现在员工上班时间都会用到电脑，平时工作中形成的劳动成果、重要文件等常常存在自己的电脑上，这样虽然方便了员工工作，但也使得员工可以轻易将电脑文件通过各种方式泄露出去，比如通过U盘、移动硬盘甚至手机等USB存储设备，或者通过邮件附件、网盘、FTP文件上传、QQ发送文件等发送出去，从而使得企业电脑文件安全面临着巨大的风险，企事业单位必须采取有效的举措加以防范。

一、泄密主要途径：

1、办公自动化泄密渠道：
①电子计算机电磁辐射泄密；
②联网（局域网、国际互联网）泄密；
③用作传播、交流或存储资料的光盘、硬盘、软盘等计算机媒体泄密；
④计算机工作人员在管理、操作、修理过程中造成的泄密；
⑤传真机、电话机、电传机、打印机、文字处理机等都存在着电磁辐射泄密。
防范措施：注意机房选址，对机房、主机加以屏蔽或对计算机安装电子干扰器。对进口计算机要在使用前进行安全检查。涉密计算机系统决不上网，已上网的要坚决断开，对计算机网络要加装“防火墙”等安全设备。送出去维修前，要彻底清除涉密信息。要加强对用作传播、交流或存储资料的光盘、硬盘、软盘等计算机媒体的审查和管理。对秘密信息要进行加密存储和加密传输。建立健全各项保密管理制度。对工作人员进行审查、教育，严守保密规章制度。
2、涉外活动泄密渠道：
①涉密单位未经同意接待境外人员参观访问；
②同境外人士交往时，介绍未公开的秘密事项；
③未经批准向境外提供涉密资料；
④见利忘义，出卖党和国家秘密。
防范措施：接待境外人员的参观访问要经过上级主管部门的同意和安排。在参观访问中，要从实际出发，事先规定参观的区域、路线，标明禁区。向参观人员介绍情况不得涉及国家秘密，不得携带密件。涉外人员要热爱祖国，不做有损于国格人格的事，不拿原则作交易，不得利用职权谋私利，出卖党和国家秘密。
3、通信泄密渠道：
①无线通信中使用的移动电话、无绳电话（子母机）、对讲机、无线电台等在传输信息时向空中发射电磁波；
②有线通信中市内电话普遍存在串音泄密、架空明线存在载波辐射泄密，在有线通信接转无线通信时容易造成空中泄密、寄生振荡辐射泄密。
防范措施：在无线和有线通信中，要采取专用电话网、地下电缆、光纤通信、模拟加密和数字加密技术（保密机）等设备来防止泄密。特别要注意不在移动电话中谈论秘密事项。
4、文书处理泄密渠道：
①密件起草、印制过程中泄密；
②密件传阅过程中泄密；
③密件保管、销毁过程中泄密。
防范措施：密件和修改稿要按保密要求妥善处理，对于定稿的密件稿本，必须由机关的主管领导或部门负责人审核、签发。密件印制要严格按照领导批准的发送范围和份数执行，密件印刷应在定点单位保密车间由专人进行，印制中产生的废页、印版等应及时销毁。传阅密件必须严格限制在文件规定或领导指示的范围内，送领导同志阅读的密件，要及时收回。密件必须放在有安全保障的库房或文件柜内保存，并有专人管理。对于需要销毁的秘密文件，应先登记造册，经过鉴别和主管领导人批准后，在两人以上监督下销毁或送保密部门指定地点销毁，不允许向废品收购部门出售秘密文件或将文件作包装、裱糊纸等用。
5、宣传、新闻、出版泄密渠道：
有关部门和单位在采访搜集素材、撰写稿件、编审发稿等环节上把关不严，将秘密事项公开发表。
防范措施：对从事宣传报道和新闻出版工作的同志，要进行保密知识的宣传教育。要严格执行稿件的保密审查制度，不能确定的稿件必要时可送有关业务主管部门或保密部门审定。
6、其它泄密渠道：
①同身边工作人员和亲友、家属、子女交谈时泄密，或违反规定把秘密文件带回家中被家人传看泄密；
②在公共场所或社交活动中信口开河造成泄密；
③涉密会议未采取保密措施，会议设备无保密保障；
④出国人员未经批准将涉密文件资料携带出境；
⑤秘密信息载体被无关者知悉、获取，或在无保密保障的条件下工作而丢失、被盗。
防范措施：不在公开场所和社交活动中，不在亲友、家属、子女及其他无关人员面前谈论党和国家秘密，不将密件带回家中看。记有秘密事项的笔记本应严格保管，用后交密件管理部门统一销毁。不使用无保密保障的有线、无线通信和普通邮政传递党和国家秘密。不在出国访问、考察等外事活动中携带秘密文件资料或物品，确因工作需要携带的，应按有关规定办理审批手续，并采取严密的保密措施。

