翻看中国古代的战争史，其实就是一部城池的攻防史。

       几千年来，"攻城拔寨"是历来战争的直接目标和关键动机。随着战事迭起，攻防相生，城池也因此成为最大，最重要的战争舞台。从秦始皇修筑万里长城开始至今，无论是历代对于长城防线的高度重视，还是今天我们依然用"钢铁长城"来形容我们的国防理念，都足已说明这种以城墙为基础的战略防御思想，对我们的影响是多么重要、多么深远。

       同样的道理也适用于企业的内网安全领域，对于企业来说，安全事件经常从各种地方发生，如果不能构建一个坚固的安全防线，很可能关系企业发展命运的机密信息，只因为一个U盘的不慎重使用，或者是一个普通员工的无意操作，就轻易泄漏出去。

       安驰铝合金车轮有限公司（以下简称"安驰"）就深知防御体系的重要性，在2010年10月13日，正式部署 IP-guard内网安全系统，在其帮助下构建了一个全方位、立体化的信息防泄漏体系。

       前进之路的"心头病"

       安驰主要从事汽车、摩托车及各种高致密铝合金车轮的制造，公司每年设计车轮的品种和款式的数量都居世界第一，年销售收入达5亿元人民币，目前拥有三大生产基地，在职员工700多人，可实现年产300万只优质铝合金轮毂，产品远销至日本、美国、德国等62个国家。

利用信息技术，强化自主开发能力，快速推出针对各种型号车轮的最新设计款式，满足客户多元化需求，是安驰立足于激烈的铝合金车轮行业，并出奇制胜的最大秘诀。

       信息化的不断开展，却为安驰自主知识产权保护带来了担忧：强大的开放性和互通性催生了商业泄密、网络间谍等众多灰色名词，持续涌现的企业机密信息外泄事件让安驰的忧虑越来越深。

       快速发展的安驰，就好比行驶在高速公路的汽车，行驶的速度越快，越要注意自身的安全，安驰的副总经理吴湛表示："任何一个微小的失误，即会对安驰造成难以挽回的悲剧局面"。如果在此时出现代表安驰核心竞争力的设计图纸信息外泄问题，造成的影响是无法估量的。

       对此，安驰本身已经制定了一套安全规章制度，也通过设置BIOS的方式封锁了设计部门的USB接口（连接打印机的计算机除外），对设计部门甚至采取了网络隔离，但一些泄密隐患还是存在：

       封BIOS只能取得"允许/禁止"两种效果，一禁全禁，一放全放，极有可能因为U盘、打印等造成泄密，用户甚至还可以通过CMOS放电轻松绕过管制；

       通过智能手机、打印带走文件，或使用3G上网卡等连接网络，通过网络带走；

       在允许使用互联网的部门，文件可能通过QQ、MSN、邮件外泄；

       电脑或者硬盘丢失则难以防范；

       另外，安驰缺乏对内网行为的审计，管理者无法了解员工的操作行为，如果泄密事件发生，也无从追查。

       建立全方位信息防泄体系

       在与 IP-guard技术专家的沟通中，安驰说出了自己的困扰。 IP-guard技术专家根据安驰的实际情况，为其提供了一套全方位信息防泄漏解决方案。

       实际上，在安全领域中，某些企业为了确保自己的网络安全高枕无忧，"不求最好，但求最贵"地位自己配备上各种"最佳"的单一产品，并期望这种"强强组合"能给企业套上万无一失的金钟罩。殊不知这种做法往往意味着企业必须付出较高的成本，并增加了技术的复杂性。

       IP-guard所提供的全方位信息防泄漏解决方案，只需通过单一产品，即可为企业量身打造全面的信息防泄漏三重保护体系，保护内部的机密资料，同时还为企业带来很多其他的好处：减少了购买成本，简化了日常的操作与管理，降低了系统的资源占用。

       IP-guard为安驰构建了以"审计-控制-加密"为主的信息防泄漏三重保护体系：通过完整的文档操作审计发现网内安全的危险趋向，及时做出预防；对网络和外部设备等可能的泄密渠道加以控制，防止文档外流；高强度的透明加密保证文档在论在何时何地都能得到有效保护。

