编者按：防火墙、入侵检测、内外网隔离以及其它针对外部网络的访问控制系统，难以解决内部的网络安全问题。对于一个凭借数据生存的网站，应该如何建立起自己的安全系统呢？
　　
　　我公司较早就建立了自己的网站，网站的数据经过筛选验证之后输入到业务管理系统，经过几年的积累，拥有几十万条客户信息和上百万条交易信息的业务管理系统成为我公司最重要的财富。
　　
　　但是，上个月发生了一件事情，在我们的客服作例行回访的时候，发现有一部分客户接到了一家公司的电话，而且时间十分集中。得知这一消息之后，公司领导十分着急，认为这是内部人员将资料通过移动存储设备或者网络泄露出去，为了杜绝这类事件的发生，让我想办法把电脑的外部接口全部监控起来。
　　
　　这对我来说难度太大了，心事重重的走出来，想了半天也是一无所获，最后只好动用群众的力量了。下午三点，我把技术部的同时召集起来，共同商议如何解决监控的问题。
　　
　　“可以把全部的usb端口封起来，这样的话那些移动存储设备不就没办法拷贝资料了吗？”
　　说话的是小郭，新来的，考虑事情有点简单化。
　　我耐心跟他解释：
　　“这样做是不行的，我们现在经常的使用移动存储，可以说只有极少一部分是在窃取资料，如果因为这个就封掉usb借口，那以后的工作怎么做？如果你想拷贝一个文件，怎么拷贝，我看问题的关键在于怎样监控，而且是自动监控，我们不能把有限的时间用在无限的偷窥上。”
　　“我倒是见过这种软件，好像叫做什么了？跟防火墙有点像，对了，叫做防水墙，一个特别好的软件！”
　　
　　在建州的介绍下，我最后采用中软防水墙系统，圆满地解决了这一难题。
　　
　　中软防水墙系统包括三个部分，这个和大部分网络版的杀毒软件有类似之处
　　
　　防水墙总服务器
　　防水墙服务器包括服务器端软件、支持数据库和授权硬件。防水墙服务器通过安全认证建立与多个防水墙客户端系统的连接，用于对多个客户端系统的配置、管理、审计等，是防水墙系统的核心部分。
　　
　　防水墙控制台
　　防水墙控制台是实现系统管理、参数配置、策略管理和系统审计的人机交互界面软件系统。控制台采用分权分级的授权模式，以提高系统的安全性，保证监测信息的保密性。我们在内网建立了多个控制台，以便管理。
　　
　　防水墙客户端
　　防水墙客户端是安装于受监控主机上的监测软件，实时检测受控主机的行为，实现防水墙系统的安全策略，是站在客户机旁边的安全哨兵。防水墙客户端可远程自动安装和升级，并采用了严密措施防止本地用户自行卸载、关闭监控程序。

　　中软防水墙系统安装之后，对公司内部计算机网络可以做到以下监控
　　* 各种方式邮件的监控与审计；
　　* 移动存储设备的访问控制；
　　* 光驱/软驱设备的访问控制；
　　* 外设接口的控制；
　　* 敏感信息访问的权限重分配；
　　* 各种类型打印的监控与审计；
　　* 网络化失泄密事件的监控与审计；
　　* 主机软硬件资源的管理；
　　* 非法外联与非法接入的控制；
　　* 对“违规”行为进行有效的监控和阻断；

　　安装好了之后，中软的安装人员还当场作了一个示范。

　　
　　A为我公司普通职员，利用u盘拷贝公司资料，结果被拒绝。
　　B为公司主管，利用u盘拷贝公司资料，拷贝之后在“黑匣子“（注1）系统里可以看到该用户的操作记录，而且通过对文件的比照，可以很轻松的判断是否泄密。
　　“注1：防水墙系统引入了系统运行状况黑匣子的概念。专业人员可以根据失事飞机所携带的黑匣子分析飞机失事前的工作状况以追溯查找失事的原因。“
　　
　　而且，在整个操作过程中，我感觉不到防水墙的存在，就像正常情况下一样，打开、编辑、修改、存盘，其间的加密、解密和痕迹保留过程由系统自动完成。防水墙对于我来说是透明的，没有改变任何使用习惯。
　　
　　而且，与杀毒软件不同的是，防水墙的客户端不能在本地删除，这与杀毒软件不同。不过这也是完全可以理解的，如果客户端很容易被关掉了，那就像监控系统被人去掉了摄像头，监控也就无从谈起了
 
　　中软防水墙系统WaterBox的安装时间不过半天，也不需要很多维护，运行一个月来已经几次拒绝了非法接入和非法外联，并及时地进行报警和阻断。尤其是对那些宝贵的客户数据进行了安全保护，使得公司能够放心的开展业务。
　　
　　公司领导对此十分满意，特地请我们技术部吃饭，并且鼓励我们眼光长远，为公司的上司贡献自己的力量。对此，我们纷纷举杯，兴奋得表示自己酒精考验，一定可以圆满地完成领导布置的任务。