整體信息防泄漏 內(nèi)網(wǎng)安全 三重保護(hù)

被譽(yù)為臺灣“品牌教父”的Acer創(chuàng)始人施振榮先生，于1992年“再造宏基”時提出了“微笑曲線”的理論，理論的核心內(nèi)容即是：在產(chǎn)業(yè)鏈中，附加值更多體現(xiàn)在兩端，研發(fā)和營銷，處于中間環(huán)節(jié)的制造附加值最低。因此產(chǎn)業(yè)未來應(yīng)朝微笑曲線的兩端發(fā)展，也就是在左邊加強(qiáng)研發(fā)創(chuàng)造智慧財產(chǎn)權(quán)，在右邊加強(qiáng)客戶導(dǎo)向的營銷與服務(wù)。

微笑曲線示意圖

微笑曲線理論不僅作為宏基的策略方向，更成為臺灣各產(chǎn)業(yè)長期發(fā)展的策略，引導(dǎo)臺灣各行業(yè)走過轉(zhuǎn)型升級的再造之路。如今臺灣各行業(yè)發(fā)展贏得世人矚目，微笑曲線功不可沒。

目前，大陸的企業(yè)也紛紛走上了轉(zhuǎn)型升級之路，制造業(yè)企業(yè)更是首當(dāng)其沖。轉(zhuǎn)型前大多企業(yè)主要依靠規(guī)模經(jīng)濟(jì)和廉價勞動力來賺取微博的利潤，轉(zhuǎn)型后則依靠設(shè)計圖紙、自主研發(fā)的產(chǎn)品等核心智慧資產(chǎn)成為提升利潤率的有利武器。對于此時的企業(yè)，最可怕的不是自主創(chuàng)新的高成本，而是對智力資產(chǎn)保護(hù)不力，造成信息泄露，最終導(dǎo)致的優(yōu)勢喪失。即發(fā)生目前國內(nèi)常見的“山寨猛于虎”的狀況。

然而，信息外泄的途徑繁多，涉及的人員規(guī)模也大，我們都知道，任何一個疏漏，都可能成為一起后果嚴(yán)重的泄密事件。因此很多企業(yè)面對防泄問題往往找不到頭緒。根據(jù)美國FBI 調(diào)查顯示，80%的安全威脅來自企業(yè)內(nèi)部，將近60%的離職者或被辭退者在離開時會攜帶企業(yè)數(shù)據(jù)。來自中國公安部的調(diào)查也顯示，國內(nèi)75%以上的泄密事件是由內(nèi)部員工造成的。內(nèi)部泄密已經(jīng)成為造成企業(yè)信息泄漏的最大原因。

因此，信息防泄漏管理就如同做城防，不是防止外面的敵軍攻入，而是防止從內(nèi)部攻破的城防。如此一來，解決防泄漏問題的思路便清晰了：

首先，設(shè)置安全瞭望哨，洞曉城內(nèi)的動靜，發(fā)現(xiàn)安全隱患；

一說到城防，不少人首先想到的即是“安全瞭望哨”，這也是城防“基本并且必須的”設(shè)置的崗位。從現(xiàn)實(shí)的城防來看，也僅有“空城計”這一出戲沒有設(shè)置瞭望哨（但其真實(shí)性還存在爭議），因此，瞭望哨是城防當(dāng)中不可缺少的一部分。

安全瞭望哨對應(yīng)在信息防泄漏中即是安全審計，而這一環(huán)節(jié)恰恰又被不少企業(yè)所疏忽，企業(yè)往往誤認(rèn)為審計只是馬后炮。其實(shí)這嚴(yán)重低估了審計的作用。當(dāng)“生米煮成熟飯”之時，企業(yè)已經(jīng)陷入被動局面、損失也已經(jīng)無法挽回。

回顧一下L公司泄密事件：2005年前技術(shù)主任A先生離職，并用移動硬盤拷走千余份重要的技術(shù)資料。à2007年，A通過其前手下，共獲取L公司技術(shù)資料幾百份。交給新東家換取高薪。à2008年，L公司發(fā)現(xiàn)泄密，將A等告上法庭，最終L公司自曝經(jīng)濟(jì)損失高達(dá)14億美元，A面臨牢獄之災(zāi)。

其實(shí)這個事件，通過審計及早發(fā)現(xiàn)泄密并非難事，L公司就可以避免損失，從另外一方面來講，A員工也避免了犯罪，總不至于造成最終這個“兩敗俱傷”的結(jié)局。