安全事件发生前就被"揪"出来了

       "现在， IP-guard的保护让我们不再担心设计图纸或者其他文档的安全。"吴湛介绍说，只要当异常情况发生，比如员工有意、无意越级访问了安全文档，或者对机密文档进行修改、删除、打印等可能发生风险的操作…… IP-guard都会出现警报并且记录下来，第一时间发现安全风险，帮助安驰防范于未然。

       通过 IP-guard邮件管控和即时通讯管控功能，还能记录安驰内部包括Exchange、Lotus等常用邮件包括附件在内的发送内容，对于销售部、市场部经常使用QQ、MSN等几十种常用即时通讯工具进行的文件传输也能进行记录。

       吴湛强调，公司还有专门的负责人，定期对 IP-guard的日志记录进行审计。"同时，我们还在公司内部进行全程屏幕监控，通过对屏幕进行实时查看，了解员工的任何不规范操作，防止泄密事件发生。"

       封堵了可能泄密漏洞，规范了内网操作

       吴湛介绍说，由于公司各部门的职能不同，安全漏洞出现的地方也不同，因此，必须要针对不同部门的特殊需求，利用 IP-guard进行不同的管控。如禁止设计部、工艺部等四个核心部门U盘、3G上网卡、蓝牙等各类外部设备的使用；对允许使用互联网的市场部和销售部，限制员工通过QQ、MSN、E-mail等网络应用发送带有文件名包含敏感信息或超出规定大小的文档。

       "另外，我们还对内部的上网行为进行了一些管理，提高了公司的工作效率。"安驰在全公司内部实行人性化管理：上班时间，对于在线视频、社交网站等非业务网络应用进行封堵；休息时间开放，让员工劳逸结合；同时，禁止内部随意安装包括炒股、新闻浏览、P2P网络电视软件等与工作无关的软件，确保正常的业务的开展。

       即使传播出去也不怕

       俗话说的好，不怕一万，就怕万一。虽然在内部进行了全面的审计，对可能的泄密渠道进行了封堵，但万一，千万分之一的可能性机密被泄漏出去了，对于安驰来说，损失也是不可预计的。因此，为了最大限度地保障信息资产安全，安驰利用 IP-guard建立了最后一道的透明加密体系。

       首先，安驰通过 IP-guard透明加密功能，对设计部、工艺部、模具部常用的 AutoCAD、 PRO/E、UG设计类文档和财务部常用的OFFICE财务文档进行了强制加密，合法员工使用时自动解密，不影响他们原有的使用习惯。即使加密文档被非法带出部门外，也无法打开使用。

       "我们公司跟其他公司一样，都有部门、层级关系，因此需要授予不同部门、级别的员工相应的机密文档访问权限。"吴湛解释道，利用 IP-guard，安驰根据内部的层级关系，建立了立体化的保密体系：设计部、工艺部、模具部、财务部的员工有权访问自己部门里的加密文档，公司经理级以上的职员才有权访问所有加密文档。这样做的好处在于，一是可以严格控制涉密文档的传播范围，二是提高了员工的保密意识。

       吴湛指出，对于需要出差的公司同事，他们也会给予有限的离线授权，允许在外出继续使用加密文档，文档仍保持加密状态，只能在被授权的计算机上使用。

       "在这个项目实现的一年多时间里， IP-guard给我们带来了优秀的技术团队，在多次的沟通调试中，让我们这个'安全长城'建立的非常坚固。"吴湛表示， IP-guard在项目实施有困难的时候及时给予技术支持，专业精神非常值得尊敬。

       机密数据保护为发展接触后顾之忧

       "创新和尖端科技"是HTC成功的关键，随着信息化建设的推进，HTC在网络方面增加了硬件设备，在软件方面，增加了ERP、PDM、CRM和SCM等专业系统，涉及HTC核心竞争力的研发代码、设计图纸、财务报告等数据流丰富了起来，大量的机密数据安全对内部不同的应用和管理的要求提出了新的要求。

