大標(biāo)題：小心50個細(xì)節(jié)，一分鐘毀滅你的公司
決勝信息保衛(wèi)戰(zhàn)

封面導(dǎo)語：
這是一個以1%、2%決勝負(fù)的商業(yè)時代，
一個信息就可以左右企業(yè)的成敗。
這個信息在自己手里是王牌，在對手手里是炸彈。
如此重要的信息，可能在老板的大腦里、公司電腦里、一個打印稿的反面，甚至在一個垃圾筐里。隨時都有泄漏的可能，泄漏的結(jié)果輕則蒙受損失，重則毀滅公司。
你要怎么防備？
主文：

信息安全？“不過安裝殺毒軟件，在電腦上設(shè)設(shè)密碼吧”？當(dāng)你這樣想，你就和全世界95%的人一樣，都錯估、低估了信息對公司的致命影響；好在全世界就是有5%的人，和《中國財富》一樣，恐懼、震懾、急著應(yīng)變于信息對商業(yè)世界爆炸性的影響力，他們是誰——諾基亞、微軟、麥格勞希爾、還有可口可樂……！
加調(diào)查：表格 威脅來自內(nèi)部 外部 比例分配 后果 造成損失的估計
標(biāo)題：誰是那百分之五？
當(dāng)你讀這篇文章的時候，全世界又有2個企業(yè)因為信息安全問題倒閉，有11個企業(yè)因為信息安全問題造成大概800多萬的直接經(jīng)濟(jì)損失。中國財富通過對100個經(jīng)理人的調(diào)查總結(jié)50個致命細(xì)節(jié)，讓您5分鐘快速成為信息安全專家。

1、 打印機——10秒延遲帶來信息漏洞 即使是激光打印機，也有10秒以上的延遲，如果你不在第9秒守在打印機的旁邊，第一個看到文件的人可能就不是你了。大部分的現(xiàn)代化公司都使用公用的打印機，并且將打印機、復(fù)印機等器材放在一個相對獨立的空間里，于是，部門之間的機密文件就可以從設(shè)備室開始，在其他部門傳播，當(dāng)部門之間沒有秘密，公司也就沒有秘密了。遭受襲擊信息：項目報價、合同。
2、 打印紙背面——好習(xí)慣換取的大損失 節(jié)約用紙是很多公司的好習(xí)慣，員工往往會以使用背面打印紙為榮，其實，在擁有這種習(xí)慣公司的“廢紙”收集在一起，你會發(fā)現(xiàn)打印、復(fù)印造成的廢紙所包含公司機密竟然如此全面，連執(zhí)行副總都會覺得汗顏，因為廢紙記載了公司里比他的工作日記都全面的內(nèi)容。遭受襲擊信息：全部
3、 電腦易手——新員工真正的入職導(dǎo)師 我們相信，所有的職業(yè)經(jīng)理人都有過這樣的經(jīng)歷：如果自己新到一家公司工作，在自己前任的電腦里漫游是了解新公司最好的渠道。在一種近似“窺探”的狀態(tài)下，公司里曾經(jīng)發(fā)生過的事情“盡收眼底”，從公司以往的客戶記錄、獎懲制度、甚至你還有幸閱讀前任的辭呈。如果是其他部門的電腦，自然也會別有一番樂趣。
4、 共享——做好文件 再通知竊取者 局域網(wǎng)中的共享是獲得公司內(nèi)部機密最后的通道。有的公司為了杜絕內(nèi)部網(wǎng)絡(luò)泄密，規(guī)定所有人在共享以后一定要馬上取消，實際上越是這樣，企業(yè)通過共享泄露機密的風(fēng)險越大，原因當(dāng)人們這樣做的時候，會無所顧及地利用共享方式傳播信息，人們習(xí)慣的方式是在開放式辦公間的這邊對著另一邊的同事喊：“我放在共享里了，你來拿吧——”，沒錯，會有人去拿的，卻往往不只是你期望的人。
5、 指數(shù)對比——聰明反被聰明誤 在傳統(tǒng)的生產(chǎn)型企業(yè)之間，經(jīng)常要推測競爭對手的銷售數(shù)量、生產(chǎn)數(shù)量，于是，人們?yōu)榱四軌螂[藏自己的實際數(shù)量，而引入了統(tǒng)計學(xué)里的指數(shù)，通過對實際數(shù)量的加權(quán)，保護(hù)自己的機密信息，唯一讓人遺憾的是，通常采取的簡單基期加權(quán)，如果被對方了解到幾年內(nèi)任何一個月的真實數(shù)量，所有的真實數(shù)量就一覽無余地出現(xiàn)在競爭對手的辦公桌上了。
