这是一个以1%、2%决胜负的商业时代， 一个信息就可以左右企业的成败。 这个信息在自己手里是王牌，在对手手里是炸弹。 如此重要的信息，可能在老板的大脑里、公司电脑里、一个打印稿的背面，甚至在一个垃圾筐里。随时都有泄漏的可能，泄漏的结果轻则使公司蒙受损失，重则毁灭公司。 你要怎么防备？

　　信息安全瞬间毁灭，备份再备份

　　也许你会认为，9.11这种事情离自己太过遥远，发生的几率为0.1%。可是9.11之前，谁又能想到世界性标志建筑世贸大厦竟然在瞬间被毁灭；9.11使美国许多企业遭受重创，同样，纽约大停电也给美国经济造成300亿美元的损失。

　　·纽约大停电启示录 从《商业周刊》看保护信息安全

　　美国时间2003年8月14日下午四点，北美大部分地区突然停电。谁也没有料到这一停就是20多个小时，而8月15日恰好是麦格劳希尔公司旗下《商业周刊》的出版日—— 麦格劳希尔公司全球首席信息官Mostafa Mehrabani讲述了他们纽约大停电时的亲身经历。 “当时情况非常紧急，许多人不断询问公司的业务情况，而且第二天《商业周刊》能否正常出版更是得到人们的普遍关注。而实际上，在停电瞬间，我们已经把出版业务全部转移到新泽西州，因为在那我们有一套备用设备。”

　　“我们的电力系统很稳定，备用发电机可以在没有电的情况下持续工作好几天，所以我们的出版工作没有受到任何影响。第二天，《商业周刊》如期出版。” 麦格劳希尔公司作为信息服务提供商，保护信息安全成为头等重要之事。

　 ·中国很多企业尚没有这种意识

　　对于中小企业来说，出于成本考虑建立一个数据备份中心并不是最恰当的解决方案，但在离自己电脑一段距离的地方做一个数据备份，花费的成本几乎为零，而许多企业尚没有这种意识，直到一场意外的雷击摧毁了公司CEO的电脑为止。


　　他离职的时候带走了什么？

　　·对于企业来讲，那些即将离职的员工是极度危险的

　　因为不论出于什么原因，他们都希望能够为自己以后的工作获取必要的资源。 "实际上，离职员工通过各种手段从原公司拿走一些资料已经成为一种习惯，当然这些资料只是方便以后工作，而不是直接用来出售。"一位离职员工很坦然的说。 "我们的雇员可以在下班之后申请加班两小时，两小时后他们会去刷门卡，让电脑系统显示此人已经离开。但是实际上，员工却可以通过通向卫生间的那道不锁的门出入公司，而不留下在公司超时逗留的证据。于是，他们会以最快的速度从同事的电脑上找到自己所需要的资料，就可大大方方的带走了。"这位离职员工毫不避讳的讲到。

　　有些员工为了在应聘时博得新雇主的喜爱，总是很积极的回答雇主的每一个问题，而其中有许多问题都是新雇主为了获取竞争对手的资料故意设置的。

　 ·微软、西门子等公司查看资料会被严格记录

　　微软、西门子等公司则是从硬件设备上防止员工拷贝公司资料，因为根据级别区分，他们大部分的员工电脑是不能安装软驱和移动硬盘接口的。这在跨国公司内是非常普遍的做法。另外，IBM公司规定每个员工只有三次查阅同一文档的机会，并且这三次查看的时间，地点，原因都会被严格的记录下来。

　　·在硬性规定上围追堵截员工的犯罪行为　可口可乐如何做？

　　2003年8月，可口可乐奥运新包装的保密机制是值得中国企业学习的。在计划进行之前，可口可乐公司与了解设计方案秘密的北京奥组委签订了保密协议，要求合作伙伴不可以透露任何有关新包装的事宜。与此同时，制罐厂也采取了严格的防泄密措施。"空罐被黑色胶布封起来，制罐厂24小时都有专人把守，只有30名工人加班参与生产；在运输时，空罐被放在了上锁的全密封货柜车内，拿着仅有的一把钥匙的人并不随车走。这就从硬性的规定上防止员工泄密。"可口可乐驻北京对外事务部负责人翟梅说。

