结论前置
一页看懂
- 分级建设:D(杀毒+网管)→ C(DLP+安全机箱)→ B(沙盒加密)→ A(落地加密)。
- 策略先行:DLP 若不启用"阻断"= 白装;落地加密务必包含"落地加密模块"。
- 远程友好:B 级支持 VPN/带机回家;A 级离网即废,外发可限时/限次/鉴权。
- 低成本优先:D 级把 360 企业云(企业版) 与 MAC 接入做满,再逐级升级。
- 治理闭环:盯 覆盖率 / MTTD / 阻断命中 / 例外透明度 四项,专人巡检。
决策流:
阶段
判断
推荐方案
D级 → 0 预算
C级 → 接入管理/杀毒
B级 → D+沙盒加密
A级 → 落地加密
行动卡片:
D 级
D - 杀毒 + 网管
优点:申请付费试用 0 成本、快。
缺点:防不住主动泄密与 APT,尽快升级。
C 级
C - 记录/阻断)+ 安全机箱
- DLP:外发/网盘/U 盘行为 记录 + 阻断;只记录=白装。
- 机箱:核心开发机断网/上锁,形成“数字黑屋”。
成本:≈200 元/节点/年;
盲区:本地明文/物理拷盘。
B 级
B - 沙盒加密(远程友好)
- 沙盒内自动加密,脱离授权即打不开;与 VPN 适配。
- 策略按 目录/程序/类型 细粒度配置;员工有非受控“隐私区”。
建议:有远程需求优先;沙盒外配 DLP/日志补盲区。
A 级
A - 落地加密(拷走打不开)
- 外发 限时/限次/水印/联机校验;全链路审计。
- 务必采购含 落地加密模块 的套件;研发先试点调白名单。
成本:≈500–1500 元/节点/年;需专人维护策略。
四级对比表
| 等级 | 防护方式 | 适用阶段 | 核心优势 | 主要缺陷 | 预算级别 | 维护难度 |
|---|---|---|---|---|---|---|
| D级 | 杀毒 + 网管(360 企业云) | 项目初期/小团队 | 零成本部署;资产与接入管理 | 难挡主动泄密/有意攻击 | 极低(免费) | 低 |
| C级 | DLP(记录/阻断)+ 物理安全机箱 | 开发初期 | 文件流转留痕;物理隔离兜底 | 本地明文/换盘难防 | 低(≈200 元/台/年) | 中 |
| B级 | 沙盒加密 + VPN | 中期/远程协作 | 沙盒内自动加密;远程友好 | 沙盒外需 DLP/审计 | 中(≈300–800 元/台/年) | 中 |
| A级 | 落地加密 + 策略网关 | 核心 IP/成熟期 | 离网即废;外发可控 | 初期兼容与策略调优 | 中高(≈500–1500 元/台/年) | 中高(需专人) |
升级建议
生存阶段
- 做满 D 级:360 企业云集中管理 + MAC 接入
- 黄金镜像 + 资产/USB 清单 + 未受控主机清零
成长阶段
- C 级:DLP(含阻断)+ 核心机物理隔离
- 先堵“无意识泄密”,留痕可追溯
成熟阶段
- 有远程 → 先 B 级;吃过泄密亏 → 直上 A 级
- 专人巡检 + 外发治理闭环 + 免加密备份
| 事项 | Owner | Security | IT/运维 | Dev/Art |
|---|---|---|---|---|
| 数据地图/策略定义 | CTO/技术负责人 | R | C | C |
| DLP/加密策略下发 | Sec | R | A | I |
| 镜像/资产/接入管理 | IT | I | R/A | I |
| 外发审批与例外 | 业务 Owner | R | C | A |
| 巡检与审计报表 | Sec | R/A | C | I |
RACI 说明:
R = Responsible(直接执行/负责),A = Accountable(对结果最终负责)
C = Consulted(被咨询/协助),I = Informed(被告知/知情)。
监控 · 审计 · KPI
覆盖率
受控主机 / 全部主机 ≥ 95%
MTTD
可疑事件平均发现时间 < 24h
阻断率
外发/USB 阻断命中趋势
例外透明度
外发授权次数/人/项目
提示:购买任何工具前,先画“敏感数据地图”,再让厂商按地图配策略;否则“买了=没上”。
© 游戏公司安全-防泄密-运维精英社共同学习