6、 培訓(xùn)——信息保衛(wèi)戰(zhàn)從此被動 新員工進(jìn)入公司，大部分的企業(yè)會對新員坦誠相見，從培訓(xùn)的第一天開始，新員以“更快融入團(tuán)隊”的名義，接觸公司除財務(wù)以外所有的作業(yè)部門，從公司戰(zhàn)略到正在采取的戰(zhàn)術(shù)方法，從公司的核心客戶到關(guān)鍵技術(shù)。但事實上，總有超過五分之一的員工會在入職三個月以后離開公司，同時，他們中的大部門沒有離開現(xiàn)有行業(yè)，或許正在向你的競爭對手眉飛色舞地描述你公司的一草一木。
7、 傳真機——你總是在半小時后才拿到發(fā)給你的傳真 總有傳真是“沒有人領(lǐng)取”的，每周一定有人收不到重要的傳真；人們總是“驚奇地”發(fā)現(xiàn)，自己傳真紙的最后一頁是別人的開頭，而你的開頭卻怎么也找不到了。
8、 公用設(shè)備——不等于公用信息 在小型公司或者一個獨立的部門里，人們經(jīng)常公用U盤、軟盤或手提電腦。如果有機會把U盤借給公司的新會計用，也就有可能在對方歸還的時候輕易獲得本月的公司損益表。
9、 攝像頭——揮手之間斷送的競標(biāo)機會 總部在上海的一家國內(nèi)大型廣告公司，在2004年3月出現(xiàn)的那一次信息泄露，導(dǎo)致競標(biāo)前一天，廣告創(chuàng)意被競爭對手竊取，原因竟然是主創(chuàng)人員的OICQ上安裝了視頻，揮手之間，斷送的或許并不僅僅是依次合作的機會。
10、 產(chǎn)品痕跡——靠“痕跡”了解你的未來 在市場調(diào)查領(lǐng)域，分析產(chǎn)品痕跡來推斷競爭對手行銷效果和行銷策略是通用的方法。產(chǎn)品的運輸、倉儲、廢棄的包裝，都可以在競爭對手購買的調(diào)研報告中出現(xiàn)，因為“痕跡分析”已經(jīng)是商業(yè)情報收集的常規(guī)手段。
11、 壓縮軟件——對信息安全威脅最大的軟件 ZIP、RAR是威脅企業(yè)信息安全最大的軟件。3寸軟盤的存儲空間是1.4M，壓縮軟件可以讓大型的WORD文件輕松存如一張軟盤，把各種資料輕松帶出公司。
12、 光盤刻錄——資料在備份過程中流失 如果想要拿走公司的資料，最好的辦法是申請光盤備份，把文件做成特定的格式，交給網(wǎng)絡(luò)管理員備份，然后聲稱不能正常打開，要求重新備份，大多情況下，留在光驅(qū)里的“廢盤”就可以在下班后大大方方帶出公司。
13、 郵箱——信息竊取的中轉(zhuǎn)站 利用電子郵件轉(zhuǎn)移竊取的公司資料占所有信息竊取的八成以上。很多企業(yè)不裝軟驅(qū)、光驅(qū)、USB接口，卻沒有辦法回避通過電子郵件的信息竊取，相比之下，以上方法顯得有些幼稚、可笑。
14、 隱藏分區(qū)——長期竊取公司資料必備手法 長期在公司內(nèi)搜集資料，或出售或留到自己以后開公司，總是件危險的事情，自己的電腦總是不免被別人使用，發(fā)現(xiàn)電腦里有不該有的東西怎么行，于是在隱藏硬盤分區(qū)就成了最佳選擇，本來有C、D、E三個虛擬分區(qū)，可以把E隱藏起來，只有自己可以訪問。當(dāng)然，如果遇到行家，合計一下所有磁盤的總空間，可就一定露餡了。
15、 私人電腦——大量竊取資料常用手段 壓縮軟件的作用畢竟是有限的，如果把自己的筆記本電腦拿到單位來，連上局域網(wǎng)，只要半小時，就是有1個G的文件也可以輕松帶走。
