保安全也需讲策略：防泄密也要有“服务意识”

　　 企业 在进行信息泄露防护建设时，往往会走入一个误区，即以少数几个决策人为中心： IT管理 人员只顾推行上面的管控策略，却不顾下面占大多数的真正的用户。殊不知，后者才是信息泄露防护最重要的部分。

　　引言

　　古时候，赵国有个人家里老鼠成灾，于是他找人要了一只猫。此猫不仅善于捕捉老鼠，还喜欢吃鸡。为了使这只猫更好地捉老鼠，赵国人为其准备足够的鸡。一月后老鼠被捉干净了，同时也少了一些鸡。

　　他儿子表示不解，他解释说，我们现在最需要解决的就是鼠患，因此我们应该尽量满足猫的需要，让它努力工作。在完成某个任务时，谁最重要，就应该以谁为中心，尽量满足其需求，这样才能成功。

　　由此说开来，企业在进行信息泄露防护建设时，往往会走入一个误区，即以少数几个决策人为中心，IT管理人员只顾推行上面的管控策略，却不顾下面占大多数的真正的用户。殊不知，后者才是信息泄露防护最重要的部分。

　　失“道”寡助

　　很多企业IT管理者在做信息泄露防护建设时常常抱怨说，其他部门不配合。其实在这样一个信息频繁泄露的时代，企业若为了保护自身的信息资产采取一些防泄密措施，大家都是可以理解的。

　　但问题在于很多企业并没有花足够多的时间与 精力 去了解自身的实际需求以及防护所造成的现状改变，并提供相对合理的防护措施去把影响变的更小。如果只是急于求成的部署策略，采取强制措施，造成一些日常工作的不便，自然无法得到使用者的理解与支持，防护策略也就无法执行并形成效果。

　　显然并不是信息泄露防护建设本身有多难，而是企业对待信息泄露防护的态度造成了阻碍。溢信科技认为，安全事，人人事，防泄密工作需要企业所有成员共同参与才能取得良好效果。如果实施策略者(一般为IT管理人员)与应用策略者之间形成了对立关系，那么防泄密就变成了一场内耗战。

　　众志方成城

　　如何在安全的同时不影响效率？溢信科技提出了自己的建议，面对严峻的 信息安全 形势，企业应该认识到信息泄露防护是一场持久战，需要在企业内部建立全面的防泄密战线，尤其是要使用主体，即非IT部门一起参与。企业则要尽量从他们的实际工作流程出发，充分考虑其使用体验，为其提供贴心的“服务”，找到安全与便捷之间的平衡，从而赢得大家的理解与配合，防泄密才能持续有效的进行下去。

　　溢信建议，企业在成立信息泄露防护小组时，应该尽量确保每个部门都有参与，以保证每个部门的需求都能有效传达出来。

　　其次企业在部署防泄密措施时，应根据不同部门的涉密程度实施个性化的防护力度，比如对于涉密程度较低的部门，部署基础的审计及基本管控即可;对于经常接触到敏感信息又频繁与外界交互的部门，除了审计之外必须还有严格的管控;针对核心部门，除了详细的审计和管控之外，可考虑部署文档透明加密，更深层次保护机密安全。

　　再次，为每个部门指定一位权限管理人员，让其负责本部门的信息安全。如果可以，应为普通用户提供直达高层的反馈渠道，以防止管理人员滥用权限。

　　当然，这样的信息泄露防护统一战线也不是短时间内就能达成的，甚至可以说不仅 仅靠 企业自身就能完成的，还需要安全厂商、国家相关部门的协助。不过毕竟企业是主导者，所以只有企业深刻了解自身的安全需求，积极防御并灵活调整，才能取得最佳效果。