　　任何细节都可以让你无意间泄漏机密

　　·请克制"大嘴巴"雇员的说话欲望　神州数码深刻教训

　　企业领导者无意间泄漏公司机密对企业造成的伤害也是不可估量，因为毕竟他们所掌握的信息比普通雇员要多许多。2004年2月18日上午，某媒体披露了神州数码财报中的部分数据。但是按照证监会规定，有关财报的所有资料都必须等到19号也就是媒体披露的第二天才能公开。未经国家相关部门审查提前披露公司财报是违法的。这家媒体之所以获得了这些数据，是神州数码某高层在接受记者采访时无意说出来的。 当然，普通员工的口风也是公司应该注意的。他们在参加各种会议和贸易展览时，总是很乐意吹嘘自己如何克服技术困难，却因此泄漏了机密的信息。

　　·敌人随时都瞄准你的任何一个漏洞

　　麦当劳门店内的垃圾是宝？

　　几年前，一家著名的市场调查公司调查麦当劳的产品销售量，他们使用了痕迹调查方法，收集了当天麦当劳所有的垃圾，雇用了许多零时工从麦当劳店内收集垃圾，包括包装纸盒等。他们就是通过计算这些垃圾得出了麦当劳每一种产品的销售量，并且推算出卖当劳下一年的销售计划。在这之后，麦当劳门店内的垃圾都要经过自己的处理后才运走。

　　雅芳雇佣私人侦探收集玫琳凯丢弃物

　　同样的事情也发生在雅芳和玫琳凯化妆品公司之间。雅芳就曾经雇佣私人侦探收集了玫琳凯的丢弃物，并且进一步破解了竞争对手的新化妆品配方。对于玫琳凯来说，她无法夺回这些珍贵的东西，因为雅芳只是研究了她的垃圾而已，这是完全合法的。

　　黑客有多黑 学会保护自己

　　“实际上，现在的中国企业在技术上与国外已经趋于同步，无论是防火墙，还是病毒软件，还是VPN技术早已经与国际接轨。”安氏（isone）CTO陈政说。但是，中国企业在保卫公司信息安全方面总是显得如此单薄，漏洞百出。因为他们根本没有意识到需要让每一个员工来共同保卫公司安全。

　　·从管理的角度来讲，要让员工树立起保卫公司安全的意识

　　某软件公司80年代末期编写的软件程序磁带占用了仓库大量的空间，公司所有的年轻员工都主张卖掉这批已经没有什么参考价值的资料，但遭到了一位曾参加编写的工程师的竭力反对，而他的理由很简单却也很重要："这些东西对大部分人来说没有参考价值，但是一旦被卖到国外，就非常危险。"所以，从管理的角度来讲，首先就是要让员工树立起保卫公司安全的意识。 当然，员工的办公安全也是企业应该考虑到的问题。因为大部分治安严谨的小区都有自己的网络监控和电话监控系统。

　　·诺基亚：用严格的规定来保证攻击者无懈可击

　　 如果竞争对手在小区内对企业员工进行监控，他们可以轻而易举的获取相关资料。对于这一点，诺基亚的解决方案很实用："我们外出办公的员工在登陆公司局域网时要通过公司为其专门设置的密码，而且这个密码是不断更改的。一个员工不可能长期使用同一个密码进入公司的局域网。"诺基亚中国区企业解决方案部王磊说。 所以对于企业的领导者来说，要减少外部攻击对企业造成的损伤，除了要花大笔的费用引进技术外，还必须用严格的规定来保证攻击者无懈可击。

