這是一個以1%、2%決勝負的商業(yè)時代， 一個信息就可以左右企業(yè)的成敗。 這個信息在自己手里是王牌，在對手手里是炸彈。 如此重要的信息，可能在老板的大腦里、公司電腦里、一個打印稿的背面，甚至在一個垃圾筐里。隨時都有泄漏的可能，泄漏的結(jié)果輕則使公司蒙受損失，重則毀滅公司。 你要怎么防備？

　　信息安全瞬間毀滅，備份再備份

　　也許你會認為，9.11這種事情離自己太過遙遠，發(fā)生的幾率為0.1%?？墒?.11之前，誰又能想到世界性標志建筑世貿(mào)大廈竟然在瞬間被毀滅；9.11使美國許多企業(yè)遭受重創(chuàng)，同樣，紐約大停電也給美國經(jīng)濟造成300億美元的損失。

　　·紐約大停電啟示錄 從《商業(yè)周刊》看保護信息安全

　　美國時間2003年8月14日下午四點，北美大部分地區(qū)突然停電。誰也沒有料到這一停就是20多個小時，而8月15日恰好是麥格勞希爾公司旗下《商業(yè)周刊》的出版日—— 麥格勞希爾公司全球首席信息官Mostafa Mehrabani講述了他們紐約大停電時的親身經(jīng)歷。 “當時情況非常緊急，許多人不斷詢問公司的業(yè)務情況，而且第二天《商業(yè)周刊》能否正常出版更是得到人們的普遍關注。而實際上，在停電瞬間，我們已經(jīng)把出版業(yè)務全部轉(zhuǎn)移到新澤西州，因為在那我們有一套備用設備。”

　　“我們的電力系統(tǒng)很穩(wěn)定，備用發(fā)電機可以在沒有電的情況下持續(xù)工作好幾天，所以我們的出版工作沒有受到任何影響。第二天，《商業(yè)周刊》如期出版。” 麥格勞希爾公司作為信息服務提供商，保護信息安全成為頭等重要之事。

　 ·中國很多企業(yè)尚沒有這種意識

　　對于中小企業(yè)來說，出于成本考慮建立一個數(shù)據(jù)備份中心并不是最恰當?shù)慕鉀Q方案，但在離自己電腦一段距離的地方做一個數(shù)據(jù)備份，花費的成本幾乎為零，而許多企業(yè)尚沒有這種意識，直到一場意外的雷擊摧毀了公司CEO的電腦為止。


　　他離職的時候帶走了什么？

　　·對于企業(yè)來講，那些即將離職的員工是極度危險的

　　因為不論出于什么原因，他們都希望能夠為自己以后的工作獲取必要的資源。 "實際上，離職員工通過各種手段從原公司拿走一些資料已經(jīng)成為一種習慣，當然這些資料只是方便以后工作，而不是直接用來出售。"一位離職員工很坦然的說。 "我們的雇員可以在下班之后申請加班兩小時，兩小時后他們會去刷門卡，讓電腦系統(tǒng)顯示此人已經(jīng)離開。但是實際上，員工卻可以通過通向衛(wèi)生間的那道不鎖的門出入公司，而不留下在公司超時逗留的證據(jù)。于是，他們會以最快的速度從同事的電腦上找到自己所需要的資料，就可大大方方的帶走了。"這位離職員工毫不避諱的講到。

　　有些員工為了在應聘時博得新雇主的喜愛，總是很積極的回答雇主的每一個問題，而其中有許多問題都是新雇主為了獲取競爭對手的資料故意設置的。

　 ·微軟、西門子等公司查看資料會被嚴格記錄

　　微軟、西門子等公司則是從硬件設備上防止員工拷貝公司資料，因為根據(jù)級別區(qū)分，他們大部分的員工電腦是不能安裝軟驅(qū)和移動硬盤接口的。這在跨國公司內(nèi)是非常普遍的做法。另外，IBM公司規(guī)定每個員工只有三次查閱同一文檔的機會，并且這三次查看的時間，地點，原因都會被嚴格的記錄下來。

　　·在硬性規(guī)定上圍追堵截員工的犯罪行為　可口可樂如何做？

　　2003年8月，可口可樂奧運新包裝的保密機制是值得中國企業(yè)學習的。在計劃進行之前，可口可樂公司與了解設計方案秘密的北京奧組委簽訂了保密協(xié)議，要求合作伙伴不可以透露任何有關新包裝的事宜。與此同時，制罐廠也采取了嚴格的防泄密措施。"空罐被黑色膠布封起來，制罐廠24小時都有專人把守，只有30名工人加班參與生產(chǎn)；在運輸時，空罐被放在了上鎖的全密封貨柜車內(nèi)，拿著僅有的一把鑰匙的人并不隨車走。這就從硬性的規(guī)定上防止員工泄密。"可口可樂駐北京對外事務部負責人翟梅說。

