作者：中和   日期：2017.6.15

公司是做建筑设计的，员工平时都用CAD等作图软件工作，设计的图纸资料也直接存储在各自的电脑上。这虽然方便了工作，但也存在设计图纸、资料泄密的风险。
 
同时，较近几年，各种网络安全事件，特别是前一段时间发生的“老干妈泄密时间”，让公司领导警觉起来。经过开会讨论，公司决定要加强员工电脑文件安全管理，防止可能被员工随意通过U盘复制、网盘、邮件等方式泄露出去的行为，同时也是为客户负责。
 
临危受命，然后就开始着手来贯彻领导的要求。我决定先搞清楚员工可能泄密的具体途径，然后看看是否与公司业务冲突，再次基础上再指定相应的公司数据防泄密举措，防止数据泄密。
 
总计起来，员工可能的泄密通道不外乎以下两种：
 
1、  通过U盘拷贝电脑文件、通过USB存储设备复制电脑文件，然后携带出去；
2、  通过邮件、网盘、FTP发送文件、QQ发送文件等泄露出去；
   
当然，针对U盘、USB存储设备来说，虽然可以通过组策略、注册表，甚至BIOS等途径将其禁用，但是会导致U盘彻底无法使用，这样工作中如果需要U盘时就会非常不便；而对于邮件来说，则是工作中的必备，因此不能完全屏蔽，但可以限制员工只让使用公司的信箱，这样一般也不会轻易用公司邮箱泄密了，毕竟可以追溯查询。而对于网盘、FTP等则一律可以加以禁用，毕竟不是公司必需；对于QQ，则由于工作中会用到聊天功能，但需要屏蔽QQ传输文件的功能，但聊天功能不能禁用。
 
由此看来，单纯通过操作系统、注册表、组策略，包括Windows AD域控制器是不太可能的，需要借助一些专门的电脑安全管理软件、公司数据防泄密软件来实现了。
 
经过网上一番搜索，测试了好几家，包括捍卫者、天锐等一些公司的电脑文件防泄密系统。但总是有些不尽人意，要不就是安装设置复杂，要不就是不太稳定，有些甚至还对我们的CAD文件造成影响（加密后无法解密）。因此，总结了一个原则，就是不能影响我们现有文件安全的情况下，对各种可能的文件泄密通道进行把关，防止数据通过各种通道泄露出去。
 
后来，找到了一款“大势至电脑文件防泄密系统”（下载地址：http://www.grablan.com/monitorusb.html）。这个软件与其他软件不同，是采用把各个可能的泄密通道“堵死”的方式来防止公司数据泄密了。通过它可以完全禁用U盘、禁用USB存储设备，也可以只让使用特定U盘、只让使用指定的USB存储设备；同时，还可以只让从U盘向电脑复制文件而禁止从电脑向U盘拷贝文件；或者从电脑向U盘复制文件必须输入密码，从而既可以在一定情况下使用U盘，同时也防止了U盘泄密行为的发生了。如下图所示：
 
 

图：大势至数据防泄漏软件

 
同时，通过这个软件可以完全禁止发送邮件（可以只让使用公司邮箱发邮件）、禁止电脑向网盘上传文件、禁止FTP文件上传、禁止QQ发送文件（不影响QQ聊天功能），以及禁止QQ群共享文件等，甚至还可以禁止登陆论坛，防止向论坛上传附件。
 
这个软件相对于其他软件来说，安装部署较为便捷，同时使用也比较简单，打勾就可以生效，取消打勾功能就失效，操作比较简单。
 
此外，这个还可以只让登录特定QQ号、只让使用指定QQ号聊天，从而也防止员工登录私人QQ账户聊天的行为，也间接保护了电脑文件安全。
 
总之，公司数据防止泄露、防止商业机密泄漏的方法很多，企业可以根据自己的需要进行选择。相比较操作系统的相关设置来说，通过一些电脑文件防泄漏软件相对更为便捷，也更为有效。