       IP-guard针对HTC实际情况，从全方位的视角出发，对各个部门的情况进行详细分析，按照安全程度的高低提出针对性解决方案，专业性受到了HTC的认可。HTC总部成功安装部署 IP-guard内网安全管理系统，保护了大量内部机密文件，提高了企业自身的内网价值，增强了企业业务的市场竞争力，实现了企业可持续稳健发展。

       金发科技股份有限公司在广州华南新材料创新园坐拥531亩占地面积厂房，这家上市企业，主营改性塑料研发和生产，是全国乃至亚洲最大的改性塑料生产企业，……而它也是我们IP-guard加密大客户。

       多因素 引发新需求展

       金发科技总部位于广州科学城，旗下拥有15家子（孙）公司，在南亚、北美等海外地区设有办事机构。企业信息安全管理是一件任重道远的事情。

       因为是上市企业，金发很早就注意到企业的信息安全部分。在企业规模扩大之前其实有用另外一款加密系统。大家肯定也好奇：“是什么原因使金发IT部决意更换当初使用的加密系统？”

       据了解这其中有几方面的原因：首先，金发总部还未迁至科学城时，面积没有那么大，人员也没现在多。旧的加密系统功能基本可以实现企业内部的基本信息管理。后来总部搬迁到科学城后，企业人员增多，规模扩大，内部的笔记本数量不断增多，需要防止泄密的渠道也出现了一些变化，原本的加密系统已经无法满足金发企业内部的管理需求。另外，由于旧的加密系统厂商，在技术服务等方面比较滞后，系统出现问题时，常常不能及时得到解决，金发更需要一个在技术服务上更好的加密软件供应商。

       安全管理 遭遇瓶颈

       据悉，更换系统其实比初上系统更加麻烦，需要耗费更多的人力物力，尤其对规模庞大的金发来说，更是一个巨大挑战。大家肯定要问“金发在更换系统过程中是否曾遇到困难？”

       据了解，金发在做加密部署前期倒是很轻松， IT部领导召集了全国各分公司的IT部人员支援总部做调研，进行加密系统的选型和测试。 “我们领导很重视这件事，在人力物力上都投入了不少，因此进展很快，2个月就完成了加密的部署。”负责的网管说道。

       经过金发IT团队的层层筛选，IP-guard加密系统成为金发信息加密的新选择。IP-guard加密系统部署完成后，在信息安全管理上却遭遇了瓶颈。网管透露，主要的困难来自于员工对加密系统的抵触。这主要源于几个原因：第一，部署完成初期管理层沿用了以往的模式——统一走审批流程，员工使用加密文件需向部门负责人申请解密。但因为金发科技人员众多、工作运转快使部门负责人的解密审批工作应接不暇。同事们开始觉得文件加密影响工作效率，难以适应。第二，金发总部规模扩大后增员，部分员工还未接受企业的保密文化，觉得企业对员工不信任，抵触情绪很大。这些问题成了金发科技当时信息安全管理的最大困难。

       转变思路 升华管理

       “面对这些问题，IT部是怎么处理的呢？”大家不禁好奇。网管说，遇到这些问题后，IT部开始反思走审批流程是否是金发最合适的管理模式，如何才能在效率与安全之间寻找一个平衡点。而这些问题迎刃而解得益于IT部领导思路的转变，领导当时对信息保密提出了新的认识，说保密要建立在企业每个人身上。光靠加密系统并不能保住商业秘密完全不泄露，加密只能是辅助管理工具。因此加密系统的推行还要建立在企业与员工相互信任的基础上，并且要尽可能地减少文件加密对大家工作的影响，这样保密工作才能更好的推行和实施。

       由于思路的转变，IT部确立了IP-guard加密系统新的管理模式——把解密权限交给用户。大家肯定忍不住会提出疑问：“把解密权限交给用户，不怕有泄密隐患吗？”网管说：“这也算是我们领导比较大胆的决定吧！不过其实用户虽然有解密权限，但我们也是分级授权的，不同级别的解密权限是不一样的。而且我们领导一直强调说，加密不是站在员工的对立面去防止员工泄密，我们始终是本着彼此信任的态度去保护信息本身的安全。”不过我们都知道，IP-guard加密还有审计记录的功能呢，就算真出啥事，也能很快的从记录中查出谁干的，这个大胆决定可以放心大胆的干。

