1996年，第一部《碟中碟》上映了經(jīng)典一幕，主角伊森(湯姆·克魯斯 飾)從“絕對安全”的中情局保險庫的通風(fēng)口吊著繩索空降房間盜取光碟，偷走了包含該地區(qū)特工真實姓名的NOC名單。

這是影視劇中典型的數(shù)據(jù)泄露的例子，而其中使用的也是我們現(xiàn)在可能碰到的最簡單的一種數(shù)據(jù)泄露方式——用USB等移動驅(qū)動器插入企業(yè)服務(wù)器，將敏感信息帶離。

▲《碟中諜》1電影截圖

現(xiàn)如今隨著技術(shù)的進步和企業(yè)數(shù)據(jù)的增加，數(shù)據(jù)泄露已屢見不鮮，從技術(shù)盜取到簡單的人為疏忽，根據(jù)IBM和Ponemon Institute 的2020年數(shù)據(jù)泄露成本報告顯示，52％的數(shù)據(jù)泄露是由惡意外部人員造成的，另外25％是由系統(tǒng)故障和攻擊造成的，約23％屬于人為錯誤。

▲圖源自IBM《2020數(shù)據(jù)泄露成本報告》

數(shù)據(jù)泄露，防不勝防。人為錯誤作為數(shù)據(jù)泄露的三大根本原因之一，如何解決內(nèi)部數(shù)據(jù)泄露，水印技術(shù)為企業(yè)提供了一種思路。

數(shù)字水印

在我們?nèi)粘Ｉ詈凸ぷ髦凶畛Ｒ姷氖菙?shù)字水印，它是通過文字信息展現(xiàn)水印的一種方式。數(shù)字水印內(nèi)容既可以配置成自定義的固定內(nèi)容，也可以展現(xiàn)由系統(tǒng)預(yù)定義的宏來顯示。

▲聯(lián)軟科技-數(shù)字水印

數(shù)字水印也稱為明文水印，可以在日常工作中對員工起到提醒和警示的作用，如果文件信息泄露后可以定位泄密者。但有些重要文件還是不免被悄咪咪處理掉水印后泄露到外部，那么就需要稍“隱秘”的水印方法了。

二維碼水印

二維碼水印，顧名思義就是通過二維碼的形式展現(xiàn)水印。水印默認(rèn)在頁面右下角打印二維碼塊，二維碼塊可以通過微信或者其它二維碼掃描工具進行掃描，掃描后即可彈出所配置的數(shù)字水印內(nèi)容。

▲聯(lián)軟科技-二維碼水印

對于二維碼水印屬性，聯(lián)軟支持多種自主配置?？梢愿鶕?jù)客戶需求調(diào)整二維碼顯示位置和二維碼內(nèi)的圖標(biāo)，同時，可以自定義二維碼在屏幕中的水平起始百分比。

圖片水印

圖片水印主要將水印以圖片的方式展現(xiàn)，使得水印變得統(tǒng)一，而且可通過調(diào)整圖片的大小、顏色與位置，將視覺影響度降最低。

▲聯(lián)軟科技-圖片水印效果

屏幕矢量水印

屏幕矢量水印拋棄原有了“所見即可得”的水印方式，用一種“輕微型”標(biāo)記的方式來展現(xiàn)水印，近乎等同于“隱形水印”。

如果有屏幕拍照或者截屏，一旦發(fā)生泄密事件，即可通過泄密照片上的矢量水印信息快速鎖定泄密者。而對于打印，還增加了水印審計信息，不僅可以事后根據(jù)打印紙張上的不規(guī)則水印鎖定泄密者，還可以事先發(fā)現(xiàn)“違規(guī)”打印審計信息，預(yù)先防止。

需要提到的一點是，屏幕矢量水印無論照片如何壓縮、優(yōu)化、折疊都不會影響到水印信息的審計和泄密源的定位。只需要在查詢頁面中，輸入水印信息進行查詢，就可以鎖定泄密人。如果得到的泄密的圖片不夠完整，系統(tǒng)也能支持查詢出精確度最高的結(jié)果。

此外，屏幕水印可以任意選擇、組合水印應(yīng)用的范圍，如業(yè)務(wù)系統(tǒng)、辦公軟件、安全虛擬磁盤（O盤）等等。

▲設(shè)備應(yīng)用屏幕矢量水印

▲打印水印效果展示

了解了上述四種防泄密的水印方法，有沒有快速下發(fā)和應(yīng)用水印的方法？在這里主要分享一下無代理水印和有代理水?。?/p>

? 有代理水印

有代理水印即需要安裝客戶端才能使用的水印功能，需要配合管理后臺配置水印效果實現(xiàn)屏幕水印、打印水印。

管理后臺水印可配置參數(shù)內(nèi)容包括【水印格式、水印顯示位置、水印字號、密度、顏色、應(yīng)用范圍、觸發(fā)場景】。水印支持在以下場景中觸發(fā)啟用：
1、開機加載水??；
2、訪問指定業(yè)務(wù)系統(tǒng)或虛擬安全磁盤時加載水??；
3、訪問指定格式的文檔加載水印；
4、啟用指定進程加載水印；如：瀏覽器、文檔編輯器、數(shù)據(jù)庫查詢分析器、Telnet/SSH終端、圖片編輯器、郵件客戶端、工程圖紙編輯器、軟件開發(fā)編輯器；
5、訪問指定敏感信息的文檔內(nèi)容加載水印。

? 無代理水印

用戶無需安裝任何agent也能在訪問業(yè)務(wù)系統(tǒng)時附加水印。

將企業(yè)業(yè)務(wù)系統(tǒng)與水印服務(wù)器進行對接，當(dāng)用戶訪問與水印服務(wù)器對接完成的業(yè)務(wù)系統(tǒng)時，業(yè)務(wù)系統(tǒng)將會調(diào)用水印服務(wù)器的接口，返回給用戶附加好個人水印的頁面。

? 文檔保護平臺（無代理）

針對企業(yè)的敏感文件泄露，水印系統(tǒng)將業(yè)務(wù)系統(tǒng)、文檔系統(tǒng)保護起來，讓人只能在線瀏覽，并增加水印防止拍照，如果一定要下載下來，也可結(jié)合防泄密功能限制外發(fā)，從而起到文檔系統(tǒng)、應(yīng)用系統(tǒng)的敏感信息被泄露。

?水印應(yīng)用實踐

碧桂園集團用戶辦公電腦多為BYOD設(shè)備。水印系統(tǒng)建設(shè)在不裝客戶端的情況下，對關(guān)鍵業(yè)務(wù)系統(tǒng)加載數(shù)字水印，實現(xiàn)針對通過拍照、截屏或打印等方式導(dǎo)致泄密的行為進行追溯。無代理、不安裝客戶端，覆蓋公司內(nèi)所有類型的辦公終端，實現(xiàn)對業(yè)務(wù)系統(tǒng)頁面內(nèi)容/文檔的水印保護。