二、防止数据文件泄密的主要方法：

    为了防止资料泄露，技术层面的解决办法是：
    1、禁止USB文件复制：可使用Anyview(网络警)网络监控软件禁止掉USB方式复制文件；
    2、严格监控互联网传输和上网行为监控：可使用Anyview(网络警)网络监控软件对上网行为监控管理；
    3、进行打印监控：可使用Anyview(网络警)网络监控软件或绿盾透明加密软件对打印行为控制对打印内容监视；
    4、严格加密数据：直接使用绿盾透明加密软件将数据自动加密，脱离网络就自动加密了就是最好的防止泄密和防窃取的办法；

    针对以上需求，我们需要做到以下功能：

    ● 可彻底禁止使用USB存储设备。「受到限制的存储设备包括：U盘、闪存、USB移动硬盘、USB刻录机、MP3、MP4、DV摄像机、手机存储卡等等，但本选项对于USB键盘、USB鼠标及USB手写笔等非存储设备不受影响」

    ● 可彻底控制使用USB存储设备。「通过本功能可实现对USB存储设备进行“只读访问”、“禁止访问”、“读写访问”等驱动级别的控制,“只读访问

    ● 可禁止打印。「通过系统底层实现禁止计算机LPT和USB打印端口，防止用户通过打印泄密资料」

    ● 对硬盘数据透明加密。「在透明加密环境里可正常使用，但一旦被非法抄袭复制将自动变成密文，从而自动加密保护数据资料泄密」

    ● 对U盘认证。「只允许指定的U盘可用，外来的非允许的U盘禁止使用」

三、专业的USB端口监控软件：

    在很多企事业单位局域网中，处于网络安全的考虑，很多网管员一般都要禁用电脑USB接口使用、限制员工随意插U盘、移动硬盘等USB存储设备，以保护单位的信息安全和商业机密。但是如何最有效控制USB接口使用、禁止USB口使用呢？笔者汇总了当前国内所有管理USB口使用的方法，提供给国内广大网管员更好地禁用计算机USB接口，尤其是禁止USB存储设备的使用。
     当然，如果企业想直接禁止计算机USB接口使用，则可以部署专业的USB控制软件，如当前国内流行的“Anyview(网络警)网络监控软件”（www.amoisoft.com），可以直接禁用U盘、禁止移动硬盘、禁止手机存储、限制蓝牙使用等等所有可能涉及到存储设备的接口，从而可以最大限度的保护单位信息安全和商业机密；同时，在禁止USB存储设备的同时也不会影响USB鼠标键盘和加密狗等非USB存储设备，从而可以实现USB接口的精准控制。只不过，这些监控U口使用的软件常常需要付费才能使用。

四、专业的打印监控软件和透明文件加密软件：
    通过绿盾信息安全管理软件，系统在不改变用户原有工作流程和文件使用习惯的前提下，对需要保护的文件进行强制加密保护，并对文件的使用进行全程监控，有效防止了被动和主动泄密，消除内部安全隐患于无形之中； 
    解决问题：简单一句话：拒绝非授权的文件泄密和抄袭复制，即使被私下复制都是自动加密无法阅读；
    ·防止单位内部机密电子信息泄露；
    ·可追查信息泄露的渠道；
    ·普遍适用于各种格式的电子文档；
    ·从根本上解决了电子文档的二次传播，有力保障企业信息安全；
    ·有效管理、监控局域网内电脑，提升办公效率 。
    绿盾信息安全管理软件由文件加密模块、文件外发控制模块、打印内容监控模块、U盘认证管理模块、文件管理控制模块组成:

 可下载软件下载实际测试; 或购买中心购买；

五、其他十二种防范数据泄密的方式：

    第一种、禁用BIOS的相关设定

·优点设定容易做法简单

·缺点BIOS的管理密码可能被破解
      在主板的BIOS设定里我们可以将USB端口的功能设定为禁用。由于设定十分容易做法简单因此成为企业经常用来管理USB设备的手段。为了防止员工自行进入BIOS重新启用USB端口的功能一般在完成设定之后IT人员会同时设定BIOS的管理密码只有相关获得授权的人员才能访问、更改BIOS设定。需要特别注意的是BIOS与USB端口相关设定的名称与位置往往随品牌的不同而有所差异甚至没有这方面的设定。此外BIOS的管理密码并非设定之后就无法破解。只要进行主板放电操作也就是将主板上的纽扣电池取出后、再重新放回BIOS密码就会恢复成默认值而员工就能趁机进入BIOS更改设定。不过对企业来说一般都不允许员工私自拆装公司所配发的电脑而只要非IT部门的人员在进行类似的动作时就很容易引起其他人的注意。而在机密数据外泄事件发生后此人自然会成为公司重点排查的可疑对象。在主板的BIOS设定里我们可以将USB端口的功能设定为禁用。
     第二种、贴上易碎贴纸
 ·优点用肉眼就可以分辨电脑的USB端口有无使用过的迹象

