某制造业大厂企业信息防泄密案例

2021-11-18

信息防泄密案例背景

该案例中的企业为制造业大厂，企业主要从事的是自动化零部件研发、生产和销售铝合金、电子电气、直线运动、医疗设备、锂电池零部件等等。

企业蒸蒸日上的发展是每家企业的共同心愿和目标。今天提到的案例制造业企业的目标是，提高自动化设备中零部件标准化、模块化、组件化水平，提升自动化设备供给效率，降低综合成本，打造行业领先的自动化零部件一站式供应商，推动自动化行业的技术进步。

企业发展过程中制定的目标可以说是志向远大、信心满满，但在这个过程中，企业的机密数据信息的防泄密要做好，正所谓树大招风，在企业硬实力增强的同时，信息安全的软实力也要同步跟上，这样在发展的路途中才能无所顾忌。

苹果稽核配图

信息防泄密需求分析

1、因为销售团队需要跟进客户的原因，客户的机密资料信息是肯定要给到销售去跟进和维护的，而在这个过程中，之前没有做过细致的考虑，因此没有对这部分的客户资料信息进行加密工作，也没有对销售团队提出相应的客户信息保密要求，因此出现过销售恶意泄露客户资料，导致企业遭受一定损失的情况。对于这种员工主动泄露企业客户重要机密信息的事情恰恰体现了企业在团队管理中内部信息安全管理方面暴露的问题。

2、企业一般都会使用ERP系统来管理员工、客户的数据信息。在系统中客户机密信息的部分，之前并没有设置相应的权限管控方案，也没有归责到人，因此导致部分别有用心的员工违规下载客户数据信息，导致企业遭受部分客户订单损失的问题。这个问题的出现也反应了，对于一些软件系统的使用过程中，权限的科学、合理管控的重要性，并且制定相应责任到人，也是非常必要的。

3、对于一些产品内部的或渠道的报价单，员工往往会出现随意外发泄密的可能性，一旦外发可能会出现连锁反应，造成严重后果，对于一些保密级别的文件缺乏管控措施。

4、企业的财务信息、包括员工的工资信息管控不严，一旦泄露会导致员工内部情绪问题，影响公司进度。

5、研发部门有一些机密性的资料，如设计图纸、设计模型、设计文档等等，平时都存储在电脑上，如果在休息时间电脑没有锁定的话，非常容易被拍照或传输泄密，存在一定的风险。

6、企业内部的员工在沟通公司业务的时候，如果都通过一些大众软件沟通的话，缺乏审计措施，如果能在企业内部采取一些私有的聊天工具，会更好一些。

7、由于不同部门需要使用的电脑初始安装的软件不同，在进行统一部署的时候，没有能够统一的方法，这就导致电脑出现的高危补丁管理困难，并且在进行远程运维的时候也十分繁琐。

整体防泄密解决方案

IP-guard——文档加密保护企业数据

1、通过在企业的总部部署 IP-guard服务器的方式，来对总部、生产基地、行政中心、研发基地及移动办公的计算机进行统一的管理；

2、对于一些机密的文件、图纸、文档等，采用透明加密的方式进行保护，如需进行文件传输需求，需发起文件解密的申请，审批后方可解密使用；

3、对于从ERP、OA等系统上下载的文档实现自动加密的方式来确保企业信息安全；

IP-guard——规范终端外传行为

1、对于外接设备、网盘等限值使用，严禁企业机密文件的外发；