事后追責(zé)，僅僅是讓“偷竊者”受到了應(yīng)有的懲罰，對企業(yè)再無更多益處。事實(shí)上，安全管理較為成熟、完善的企業(yè)無一例外都非常重視審計，規(guī)模稍大的企業(yè)還會設(shè)立部門來專門負(fù)責(zé)各種操作、內(nèi)容等審計工作，以便能及早發(fā)現(xiàn)泄密的苗頭。

其次，城內(nèi)重要區(qū)域設(shè)置關(guān)卡，有相應(yīng)令牌者方可進(jìn)入；

不用說城防，即使在占山為王的山寨中，也不是所有人都可以自由出入于山寨的任何地方，一些重要的區(qū)域會有專人把守，沒有令牌、不知暗語者無法進(jìn)入。企業(yè)信息防泄漏也是同樣的道理，一來要在存有重要信息的地方設(shè)好關(guān)卡，比如財務(wù)部、文檔服務(wù)器等，避免無關(guān)的人員獲取到重要信息；二來要在消息的各個出口設(shè)置關(guān)卡，比如U盤、E-mail等，限制文檔的傳播，杜絕信息有這些出口不知不覺外流出去。

企業(yè)在進(jìn)行權(quán)限管理時，需看到隨著技術(shù)和應(yīng)用的不斷快速豐富，關(guān)卡也要及時增加，當(dāng)下智能手機(jī)、移動應(yīng)用的普及，給企業(yè)的信息防泄管理帶來了新的挑戰(zhàn)。企業(yè)需要靈活地新增關(guān)卡以便能夠適應(yīng)和覆蓋新的產(chǎn)品或技術(shù)。

于此同時，當(dāng)人事變動出現(xiàn)時，及時更改關(guān)卡權(quán)限也是十分必要的，三星泄密事件中其前雇員在提出離職后仍有權(quán)限訪問文檔服務(wù)器上的機(jī)密信息不可不說是事件得以發(fā)生的一大前提。

最后，機(jī)密信息采用密報，即使被夾帶出城，也無法破解。

對于異常重要的信息，審計和權(quán)限管理顯然不足以讓人高枕無憂，還需要更為嚴(yán)苛的保護(hù)方法：將其做成密報，即使被帶出城去也無法破解，只有這樣才讓人足夠安心。信息防泄漏中，透明加密即可以做到這點(diǎn)，它好比給每個重要的文檔都配備一個專屬的貼身保險柜，沒有經(jīng)過授權(quán)的人無法訪問和使用加密文檔，給機(jī)密信息帶來終極防護(hù)。

加密的效果是非常誘人的，這也導(dǎo)致09年加密的大熱潮，然而加密性烈，其副作用不可忽視，主要表現(xiàn)為有一定的風(fēng)險，對企業(yè)運(yùn)行會造成一些影響。因此企業(yè)在選用加密產(chǎn)品時更需謹(jǐn)慎，對產(chǎn)品的穩(wěn)定性、可用性和易用性要嚴(yán)格的考察。

因此，企業(yè)在構(gòu)建立體化、全方位的整體信息防泄體系時并不是一刀切、不分輕重的在全公司范圍內(nèi)采取相同的策略，這樣雖然看似達(dá)到了最為安全的效果，但實(shí)際將會為企業(yè)帶來高成本、低效率以及難以使用和維護(hù)等困難。而安全沒有絕對，企業(yè)必須在所需的安全程度和為此付出的成本之間取得平衡，也是俗話說的性價比。

以通常所說的加密為例，其成本要遠(yuǎn)遠(yuǎn)高于審計和控制功能，且對企業(yè)運(yùn)行效率有不可忽略的影響，在實(shí)際實(shí)施時，企業(yè)全面部署加密并非明智之舉，往往需要以上三種配合實(shí)施：第一步，首先全公司范圍都進(jìn)行安全審計，及早發(fā)現(xiàn)外泄隱患；其次，設(shè)置管控策略，限制信息傳播，并對產(chǎn)生重要信息的部門設(shè)置更為嚴(yán)格的管控策略；最后，針對極其重要的部門，對其機(jī)密信息進(jìn)行加密保護(hù)。這樣既有的放矢，同時又在保證公司運(yùn)行效率的前提下實(shí)現(xiàn)了最優(yōu)化的信息防泄管理。