·缺点贴纸不小心破碎时容易引发不必要的误会
      这种做法经常见于高科技园区的许多IT企业适用对象多半针对企业的来访者较少使用在内部的员工电脑。来访者将笔记本电脑携入办公区之前门口的接待人员会在该台电脑的USB端口与网络端口上粘贴一张易碎贴纸以确认来访者在进入企业内部的这段时间里是否曾经通过这些通用接口联接外设设备或者存取数据。用易碎贴纸控制USB好处在于只要通过肉眼就可以分辨电脑的连接端口是否曾经使用过可是一旦贴纸因为各种原因而产生破裂就很容易造成误会。这时IT人员有权检查来访者的电脑看硬盘里是否存放了本企业的机密数据在确认无异状之后才会放行让来访者把笔记本电脑带走。
     第三种、移除主板上的USB跳线的连接线

·优点使USB端口功能达到真正的完全失效。
·缺点管理上欠缺弹性日后重新启用USB端口功能的时候需要打开电脑机箱插回跳线的连接线。移除主板上跳线Jumper的连接线同样能够实现禁用主板上的USB端口的功能。不同于在BIOS将USB端口功能设定禁用跳线的连接线之后USB端口的功能达到真正的完全失效不但无法读取U     SB设备同时不能通过USB给连接在电脑上的USB外设供电。当企业因为业务上的需求而要启用USB端口功能的时候就必须先将电脑机箱打开、将跳线的连接线插回去做法上较为麻烦。
     第四种、用热熔胶堵住端口
 ·优点可彻底封锁USB

·缺点USB端口硬件随之失效无法使用
      也有许多企业尤其是政府机关、安全机构经常是以热熔胶等填充物堵住电脑的USB端口不让员工使用一旦封锁之后即无法再连接任何的USB外设设备。这是一种破坏性的封锁方式当填充物注入USB孔时USB接口也会随之损坏而永久无法使用。
     第五种、插上专用适配卡或硬件锁
 ·优点重新启用时不需要拆掉硬件或者重新开机原有的电脑操作不会因此中断或改变

·缺点管理弹性较差
      有一些现成的硬件设备能够帮助企业管理USB的使用。市面上有一种适配卡式的产品插在主板上的PCI插槽之后USB等外设连接端口的功能就会随之失效。产品本身附有一个遥控器如果日后还有使用USB的需求只要按下遥控器上的按钮连接端口的功能就会开放同时不影响电脑目前正在执行中的电脑操作。还一种是硬件锁可以锁住电脑上的连接接口但根据使用需求而取下恢复USB端口的功能不像使用热熔胶灌入USB插口时会造成硬件界面的损坏。某些品牌电脑的厂商就推出了这样的产品设计让习惯采购同品牌电脑的企业作为选购配件另外在一些电脑卖场也能找到具有类似功能的产品。
     第六种、利用员工群组原则集中控制
 ·优点适用于大量电脑环境可批量强制实施统一设定

·缺点人性化不足管理弹性较差
      员工人数稍有规模的企业一般都会在内部架设Windows Active DirectoryAD服务器并将所有电脑加入网域以便实施统一控制。有了这样的集中管理环境IT人员就可以在一台电脑中处理完所有员工电脑的控制措施不用像前面几种方式一样需要到每一台电脑手动设定。企业可以通过设定群组对象原则GPO的方式在AD服务器的管理界面执行相关的设置接着将规则发送到所有员工的电脑中就可以关闭外设设备的使用权限。不只是USB储存设备企业也可以使用相同方式控制光驱、LS-120以及软驱的使用。
     第七种、修改电脑Windows系统的特定注册表项
 ·优点设置简单
·缺点对于了解电脑操作的人来说效果有限
      对于连接过USB储存设备的电脑可以利用修改注册表设置的方式禁止员工在电脑上使用USB储存设备。开启Windows的登录编辑程序在“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceUSBSTOR”的项目下找到Start数值点选开启之后将数值由预设的3修改为4就能将USB储存设备设置为禁用。此种做法对于知道如何修改注册表的员工来说随时可以将注册表项设置恢复成默认值继续在电脑上使用USB储存设备。如果企业有使用Windows Vista则可以群组设置中将移除式磁盘驱动器的项目设置为拒绝授予读写权限。直接修改电脑内的特定注册表项也可以达到USB禁用的效果合适少量电脑的封锁。
     第八种、删除USB储存设备的驱动程序

