项目泄密场景一：共用电脑

　　W公司启动了ERP项目，并从各业务部门抽调人员成立了项目组，其中包括来自财务部的小张。ERP项目组全体外出进行封闭式讨论，项目组成员吃住都在一起，小张的笔记本电脑在此期间经常被人借用。开始小张考虑到自己的笔记本电脑中有重要的工资表等信息，又没有采取任何数据保密措施，不愿意共用电脑，但是后来一想，借用电脑的都是一个项目组的兄弟，不好拒绝。

　　没多久，领导就找小张谈话，说最近很多人议论工资待遇不公平，问是不是他泄漏了工资信息。小张后悔莫及。

　　对策：设置安全区域

　　在日益开放的办公环境里，共用电脑、借用电脑等情况时有发生。如何防止电脑里保存的机密文档被其他人看到，是非常让人犯愁的事情。

　　过去在企业，企业领导的办公室里往往保存了很多机密文件。他们在办公室里接待客人，却不用担心机密文件被客人看到。原因在于，机密文件保存在保险柜里或锁在抽屉里，进了办公室是看不到这些机密信息的。

　　与此原理类似，用户可以用加密产品在电脑里建一个安全区域，把自己重要的信息和资料放进这个安全区域内，自己掌握开启或关闭这个安全区域的密码、口令。这样，除了用户本人，他人是无法读取这些重要文件的，用户的信息就能万无一失。

　　这种划出安全区域的方法是运用控制台管理程序(管理加密软件创建的分区，如增加、删除分区，口令管理，镜像文件管理)、磁盘格式化模块(实现对虚拟磁盘的格式化功能)、虚拟磁盘模块(实现虚拟磁盘的功能)、磁盘镜像文件的保护和隐藏(保护和隐藏保险箱的数据文件，防止误删除或者非法篡改)等程序和模块来实现加密的。

　　电脑可以存储多种类型的文件，有些文件类型占用空间很大，比如照片、视频等。用户要想对这种大文件进行加密，就要求用户在电脑上创建的安全区域必须足够大。目前加密产品的安全区域空间的上限通常只有4GB，已经不能满足用户需求，加密产品必然要向着创建更大安全区域空间发展。

　　目前，一些加密产品除硬件本身具有加密功能外，还允许用户在使用过程中设置自己的口令。这相当于对信息进行了双重防护。如果他人想偷看你电脑中的文件，就必须同时掌握电脑密码、加密硬件产品的密码。而要想同时获取这几个密码，对非合法用户来说基本上是不可能的。

　　在现实生活中，很少有人会在外人在场的情况下打开保险箱。用户在读取安全区域里的文件时，相当于打开了保险箱，极有可能被人通过网络窃取资料和信息，或者被黑客攻击，导致文件感染病毒。因此，用户在读取电脑里重要信息资料时，应该运行保护程序。用户在对自己设置的保密空间进行更改、增加或存储数据等操作时，应该暂时关闭系统的网络连接，以避免其他计算机访问此机的任何资源，从而增加受保护区域的安全性。

　　互联网上有很多免费加密的软件，用户可以随便下载安装。但是，这类软件的加密功能很弱，非常容易被破jie——因为几乎所有这些软件都存在漏洞。如果用户确实想保护好自己电脑上的机密信息，就必须选择一款安全可靠的加密产品。

　　项目泄密场景二：U盘随意使用

　　2007年8月，中央电视台播放了法制节目《绝密图纸》，讲述了某单位耗费巨资开发的一项专利技术被人非法用U盘将专利技术图纸文件拷贝带走，带来直接经济损失500多万元。嘉宾指出，企业及涉密单位应当采取技术与管理并重的方法来预防泄密。

　　有了U盘，人们就可以方便地从电脑中拷贝文件。这却给保密工作带来难题。如果信息一旦因此泄密，就会使企业陷于被动。

　　对策：外设限制 U盘管理

　　U盘方便了电子文件的拷贝和携带，却让人不省心。外设限制是安全管理上较易疏忽的地方，非法用户往往在外设接口上使用小型数码摄像机、MP3播放器、Flash 存储棒，并随意上载或下载文件。当然，设备限制不能只是对USB接口的限制。当前的终端I/O接口主要有软驱、光驱、刻录机、蓝牙、1394口、串并口、红外口等。

　　丰富多样的计算机I/O接口给用户带来了很大方便，同时也很大程度上增加了管理者的管理难度：如果从终端上封锁接口，就会影响员工的正常工作需求;如不封锁，这些接口又是信息泄密的重要途径。I/O接口的管理容易激化管理者与被管理者之间的矛盾，让管理者处于两难境地。

　　其实，尽管计算机能够提供丰富的I/O接口，但是只有少量接口是工作需要的。及时封闭与工作无关的接口可以降低泄密的风险。通过设备出口访问控制系统，管理员可以集中设定策略、远程开放或关闭接口，同时详细记录相关信息。

　　U盘管理是I/O接口管理中最重要的部分，其核心是要有效地控制U盘的使用方式及使用范围，可以将U盘分成非法U盘和合法U盘两种来管理。合法U盘又分为非受控U盘和受控U盘两种。这两种U盘都需要进行使用权限的设置，可以根据使用者的权限不同来设置U盘的权限。通过授权，U盘可以访问相应级别的涉密终端。非受控U盘不仅可以在涉密区域中使用，也可以在非涉密区域中使用。受控U盘只能在绝密机器上使用。当然，非受控U盘或受控U盘并不能在所有终端上任意使用，也需要根据使用情况进行分配。最后，还要把U盘和目标终端绑定，使用者才可以根据相应的权限正常使用。

　　为了方便不同级别的保密需要，可以创建个人保密U 盘、组内保密U 盘、单位保密U 盘：个人保密U 盘只能让U盘所有人自己打开;组内保密U盘是组内所有人都能打开，但其他组的人无法打开;单位保密U 盘是单位内所有人都能打开，但外单位的人无法打开。

　　如此部署的U盘管理系统，可以防止公司内没有授权的人或者公司外部人员带来的U盘随意接入到公司涉密网络中的任何终端，从而保证了公司内部文件不会通过U盘泄漏。