       听说为了加深大家对信息安全的认识，金发IT部在企业内发起了一系列保密意识宣传。比如通过泄密案例的讲解，让员工意识到保护商业秘密的重要性。此外制定保密条例辅助IP-guard加密管理，使企业信息安全管理更加规范化。代工还透露说：“公司还采取激励机制，每个月给大家发50块钱的保密补贴，激发大家的积极性。”对此机制很多人倒是第一次听说，感觉金发在这方面可真是下得起本钱阿。

       守护安全全靠你我他

       IP-guard加密系统在金发科技已运转了5年，从最初的困难重重到现今的游刃有余，对IP-guard加密系统的放权式的管理模式，让金发企业的信息安全管理获得升华。信息安全管理在金发科技已不再是IT部门和主管领导的事。新的管理模式，让企业中的每一个人都成为企业信息安全的管理者和守护者。保护企业信息安全，人人有责。这点你学会了吗?

       近日在上海举办的第三届中国国际进口博览会上，IP-guard客户闻泰科技火爆亮相中国国际进博会，全方位展示闻泰最新5G产品及其安世半导体在汽车、工业、移动、计算机和消费电子领域的最新产品和技术，极富创新及交互性的新品吸引了大批商务代表团以及供应商。

       IP-guard与闻泰科技结缘已久，闻泰科技是全球最大的手机ODM企业，也是全行业唯一拥有自建模具厂和完善智能化生产线的公司，手机、平板、笔电、IoT、汽车电子产品年出货量超过1亿台，半导体芯片和元器件年出货量超过900亿颗，客户群遍及全球，与大多数主流品牌如华为、三星、小米、OPPO、VIVO、联想、魅族、LG等保持深度合作。2020年6月闻泰科技以63亿完成了对全球知名半导体IDM公司安世半导体的收购，成为国内最大的半导体上市公司，此次并购案是国内有史以来最大的半导体收购案。

       闻泰科技在国内外多个地区建立了研发中心以及创新中心，制造基地也分布于世界各地，技术机密不断积累，业务机构不断扩大，需要更系统地对分散于各地的终端进行管控，此次闻泰科技加大采购IP-guard安全产品，以更高的要求完善与加强原有的终端管控。IP-guard终端管控功能的全面性，能满足闻泰科技对终端管理的各种需求，闻泰科技不仅可以通过IP-guard的终端管理产品统一对总部及各机构终端的终端应用进行规范管理，还可以应用IP-guard加密、敏感内容识别技术以及审计等，全面智能地保护分散于各终端的技术机密文档安全，此外通过资产管理方案，更可以集中对IT资产进行运维管理。

从富士康遭勒索的事件中可以清晰看到，勒索者目前不仅仅只是非法加密企业的文档，让企业无法正常工作后索要赎金，“窃取企业大量未加密的文档并威胁公开”也已经成为其勒索巨额赎金的常见方式。

勒索病毒多年危害不减，而企业的安全防护仍然过于薄弱。从目前已知的众多勒索事件中可以看到，被攻击的企业大多没有做好防攻击的准备，被窃取的机密文档也往往没有在事前进行有效的保护，攻击者在获取企业的这些未加密的机密文档后，往往会以泄露曝光这些文档来威胁受害企业。

如何提高对勒索病毒的“免疫能力”？

对勒索病毒的防范方式，某种程度上类似于新冠病毒的防范，在数字世界中如果将对勒索病毒的“检测-响应-阻断”等防止病毒进入及阻止病毒扩散的技术手段比喻为“戴口罩”，那么我们显然也需要有一种技术方式，能对勒索病毒威胁的主体“重要数据及文档”本身实现“打疫苗”的效果，让重要文档对于勒索病毒的泄露威胁具备相当的免疫能力，万一被感染也不怕，从根源上解决泄露勒索的问题。