·优点可针对不同USB设备个别控制

·缺点仅能针对先前未曾连接USB储存设备的电脑
      适用于未曾连接过任何USB储存设备的电脑。在“C:WINDOWSinf”路径下可以找到usbstor.inf、usbstor.PNF两个安装信息文档这是Windows系统用来辨识USB储存设备的驱动程序。我们可以针对这两个文档设置存取权限修改文件名称或者直接删除文档就可以让让员工无法在自己电脑上使用USB储存设备。相同的做法也能用于打印机、网络摄像头等USB设备的管理。
     第九种、采用外部设备控制产品的解决方案
 ·优点可根据需求开放一部分的功能具备良好的管理弹性
 ·缺点无法防止员工以编辑修改的方式将机密数据外流
      企业对于USB的管理需求往往不只是单纯的开与关而己而是希望根据实际需求来决定要开放什么样的功能在此种情况下就需要导入外部设备的控制产品来达成这项目的。这类产品通常会通过安装在用户电脑上的代理程序实施管理而且能够整合Windows AD、LDAP等目录服务让同一部门、相同群组的电脑套用相同的规则做管理省去个别调整设置的麻烦。除了设置开关之外这类产品对于外设的插口可以提供相当精细的管理功能对于USB储存设备可以设置成只读属性只能阅览移动U盘里的数据但不可以执行写入的动作对于智能型手机这类员工工作上经常使用到的设备通过某些这类型的产品可以只允许电脑与手机之间交换通讯簿与行事历但不能将电脑里的数据复制到手机上的记忆卡里。企业可以在员工将数据写入USB储存设备的时候可以备份到指定的储存空间供企业日后稽查检查之用不过也有企业为了避免数据储存上的麻烦只是记录文档的传输动作将此台电脑何时传送了什么样的文档记录起来不过这样一来对于员工以编辑修改的方式将机密数据外流的做法产品就无法有效地加以管理。除了市面上的产品之外网络上也有许多免费版本的USB控制软件比如USB Blocker不过也要注意某些工具有可能是广告软件或间谍软件。

     安全厂商的SSL VPN设备提供一种称为虚拟桌面的应用服务当员工从外部网络连接内部网络之后电脑上的屏幕画面就会自动切换成虚拟桌面任何存取或修改数据的动作都必须在此区域进行。而Windows Server的终端服务是一种可供多人同时执行远程服务器上应用的程序环境这类型解决方案有一项功能是允许联机阶段将员工端本机电脑上的磁盘驱动器、打印机等设备自动联机成为远程电脑上的网络磁盘驱动器有可能会因此形成机密外泄通道。该怎么防护我们可以在本地端电脑设置相关的本机群组原则——关闭磁盘重新导向的功能禁止员工将远程电脑上的机密数据下载。
     第十二种、实施DLP数据丢失防范解决方案
 ·优点可以有效防止机密资料通过各种途径外流同时无需封锁USB端口功能
·缺点对于非Windows平台的控制效果较差
 DLP数据丢失防范是更进一步的机密数据安全保护方案功能上不但包含外部设备控制的功能更结合数据过滤的方式从文档内容着手在不影响USB端口功能的情况下将含有机密内容的数据拦阻下来不允许复制到USB储存设备或者通过网络传送出去。
     第十二种、使用专业的管理U口使用的软件
 ·优点可以非常简单有效地控制USB存储设备的使用而不影响USB鼠标键盘和加密狗，从而可以更好地适应当前电脑普遍使用USB鼠标键盘的情况，避免通过BIOS完全禁用USB接口而影响USB鼠标键盘的使用，从而可以实现更为精准的管理。如本文开头提到的、国内较为知名的“大势至屏蔽USB接口使用软件”（百度搜索下载使用即可）
·缺点作为商用的USB控制软件，常常需要付费才可以使用。
 总之，企业禁用U口使用、限制U口使用的方法很多，但总体而言通过专业的USB口控制软件来监视USB接口使用，是当前国内管理电脑USB接口最有效、最直接和最精准的控制方法，可以更好地帮助企业保护单位信息安全和商业机密。