式都在支持范围内。
文件外发管控:发出去的文件,还能继续管
对需要发给外部的文件,可以在发送前设置打开次数、有效期、是否允许打印、是否允许另存为。合作方收到文件,在授权范围内正常查看,超出限制的操作全部被拦截。
有效期到了,文件自动锁定,合作关系结束后不用担心文件还在外面流通。
文件文档操作记录:每一步操作都有迹可查
信企卫对文件操作的记录覆盖打开、编辑、复制、移动、删除、外发这几个主要动作,每条记录包含操作人、设备信息、时间戳、文件路径。
后台检索支持按时间段、按员工、按文件类型筛选,需要回溯某个时间节点的操作情况,定位速度比较快。
操作记录的价值不只在事后追责,日常管理中定期复查异常操作,能在早期发现风险苗头。
禁止截屏拍照:堵住最难防的那条路
截屏管控方面,在信企卫运行环境下,系统截图、第三方截图工具、QQ微信的截图功能全部失效,截出来的内容是黑屏或者空白。
拍照这条路没办法从技术上完全阻止,信企卫用屏幕水印来做追溯。屏幕上实时显示包含员工姓名、工号、时间戳的动态水印,透明度和样式可配置,不影响正常使用。
邮件白名单:精准管控外发渠道,不影响正常业务
管理员在后台配置白名单,把客户、合作方、监管机构这些有正当业务往来的邮件域名加进去,员工向白名单内的邮箱发送文件,正常走;向白名单外的个人邮箱或者未知域名发送附件,触发拦截或者审批流程。
白名单的维护需要管理员定期更新,新增合作方要及时把域名加进去,这个动作不复杂,但要形成规范,不能变成每次发邮件都要临时找IT放行的局面。
U盘和打印机管控:物理渠道一样要管
信企卫对U盘的管控支持多种策略:完全禁用、只读不写、白名单U盘可读写。白名单机制允许企业统一采购特定U盘,员工只能用公司发的U盘,个人U盘插上去是只读状态或者直接无法识别。
打印机管控支持记录打印内容和打印人信息,打印出来的文件上自动附带水印,包含打印人和打印时间,纸质文件也有追溯链路。
U盘和打印机管控配合透明加密、截屏管控一起用,把数字和物理两条泄露路径同时覆盖,防护体系才算完整,只堵一头另一头还是敞开的。
