针对如上安全风险，深信服科技总结多年来基于用户需求的上网行为管理产品研发经验，提出如下解决方案：

　　精准识别上网用户身份、保证行为与用户一一对应

　　防范泄密风险的前提，是对泄密事件、行为的准确定义，尤其认定用户身份的重要性不言而喻。

　　对上网人员的身份认定有多种方式：需用户手动参与的Web认证、无需用户参与的IP/MAC认证、USBkey硬件认证、AD/POP3/Proxy单点登录认证、第三方LDAP/Radius/AD服务器联动认证等，可结合组织各部门的具体情况选择合适的认证方式。

　　最小化访问权限，控制BBS等外发内容

　　间谍的目标对象不仅仅是大型文件，组织用户通过BBS、BLOG、IM等公开的蛛丝马迹也可能凑出一幅完整的拼图。

　　通过预分类URL库和融合人工智能的“网页智能识别”技术、应用控制技术，管理员可根据各部门涉密级别设定如下策略：封堵论坛、博客、BBS等网站;访问权限差异化，仅满足部门业务要求的最小化网络访问权限;采取“看贴不能发帖”“webmail能收不能发邮件”功能平衡人性化和信息保护;基于多关键字过滤敏感信息(发帖、邮件)，一旦匹配到相关关键字，马上拦截并发起告警。

　　邮件过滤与延迟审计

　　邮件承载着组织日常沟通和业务开展所需数据，为了从正常业务邮件中过滤潜在的泄密邮件，管理员可设定基于关键字、收发件地址、附件类型/大小/个数、收件人个数等条件的邮件拦截策略，一旦匹配，马上拦截并发起告警。

　　对于涉密级别较高的部门，建议管理员采用“邮件延迟审计”技术，设定拦截条件(全部拦截或有条件地拦截)，一旦匹配，该邮件将被扣留不予发送，待审计员人工审核后再做处理，机密保护更进一步。

　　基于特征的外发文件类型识别

　　泄密者往往删除或篡改文件扩展名，压缩或加密文件后再外发，钻传统设备的漏洞以躲避识别和管理。所以，必须通过“文件特征”识别真正文件类型，解压识别被压缩的文件类型，并向管理者报警，杜绝企图逃避管理的泄密外发行为。

　　封堵木马、黑客远程控制

　　安全意识薄弱、安全级别低下的终端在威胁泛滥的互联网上极易感染木马、间谍软件，或被黑客控制。

　　为了防患于未然，管理员应拦截成人、色情网站等病毒、木马的温床，过滤危险脚本、恶意插件，并依据终端安全级别赋予上网权限。一旦终端不幸感染，并通过80、221等常规端口外发信息， “危险流量识别”模块能有效识别、报警、封堵，提供全方位保护。

　　记录泄密证据，确保有据可查

　　为了追踪安全事件责任人、了解泄密程度、定位泄密文件去向，组织必须保留适当期限的外发信息日志、上网日志，并通过图形化的日志统计、查询、检索工具，快速定位可疑行为。

　　AC提供“泄密风险智能报表”能根据管理者设定的行为特征自动挖掘(如外发邮件关键字、使用http上传次数)，及时发现潜在的泄密用户、泄密行为，并自动发送至指定邮箱，以更少的工作量实现更超前的泄密风险侦测。

　　为保障信息安全，建议管理员为组织高层领导配发“免审计Key”免除过分审计带来的泄密风险，配备“日志查看权限key”保护日志信息安全。

　　加强终端用户安全级别的防护

　　终端用户安全防范意识薄弱是被动泄密的根源，为主动增强终端安全级别，管理员可采用终端检查与网络准入功能，使用AC定期检查指定用户终端操作系统版本、补丁安装情况，指定杀毒/防火墙软件的安装、运行、更新情况，以及检查终端硬盘文件、注册表、系统进程，禁用非法外联线路，甚至自行编写脚本程序实现终端个性化检查。对于不符合组织安全要求或IT制度的终端，可禁止其上网或警告提醒，从而强化促使用户”自觉”提升终端安全性，强化组织的内网安全环境。

　　互联网上没有绝对的安全，也没有完美的解决方案，提高用户安全意识，配合技术手段，才是防范泄密风险的根本应对之策。