16、 會議記錄——被忽視的公司機密 秘書往往把會議記錄看得很平常，他們不知道一次高層的會議記錄對于競爭對手意味著什么，公司里經(jīng)?？梢钥匆娪腥税褧h記錄當(dāng)成廢紙丟來丟去，任由公司最新的戰(zhàn)略信息在企業(yè)的任何角落出現(xiàn)。
17、 未被采納的策劃案——放棄也是一種選擇 策劃人員知道被采納的策劃是公司機密，去往往不知道被放棄的策劃也是公司機密，有時還會對客戶或媒體談起，而競爭對手可以輕松判斷：你沒有做這些，就一定選擇做了那些！
18、 客戶——你的機密只是盟友的談資 經(jīng)?？梢栽诰W(wǎng)絡(luò)上看到著名咨詢公司的客戶提案，這些精心制作的PPT，凝聚了咨詢公司團(tuán)隊的汗水和無數(shù)個不眠之夜，在一些信用較差的客戶手里可能只是可以隨意傳播的談資。
19、 行政動向——節(jié)約與拮據(jù) 曾經(jīng)有這樣一個案例：一家地產(chǎn)企業(yè)正在和客戶洽談寫字樓的買賣，買方無意中看見了賣方行政人員發(fā)出的“節(jié)約通告”，從而認(rèn)為賣方存在資金壓力，所以遲遲不肯完成交易。誰說行政部門不能泄露公司機密？
20、 招聘活動——你的公司竟然在招聘總監(jiān)？ 在招聘過程中，成熟的企業(yè)不會把用人的單位登在一張廣告里，因為那無異于告訴你的競爭對手：剛剛發(fā)生過人力震蕩，人力匱乏。
21、 招標(biāo)前兩分鐘——最后的底價總是在最后“出爐” 如果投標(biāo)的底價內(nèi)部公開越早，出現(xiàn)泄露的風(fēng)險越大，在招標(biāo)開始前兩分鐘，面對關(guān)掉收集的參會者，可以公布底價了！
22、 解聘后半小時——不要給他最后的機會 如果被解雇的員工是今天才得到這個消息，那么，不要讓他再回到他的電腦旁，半個小時的時間，剛好可以讓他收拾自己的用品，和老同事做簡短的告別，天下沒有不散的筵席，半小時足夠了，為了離職員工的清白，更為了信息安全。
23、 入職后一星期——新人的在第一個星期里收集的資料是平時的5倍 只有在這一個星期里，他是隨時準(zhǔn)備離開的，他時刻處在瘋狂的拷貝和傳送狀態(tài)，提防你的新員工，無論你多么欣賞他的才華。
24、 合作后半個月——競爭對手竊取情報的慣用手法是：假冒客戶 在初次合作的半個月里面，你對信息安全的謹(jǐn)慎只能表明企業(yè)做事的嚴(yán)謹(jǐn)，可以贏得大部分客戶的諒解和尊敬，除非，他是你的競爭對手。
25、 離職后30天——危險來自公司以外 一般情況下，一個為企業(yè)服務(wù)半年以上的員工，離職后30之內(nèi)會和公司現(xiàn)有員工保持頻繁的聯(lián)系，并且對公司的資料和狀況表現(xiàn)出極度的熱情，如果是被限時離開，那么，在離職30天內(nèi)通過老同事竊取公司信息的可能性就更大。
26、 明確對外提案原則——能不留東西的就不給打印稿，能不給電子檔的就盡量給打印稿，能用電子書就不用通用格式。
27、 保密協(xié)議——無論作用大小，和員工簽定清晰的保密協(xié)議還是必要的 無規(guī)矩不成方圓，明確了什么是對的，人們才可以杜絕錯的。保密協(xié)議的內(nèi)容越詳細(xì)越好，如果對方心胸坦白，自然會欣然同意。
28、 責(zé)任分解——明確每個人對相關(guān)信息的安全責(zé)任 所有的機密文件如果出現(xiàn)泄露，可以根據(jù)規(guī)定找到責(zé)任人，追究是次要的，相互監(jiān)督和防范才是責(zé)任分解的真實目的。
29、 控制程序安裝——應(yīng)用新技術(shù)對待新問題 對公司的電腦進(jìn)行管理權(quán)限加密，如果沒有管理員密碼，電腦使用人無法自己安裝軟件，這樣可以很好地杜絕聊天工具、壓縮軟件的使用和安裝。
