对于菠菜行业而言，资料泄密及资金损失一直是老板们深恶痛绝的老大难问题，人性是最复杂的，在金钱面前，道德和做人的底线往往是脆弱的。比如把钱放马路上不可能要求别人不捡你的钱。正确的做法是把钱存银行账户或某个信得过的企业的账户里，并设置密码。或者找个隐秘的地方保管起来。

那对于避免资料泄密及资金的勾连损失正确方法或措施是什么呢？

从安全的理论上来说，措施越靠近对象越有效。就好比普金的保镖总是紧贴着普金的。小区的安保如果仅仅只是设置小区门口，安保效果往往不好，一般都要在各处安装摄像头，屋内还要加装各种防盗门窗，也是同样的道理。

对于桌面监控目前业内主要有两种方案或流派。一种是在网络出口处部署上网行为管理系统，监控桌面的上网各种行为，进行数据拆包分析。一种是直接在桌面PC部署监控软件。

从安全的理论上来说，桌面PC部署监控软件效果更好，因为紧贴被监控的对象。

好了我们知道在什么位置采取措施了。

那要采取什么措施呢，我们的监控的重点在哪里呢？

分析资料泄密和资金勾连损失的过程可以知道，文件传输和聊天软件是关键。要泄 密是不是要发资料出去呢，要“勾结”是不是要沟通交流呢。

人的生命是有限的，抓住重点节约生命，抓住重点避免误入歧途。

目标有了，文件传输和聊天软件。对于文件传输想要什么效果？不让发，全面禁止；让发，发了拍照，发了保存发的文件是什么，时间等要素。讲法制的社会证据就是你赢了。无可狡辩。对于聊天软件，当然要聊，不聊没办法工作，拍照吧，截屏。

监控架构图

目前我们知道用什么方法在什么地方或位置部署了。从安全的角度来说，还有一个权限的问题，这套软件谁来管理呢？谁有这个系统的权限所有PC的资料都是可以看的。

所以管理这个系统的人必须是老板或者老板信任的人。

以上仅是理论分析怎么解决资料泄密及资金勾连的问题。那具体怎么部署呢？

首先是产品选型的问题，产品目前桌面监控的软件有很多很多，目前行业用的比较多的有第三只眼和imonitor。XXX眼是大陆产的，imonitor 是美国产的，考虑行业敏感性建议imonitor.

有些人可能要问了，那为什么这么多人用XXX眼呢？XXX眼有其优点，部署简单，客户端双击即可，无需任何额外设置，无需杀毒软件添加信任列表，无需设置服务器，只需要在管理端PC上安装管理接口即可，日志保存在客户机硬盘上。

但这恰恰是XXX眼的弱点，优点即弱点，世界就是这么奇妙。因为无需杀毒软件添加信任列表，一旦杀毒软件升级，杀毒软件将把这些木马统统清除，监控客户端本质即木马，因为不需要服务器，受控PC一旦格式化磁盘，日志就找不到了。因为没有服务器，日志很难保存很久。

另外imonitor 比起XXX眼多几个关键功能，XXX眼只能截屏，不能阻止文件外发，文件外发没有记录，你不知道员工发的内容是什么。imonitor 则可以做到。

当然上述软件还有很多其他功能，比如应用控制，网页过滤，远程桌面等等，但不是我们的核心述求这里就不提了。

大的菠菜公司往往是加盟形式，一个集团下面有不同的盘口分属不同的老板或股东。

对于这种公司建议采用多套部署，主要从资料的安全角度考虑，谁的资产谁才有权查看，统一由集团公司IT管理反而不好。

部署布局图

好了软件我们已经选好了，接下来就是硬件了。大家不要被部署布局图中的服务器吓到，其实普通PC就可以胜任监控服务器的作用。监控原理中，监控策略只需要偶尔一次下发，后续基本是作为一个日志接收服务器的存在。

监控服务器配置要求:CPU>i5, 内存大于8G，硬盘越大越好，普通显示器。

硬盘这里重点说一下，为什么是越大越好了，因为硬盘越大，日志保留的时间越长，2T的硬盘对于100 PC 的监控规模来说可以坚持6个月，如果你选用10T的硬盘，差不多五年了，一个BC企业能挺过5年已经是行业的航空母舰了。当然这些历史记录都是可以手工删除的，自己控制瘦身。

对网络的要求：

部署这套软件对办公室网络的要求，要想富先修路，一个好的网络对任何一个公司都是必需的，部署这个软件之前首先需要一个良好的网络，因为内部网络会有大量的日志传输需求。最好是千兆到桌面，办公室网络需要有良好的地址规划。至少保证客户端PC到监控服务器可局域网通信，别提通过公网来传输。

很多公司是烟囱式的网络，即不同区域的PC 不是在一个局域网里。而且局域网地址都是相同的。这种首先要进行网络改造。别问我这种网络不改造怎么部署？

就好比这个人生病了，不吃药怎么好是一样的道理。