经过大量用户实践的表明，提前对重要文档做好高强度的文档加密保护，是应对勒索病毒泄露威胁的“有效疫苗”，也是对文档被泄密最有效的事前防护方式，企业网络万一被勒索病毒感染，文档被非法入侵者拿走时，文件加密将发挥出关键的作用，保证文件“拿走了也打不开，拿走了也没有用”，让勒索者无从下手，无法以泄露来威胁业主。

如同“打疫苗”是对新冠病毒最有效的事前防护方式一样，事先对公司的重要文件做“文档加密保护”，也是对勒索泄露最有效的事前防护方式。

在勒索病毒迭代变异，勒索事件频繁发生，勒索金额日趋巨大的当下，对企业的重要数据提前做好文档加密保护，有效应对勒索病毒的泄露威胁，应该成为那些保有重要数据资产或机密信息的企业的“信息安全重要基线”之一。

IP-guard多管齐下，助您有效防御勒索病毒泄露威胁

1、文档透明加密，防勒索病毒泄密威胁的“有效疫苗”

事先进行文件加密是防范病毒泄露威胁的重要“疫苗”，同时对于企业来说，加密“疫苗”也不能乱打，一定要长期经过大量用户使用，长期市场检验的才是有效的疫苗。

IP-guard文档加密产品推出市场十多年来，以全面丰富的加密功能以及稳定的性能，受到国内各行业大量标杆企业的认可。IP-guard文档加密产品，已经被大量客户证明是有效，稳定，安全的文档防泄露“有效疫苗”。

IP-guard文档加密可以帮助企业对重要数据进行加密保护，让数据文档无论是在企业中还是流转到企业外都能得到加密保护。加密后的数据文档即使被窃取，不法分子也无法轻易打开这些加密文档，无法窃取文档内的机密信息，企业更好地应对各类信息安全威胁。

2、自动备份终端重要数据文档

勒索病毒组织通过非法加密企业文档，索取解密赎金仍然是其最主要的获利手段，企业被攻击时，如果已经提前做好备份，当重要文档被勒索软件加密时，就可以通过导入备份的数据快速恢复业务，避免被勒索。

IP-guard文档云备份系统支持将终端的文档上传到文档云备份服务器，进行集中存储和管理，企业可以通过IP-guard云备份系统把重要文档强制自动上传到备份服务器中，当终端的数据文档被损坏或者丢失时，可以快速恢复原有数据，及时恢复被影响的业务。

3、提高终端防范风险的能力

企业终端数量众多，提高终端的风险防御能力也是避免勒索病毒的攻击的重要环节。IP-guard支持对全网终端的系统漏洞进行检测并统一分发安装补丁，避免因高危漏洞而被攻击。

IP-guard还可以帮助暂时关闭全网终端高风险的端口，设置安全检测条件（安装杀毒软件、最新病毒库、修复系统补丁等）检测并阻断不符合安全条件的终端接入，避免风险病毒入侵企业。

除了以上这些，IP-guard还可以帮助对终端各类操作应用进行管控，全面防范终端风险，避免不法分子的攻击。

综合来看，针对勒索病毒的防范以及数据保护，IP-guard可根据勒索病毒的传播特点以及企业的数据保护需求推出一系列防护措施，通过事前对机密文档进行加密、备份终端数文档；封堵系统漏洞、阻断病毒传播端口等等方式，全面提高抵御勒索病毒攻击的能力。

通过实施IP-guard的系列防控措施，企业能对重要文档进行更好的事前加密保护，对病毒攻击以及其他终端安全威胁也可以更快速地响应，提高企业应对勒索病毒攻击的能力，降低企业信息安全风险。