　　任何細節(jié)都可以讓你無意間泄漏機密

　　·請克制"大嘴巴"雇員的說話欲望　神州數(shù)碼深刻教訓

　　企業(yè)領導者無意間泄漏公司機密對企業(yè)造成的傷害也是不可估量，因為畢竟他們所掌握的信息比普通雇員要多許多。2004年2月18日上午，某媒體披露了神州數(shù)碼財報中的部分數(shù)據(jù)。但是按照證監(jiān)會規(guī)定，有關財報的所有資料都必須等到19號也就是媒體披露的第二天才能公開。未經(jīng)國家相關部門審查提前披露公司財報是違法的。這家媒體之所以獲得了這些數(shù)據(jù)，是神州數(shù)碼某高層在接受記者采訪時無意說出來的。 當然，普通員工的口風也是公司應該注意的。他們在參加各種會議和貿(mào)易展覽時，總是很樂意吹噓自己如何克服技術困難，卻因此泄漏了機密的信息。

　　·敵人隨時都瞄準你的任何一個漏洞

　　麥當勞門店內(nèi)的垃圾是寶？

　　幾年前，一家著名的市場調(diào)查公司調(diào)查麥當勞的產(chǎn)品銷售量，他們使用了痕跡調(diào)查方法，收集了當天麥當勞所有的垃圾，雇用了許多零時工從麥當勞店內(nèi)收集垃圾，包括包裝紙盒等。他們就是通過計算這些垃圾得出了麥當勞每一種產(chǎn)品的銷售量，并且推算出賣當勞下一年的銷售計劃。在這之后，麥當勞門店內(nèi)的垃圾都要經(jīng)過自己的處理后才運走。

　　雅芳雇傭私人偵探收集玫琳凱丟棄物

　　同樣的事情也發(fā)生在雅芳和玫琳凱化妝品公司之間。雅芳就曾經(jīng)雇傭私人偵探收集了玫琳凱的丟棄物，并且進一步破解了競爭對手的新化妝品配方。對于玫琳凱來說，她無法奪回這些珍貴的東西，因為雅芳只是研究了她的垃圾而已，這是完全合法的。

　　黑客有多黑 學會保護自己

　　“實際上，現(xiàn)在的中國企業(yè)在技術上與國外已經(jīng)趨于同步，無論是防火墻，還是病毒軟件，還是VPN技術早已經(jīng)與國際接軌。”安氏（isone）CTO陳政說。但是，中國企業(yè)在保衛(wèi)公司信息安全方面總是顯得如此單薄，漏洞百出。因為他們根本沒有意識到需要讓每一個員工來共同保衛(wèi)公司安全。

　　·從管理的角度來講，要讓員工樹立起保衛(wèi)公司安全的意識

　　某軟件公司80年代末期編寫的軟件程序磁帶占用了倉庫大量的空間，公司所有的年輕員工都主張賣掉這批已經(jīng)沒有什么參考價值的資料，但遭到了一位曾參加編寫的工程師的竭力反對，而他的理由很簡單卻也很重要："這些東西對大部分人來說沒有參考價值，但是一旦被賣到國外，就非常危險。"所以，從管理的角度來講，首先就是要讓員工樹立起保衛(wèi)公司安全的意識。 當然，員工的辦公安全也是企業(yè)應該考慮到的問題。因為大部分治安嚴謹?shù)男^(qū)都有自己的網(wǎng)絡監(jiān)控和電話監(jiān)控系統(tǒng)。

　　·諾基亞：用嚴格的規(guī)定來保證攻擊者無懈可擊

　　 如果競爭對手在小區(qū)內(nèi)對企業(yè)員工進行監(jiān)控，他們可以輕而易舉的獲取相關資料。對于這一點，諾基亞的解決方案很實用："我們外出辦公的員工在登陸公司局域網(wǎng)時要通過公司為其專門設置的密碼，而且這個密碼是不斷更改的。一個員工不可能長期使用同一個密碼進入公司的局域網(wǎng)。"諾基亞中國區(qū)企業(yè)解決方案部王磊說。 所以對于企業(yè)的領導者來說，要減少外部攻擊對企業(yè)造成的損傷，除了要花大筆的費用引進技術外，還必須用嚴格的規(guī)定來保證攻擊者無懈可擊。

　　歸納您要小心的30個細節(jié)：

　　1、 打印機——10秒延遲帶來信息漏洞 即使是激光打印機，也有10秒以上的延遲，第一個看到文件的人可能就不是你了。

　　2、 打印紙背面——好習慣換取的大損失 你會發(fā)現(xiàn)打印、復印造成的廢紙所包含公司機密竟然如此全面。

　　3、 電腦易手——新員工真正的入職導師 如果自己新到一家公司工作，在自己前任的電腦里漫游是了解新公司最好的渠道。

　　4、 共享——做好文件 再通知竊取者 有的公司為了杜絕內(nèi)部網(wǎng)絡泄密，規(guī)定所有人在共享以后一定要馬上取消。

　　5、 指數(shù)對比——聰明反被聰明誤 如果被對方了解到幾年內(nèi)任何一個月的真實數(shù)量，所有的真實數(shù)量就一覽無余地出現(xiàn)在競爭對手的辦公桌上。