30、 設(shè)立信息級別——對公司的機密文件進(jìn)行級別劃分 比如合同、客戶交往、股東情況列為一級，確定機密傳播的范圍，讓所有人了解信息的傳播界限，避免因為對信息的不了解而導(dǎo)致的信息安全事故。
31、 異地保存——別把雞蛋放在同一個籃子里 所有備份資料盡量做到異地保存，避免因為重大事故（如：火災(zāi)、地震、戰(zhàn)爭等）對企業(yè)信息帶來致命的打擊。
32、 接受防毒培訓(xùn)——簡單的往往是最必要的 企業(yè)全體員工接受必要的防毒培訓(xùn)，熟練使用常用的殺毒軟件，了解病毒的傳播途徑和特點，以及必要的應(yīng)急措施。
33、 限制瀏覽——有選擇才能有保障 根據(jù)企業(yè)的工作特點限制員工對互聯(lián)網(wǎng)的瀏覽。這不僅出于對信息安全的考慮，同時也可以杜絕由于網(wǎng)絡(luò)導(dǎo)致的效率低下。
34、 建立口令日記——管理口令就是管理權(quán)限 企業(yè)信息設(shè)備的密碼、專有軟件的口令，必須建立口令日記，標(biāo)注知道口令的人員姓名、權(quán)限，并保證在離職或工作變動的時候及時進(jìn)行必要的更改。
35、 確定打印級別——于細(xì)處見規(guī)則 對于公司可以進(jìn)行打印的文件進(jìn)行打印登記，包括打印的份數(shù)和頁碼，同時必須標(biāo)注使用去向，不必要打印的文件盡量不打印，禁止抄送不必要的部門。
36、 備份——捍衛(wèi)信息安全最重要的一條法則 雖然簡單，卻同樣需要制度來保證。


信息安全瞬間毀滅篇
導(dǎo)語：我們必須承認(rèn)，巨大的打擊總是小概率事件，問題是當(dāng)他發(fā)生的時候就是百分之百。
0.1％的幾率足以致死
也許在前一秒鐘你還在制定公司第四季度的發(fā)展規(guī)劃，而下一秒鐘公司已經(jīng)不復(fù)存在。
無數(shù)世界著名公司就是在9·11那場恐怖襲擊中隨雙子大廈一同葬身火海，許多公司即使沒有瞬間致死，也因數(shù)據(jù)的全面破壞而損失慘重，從此一蹶不振。據(jù)統(tǒng)計，在那場災(zāi)難中，40％的企業(yè)由于數(shù)據(jù)丟失，根本無法恢復(fù)工作。
Gartner公司的一項調(diào)查表明，在災(zāi)害之后，如果無法在14天內(nèi)恢復(fù)信息作業(yè)，有75%的公司業(yè)務(wù)會完全停頓，43%的公司再也無法重新開業(yè)，有20%的企業(yè)在兩年之內(nèi)被迫宣告破產(chǎn)。
《中國財富》曾隨機調(diào)查了50多家中國企業(yè)以及30多家世界500強跨國公司的中國分部，97％的企業(yè)表示，一旦出現(xiàn)諸如9·11這樣的意外致使辦公大樓倒塌，公司根本無法恢復(fù)業(yè)務(wù)。
也許你會認(rèn)為，9·11這種事情離自己太過遙遠(yuǎn)，發(fā)生的幾率為0.1%?？墒?·11之前，誰又能想到世界性標(biāo)志建筑世貿(mào)大廈竟然在瞬間被毀滅；而紐約大停電之前，哪一個美國人能想到這一停居然是20多個小時——在中國生活的人認(rèn)為這種現(xiàn)象不足為奇，而在紐約生活的人卻是第一次遇到這樣的事——。9·11使美國許多企業(yè)遭受重創(chuàng)，紐約大停電也給美國經(jīng)濟(jì)造成300億美元的損失。沒有防備就只有被動等死，在停電事故中，克萊斯勒在北美32家汽車與零件工廠有高達(dá)23家被迫暫停運轉(zhuǎn)。而我們的企業(yè)，不是非要等到災(zāi)難降臨的那一瞬間，才意識到應(yīng)該未雨綢繆吧？