企业的核心诉求

1. 家居定制方案是企业内部最重要的知识产权，需要严格保密

2. 工作中，员工经常需要拍照、打印定制方案，与同事或合作方交流讨论，目前缺乏防护措施，存在安全隐患

3. 网盘、U盘拷贝文档的途径需要加强管控，不得泄密内部文件

4. 难以得知员工对重要的文档进行的操作，难以追溯文档流通情况

5. Outlook邮件及聊天软件是主要的对外沟通工具，需要严格审计正文内容及发送的文档

6. 企业内部机器数量繁多，无法一一统计软硬件信息，无法快速响应正版化检查和处置的需要

解决方案

IP-guard文档防泄密

1. 对企业内部的Office文档进行加密，内部流通无障碍，对外流通需要进行申请

2. 在PC端打开Office文件或是将其进行打印皆显示浮水印，震慑拍照或者打印泄密行为

3. 网页浏览控制禁止访问主流网盘地址，防止上传重要文件

4. 对U盘接入不做管控，但拷入U盘的文件将自动加密，防止内部文件外泄

IP-guard文档全面审计

1. 使用文档操作管控对文档的所有操作进行审计，包括创建、修改、删除、拷贝、移动、复制等

2. 使用邮件管控进行邮件审计，发送的邮件正文内容及附件信息都将记录下来

3. 审计聊天工具的聊天内容、文件及图片的发送，方便后期对其通讯内容进行审查

IP-guard资产管理

1. 自动收集客户端所有软硬件资产，可根据条件进行查询并导出查询结果

2. 通过软件卸载可一键卸载不合规的应用程序，以应对正版化检查

客户简要介绍

某大学院校有着一百多年办学传统，作为中国教育部直属高校，通过部省共建，该学校已经成为一所国内一流、国际知名的现代综合性大学。在广州、珠海、深圳拥有多个校区，学院借鉴国内外著名经济管理学院的办学经验，全球招聘，广纳人才，吸引优秀的专家学者从事教学研究工作，正在向世界一流大学迈进，努力成为全球学术重镇。

企业的核心诉求

1. 学院需要保护好教职工的学术科研成果，文档是明文存储在学校电脑上，教职工可以随意将文档外传出去，存在数据泄密风险

2. 学院有专门的文档服务器，上面存在许多科研项目文档，教职工可以直接访问过去查看，下载到本地电脑后外传出去，学院未有相关的管控

3. 教职工可以通过U盘拷贝、IM聊天工具外发、邮件外发等手段将学院核心数据发送出去，泄密风险较高

4. 教职工可以通过手机拍照、截图、打印等手段，将科研成果直接以图片外传出去，缺少审计震慑手段

5. 学院电脑采用云桌面办公，虽然云桌面对数据进行了集中存储，提高了安全性，但教职工对文档的操作和流转依然缺乏相应的审计，存在泄密无法追溯的风险

解决方案

IP-guard文档透明加密和安全网关保护核心数据安全

1. 学院电脑统一部署文档加密系统，将学术科研文档加密保护起来，加密的教学和科研文档只能在学院内部授权环境中使用，非授权环境无法打开，保障学术科研文档不会面临泄密的风险

2. 通过在学院内部部署安全网关，教职工从文档服务器下载的文档都进行加密保护，并且只有授权的电脑才能访问文档服务器，其他外部电脑禁止访问文档服务器，保障文档服务器的安全性

IP-guard管控终端外发渠道

1. 学院规范教职工U盘使用，在学院内部只能使用专用的加密U盘进行数据传输，加密U盘拿到外部电脑无法使用，防止U盘丢失给学院带来泄密风险

2. 学院规范教职工IM聊天工具的使用，禁止使用外部IM聊天工具（QQ、微信等）发送教学和科研文档，只能使用学院指定的IM聊天工具（如钉钉、RTX等）传输文档交互

3. 学院规范教职工邮件发送，禁止使用私人邮箱发送附件，仅允许使用学院邮箱进行邮件附件发送

4. 学院电脑启用屏幕水印和打印浮水印功能，可显示当前电脑的计算机名、用户名、IP地址和时间等水印信息，震慑教职工随意使用手机拍照、截图和打印等行为

IP-guard全面审计文档流通情况

1. IP-guard客户端和云桌面结合，可以对云桌面的文档操作行为进行审计，包括创建、修改、复制、移动、重命名、删除的文档操作行为

2. 详细记录文档的各种外传行为，如U盘拷贝、IM聊天工具发送、邮件发送等，便于管理员进行审计和追溯