01

二、由松到紧

对于员工来讲，舒适的办公环境肯定是和信息安全保护手段，有所矛盾的。终端安全软件在员工电脑上的安全部署，不得不考虑性能消耗和兼容性的问题。尤其是终端DLP，常常会听说有小哥哥小姐姐吐槽电脑变卡了，微信钉钉都变慢了等等。那么为什么会有这种卡顿存在呢？

其实这是不可避免的，因为不同终端DLP厂家采用的都是相似的“进程注入”方式来监控和阻止的。例如员工将要发送的文件拖动至微信聊天窗口，这个拖动动作会被终端DLP客户端Hook过来，被DLP客户端注入，或者由DLP客户端代理完成。在”拿”文件的过程中，先要通过DLP客户端对文件内容的检测。这个内容检查的动作势必需要一定时间，且一定要等内容检查完成后，DLP客户端才会把文件的控制权交还给应用程序（微信）。于是，在终端的员工看来，原先正常顺时完成的拖动文件动作，被卡顿了半秒左右（视文件内容）才完成。

而在实际应用过程中，除了发送文件时，其他打开应用程序、聊天打字的过程偶尔也会有变卡的现象，这也属正常。因为“进程注入”的方式针对的是进程，而进程名称始终是不变的，发送文件时是wechat.exe，打开、浏览、打字等动作时也是wechat.exe，那么只要是进程读取的文件，包含发送的文件、缓存临时文件、配置文件、日志文件等均会进行内容检查，造成卡顿。当然也有应对的优化办法，具体效果要看产品实力和服务商的水平。

那么在这种客观条件下，特别考虑到许多单位原本桌面环境就比较复杂、不统一。我们服务商不建议在实施终端DLP初期，就建立特别多的保护策略，与原先使用体验相差过大，给终端员工造成不佳的印象。我们会和甲方沟通，先梳理5至6项特别优先关注的传输通道，哪些是最有可能造成敏感信息泄露的来进行实施。比如说即时聊天工具、浏览器、邮件客户端、网盘、USB外设等。从松一点的保护策略、使用环境入手，让员工们逐渐习惯了新的使用体验，再逐步收紧。一边实施，一边根据实际应用环境的不同进行优化。像温水煮青蛙一样，让员工们不知不觉中接受，把整个终端DLP保护环境的篱笆给加全加牢。