也許我們可以從別人的經(jīng)驗中獲得一點啟示。
紐約大停電啟示錄


麥格勞希爾公司全球首席信息官Mostafa Mehrabani在公司北京代表處接受本刊記者專訪時，講述了他們紐約大停電時的親身經(jīng)歷。
“當(dāng)時情況非常緊急，許多人不斷詢問公司的業(yè)務(wù)情況，而且第二天《商業(yè)周刊》能否正常出版更是得到人們的普遍關(guān)注。而實際上，在停電瞬間，我們已經(jīng)把出版業(yè)務(wù)全部轉(zhuǎn)移到新澤西州，因為在那我們有一套備用設(shè)備。我們的電力系統(tǒng)很穩(wěn)定，備用發(fā)電機可以在沒有電的情況下持續(xù)工作好幾天，所以我們的出版工作沒有受到任何影響。第二天，《商業(yè)周刊》正常面世。”
麥格勞希爾公司旗下的標(biāo)準(zhǔn)普爾、《商業(yè)周刊》和麥格勞希爾教育出版公司每天都為客戶提供大量信息，信息就是公司的核心資產(chǎn)，那么對于這樣的公司來說，保護(hù)信息安全成為頭等重要之事。而同樣視信息為生命的金融、證券公司也十分注意采取各種措施來保護(hù)數(shù)據(jù)。如電子交易商Nasdaq每周會對系統(tǒng)的防災(zāi)能力進(jìn)行測試，他們甚至?xí)袛嗾５碾娏?yīng)，來監(jiān)測備用發(fā)電機是不是能及時啟動。因此紐約大停電對他們幾乎沒有影響，在他們看來，不過是平時演練的一個真實版本而已。
備份再備份
意外事故不可避免，但是我們總是有措施將損失降到最低。除了要像麥格勞希爾公司、Nasdaq公司有備用設(shè)施外，數(shù)據(jù)備份也是保護(hù)信息安全的重要手段。摩根斯坦利在9·11發(fā)生后兩天就恢復(fù)正常運營，因為它在新澤西州設(shè)有第二套全部股票證券商業(yè)文檔資料數(shù)據(jù)和計算機服務(wù)器。麥格勞希爾公司除了新澤西州的數(shù)據(jù)中心，還在曼哈頓設(shè)立備份中心，甚至在大西洋對岸的倫敦都有自己的根據(jù)地。而曾在GE工作的員工說，GE公司曾買下軍隊放置導(dǎo)彈的山洞作為數(shù)據(jù)備份中心，并把它賣給IBM等跨國企業(yè)。“就算整個大樓被炸，我們還有山洞。”而美國政府非常重視數(shù)據(jù)備份工作，通常在一臺計算機邊上就有一個熱備份，在離開這個樓的多少公里以外也要有備份，一般根據(jù)導(dǎo)彈的射程。在州的其他地方有一個，跨州、跨國都要有備份。據(jù)美國一家數(shù)據(jù)備份公司透露，在美國，備份的投入能占到整個國家安全投入的40％。
專攻信息安全課題的中科院高能物理所許榕生教授在談到多中心多備份時說道：“我們國家除了銀行以外，許多行業(yè)像國家外貿(mào)、化工等，信息中心都是北京一個點，然后向各個省各個地區(qū)輻射。那么一個關(guān)鍵部分壞了，修復(fù)的時間就要很長。國家在信息化建設(shè)上投入很多錢，當(dāng)初都覺得北京中心的格局好，而沒有從安全角度來考慮。后來才提出拓?fù)浣Y(jié)構(gòu)，要在北京、上海、廣州分別設(shè)立中心，3個地區(qū)可以隨時切換，聽說現(xiàn)在國內(nèi)有一家銀行做到了。”


對于中小企業(yè)來說，出于成本考慮建立一個數(shù)據(jù)備份中心并不是最恰當(dāng)?shù)慕鉀Q方案，但是在離自己電腦有一段距離的地方做一個數(shù)據(jù)備份，花費的成本幾乎為零，而許多企業(yè)目前尚沒有這種意識，直到有一天一場意外的雷擊摧毀了公司CEO的電腦為止。

擴(kuò)展閱讀

版權(quán)聲明：