　　6、 培訓——信息保衛(wèi)戰(zhàn)從此被動 大部分的企業(yè)會對新員工坦誠相見。但總有超過五分之一的員工會在入職三個月以后離開公司。

　　7、 傳真機——你總是在半小時后才拿到發(fā)給你的傳真 總有傳真是"沒有人領取"的，每周一定有人收不到重要的傳真。

　　8、 公用設備——不等于公用信息 如果有機會把U盤借給公司的新會計用，也就有可能在對方歸還的時候輕易獲得本月的公司損益表。

　　9、 攝像頭——揮手之間斷送的競標機會 總部在上海的一家國內(nèi)大型廣告公司競標前一天，廣告創(chuàng)意被競爭對手竊取，原因竟然是主創(chuàng)人員的OICQ上安裝了視頻。

　　10、 產(chǎn)品痕跡——靠"痕跡"了解你的未來 在市場調(diào)查領域，分析產(chǎn)品痕跡來推斷競爭對手行銷效果和行銷策略是通用的方法。

　　11、 壓縮軟件——對信息安全威脅最大的軟件 壓縮軟件可以讓大型的WORD文件輕松存入一張軟盤，把各種資料輕松帶出公司。

　　12、 光盤刻錄——資料在備份過程中流失 把文件做成特定的格式，交給網(wǎng)絡管理員備份。

　　13、 郵箱——信息竊取的中轉(zhuǎn)站 很多企業(yè)不裝軟驅(qū)、光驅(qū)、USB接口，卻沒有辦法避免員工通過電子郵件的竊取信息。

　　14、 隱藏分區(qū)——長期竊取公司資料必備手法 如果遇到行家，合計一下所有磁盤的總空間，可就一定露餡了。

　　15、 私人電腦——大量竊取資料常用手段 如果把自己的筆記本電腦拿到單位來，連上局域網(wǎng)，只要半小時，1G的文件也可以輕松帶走。

　　16、 會議記錄——被忽視的公司機密 公司里經(jīng)?？匆娪腥税褧h記錄當成廢紙丟來丟去，任由公司最新的戰(zhàn)略信息在企業(yè)的任何角落出現(xiàn)。

　　17、未被采納的策劃案——放棄也是一種選擇 策劃人員知道被采納的策劃是公司機密，去往往不知道被放棄的策劃也是公司機密。

　　18、客戶——你的機密只是盟友的談資 客戶提案，在一些信用較差的客戶手里可能只是一些隨意傳播的談資。

　　19、招聘活動——你的公司竟然在招聘總監(jiān)？ 在招聘過程中，成熟的企業(yè)不會把用人的單位登在一張廣告里，因為那無異于告訴你的競爭對手：剛剛發(fā)生過人力震蕩，人力匱乏。

　　20、招標前兩分鐘——最后的底價總是在最后"出爐" 招標開始前兩分鐘，面對關掉手機的參會者，可以公布底價了！

　　21、解聘后半小時——不要給他最后的機會 如果被解雇的員工是今天才得到這個消息，那么，不要讓他再回到他的電腦旁。半個小時的時間，剛好可以讓他收拾自己的用品。

　　22、入職后一星期——新人在第一個星期里收集的資料是平時的5倍 提防你的新員工，無論你多么欣賞他。

　　23、合作后半個月——競爭對手竊取情報的慣用手法是：假冒客戶 在初次合作的半個月里，你對信息安全的謹慎只能表明企業(yè)做事的嚴謹，可以贏得大部分客戶的諒解和尊敬。

　　24、離職后30天——危險來自公司以外 離職后30日之內(nèi)會和公司現(xiàn)有員工保持頻繁的聯(lián)系，并且對公司的資料和狀況表現(xiàn)出極度的熱情。

　　25、明確對外提案原則——能不留東西的就不給 打印稿，能不給電子檔的就盡量給打印稿，能用電子書就不用通用格式。

　　26、保密協(xié)議——無論作用大小，和員工簽定清晰的保密協(xié)議還是必要的 保密協(xié)議的內(nèi)容越詳細越好。

　　27、責任分解——明確每個人對相關信息的安全責任 監(jiān)督和防范才是責任分解的最終目的。

　　28、設立信息級別——對公司的機密文件進行級別劃分 比如合同、客戶交往、股東情況列為一級，確定機密傳播的范圍。

　　29、異地保存——別把雞蛋放在同一個籃子里 備份資料做到異地保存，避免因為重大事故（如：火災、地震、戰(zhàn)爭等）。對企業(yè)信息帶來致命的打擊。

　　30、認為自己的企業(yè)在信息安全上無懈可擊。

擴展閱讀

版權聲明：