　　归纳您要小心的30个细节：

　　1、 打印机——10秒延迟带来信息漏洞 即使是激光打印机，也有10秒以上的延迟，第一个看到文件的人可能就不是你了。

　　2、 打印纸背面——好习惯换取的大损失 你会发现打印、复印造成的废纸所包含公司机密竟然如此全面。

　　3、 电脑易手——新员工真正的入职导师 如果自己新到一家公司工作，在自己前任的电脑里漫游是了解新公司最好的渠道。

　　4、 共享——做好文件 再通知窃取者 有的公司为了杜绝内部网络泄密，规定所有人在共享以后一定要马上取消。

　　5、 指数对比——聪明反被聪明误 如果被对方了解到几年内任何一个月的真实数量，所有的真实数量就一览无余地出现在竞争对手的办公桌上。

　　6、 培训——信息保卫战从此被动 大部分的企业会对新员工坦诚相见。但总有超过五分之一的员工会在入职三个月以后离开公司。

　　7、 传真机——你总是在半小时后才拿到发给你的传真 总有传真是"没有人领取"的，每周一定有人收不到重要的传真。

　　8、 公用设备——不等于公用信息 如果有机会把U盘借给公司的新会计用，也就有可能在对方归还的时候轻易获得本月的公司损益表。

　　9、 摄像头——挥手之间断送的竞标机会 总部在上海的一家国内大型广告公司竞标前一天，广告创意被竞争对手窃取，原因竟然是主创人员的OICQ上安装了视频。

　　10、 产品痕迹——靠"痕迹"了解你的未来 在市场调查领域，分析产品痕迹来推断竞争对手行销效果和行销策略是通用的方法。

　　11、 压缩软件——对信息安全威胁最大的软件 压缩软件可以让大型的WORD文件轻松存入一张软盘，把各种资料轻松带出公司。

　　12、 光盘刻录——资料在备份过程中流失 把文件做成特定的格式，交给网络管理员备份。

　　13、 邮箱——信息窃取的中转站 很多企业不装软驱、光驱、USB接口，却没有办法避免员工通过电子邮件的窃取信息。

　　14、 隐藏分区——长期窃取公司资料必备手法 如果遇到行家，合计一下所有磁盘的总空间，可就一定露馅了。

　　15、 私人电脑——大量窃取资料常用手段 如果把自己的笔记本电脑拿到单位来，连上局域网，只要半小时，1G的文件也可以轻松带走。

　　16、 会议记录——被忽视的公司机密 公司里经常看见有人把会议记录当成废纸丢来丢去，任由公司最新的战略信息在企业的任何角落出现。

　　17、未被采纳的策划案——放弃也是一种选择 策划人员知道被采纳的策划是公司机密，去往往不知道被放弃的策划也是公司机密。

　　18、客户——你的机密只是盟友的谈资 客户提案，在一些信用较差的客户手里可能只是一些随意传播的谈资。

　　19、招聘活动——你的公司竟然在招聘总监？ 在招聘过程中，成熟的企业不会把用人的单位登在一张广告里，因为那无异于告诉你的竞争对手：刚刚发生过人力震荡，人力匮乏。

　　20、招标前两分钟——最后的底价总是在最后"出炉" 招标开始前两分钟，面对关掉手机的参会者，可以公布底价了！

　　21、解聘后半小时——不要给他最后的机会 如果被解雇的员工是今天才得到这个消息，那么，不要让他再回到他的电脑旁。半个小时的时间，刚好可以让他收拾自己的用品。

　　22、入职后一星期——新人在第一个星期里收集的资料是平时的5倍 提防你的新员工，无论你多么欣赏他。

　　23、合作后半个月——竞争对手窃取情报的惯用手法是：假冒客户 在初次合作的半个月里，你对信息安全的谨慎只能表明企业做事的严谨，可以赢得大部分客户的谅解和尊敬。

　　24、离职后30天——危险来自公司以外 离职后30日之内会和公司现有员工保持频繁的联系，并且对公司的资料和状况表现出极度的热情。

　　25、明确对外提案原则——能不留东西的就不给 打印稿，能不给电子档的就尽量给打印稿，能用电子书就不用通用格式。

　　26、保密协议——无论作用大小，和员工签定清晰的保密协议还是必要的 保密协议的内容越详细越好。

　　27、责任分解——明确每个人对相关信息的安全责任 监督和防范才是责任分解的最终目的。

　　28、设立信息级别——对公司的机密文件进行级别划分 比如合同、客户交往、股东情况列为一级，确定机密传播的范围。

　　29、异地保存——别把鸡蛋放在同一个篮子里 备份资料做到异地保存，避免因为重大事故（如：火灾、地震、战争等）。对企业信息带来致命的打击。

　　30、认为自己的企业在信息安全上无懈可击。

扩展阅读

版权声明：