企業該如何保護好自家的商業秘密？

當今世界，資訊化大勢，計算機不僅成為人們生活工作不可或缺的工具，也是眾多企業日常開展工作須臾不可離的工具，隨著而來的，就是電子化辦公，數字化資訊儲存帶來的資訊保安壓力。

越來越多的中國企業開始具有核心的智慧財產權與不可外洩的商業秘密，因而眾多的企業也開始重視資訊保安體系的建設。但是，更多的企業把自己的注意力放在了防止外部入侵即網路邊界安全上。而恰恰忽略了身邊的威脅—內部洩密。

FBI和CSl曾對 484 家公司進行的網路安全調查結果顯示：超過85％的安全威脅來自公司內部。由於內部人員洩密所導致的資產損失高達6000多萬美元，它是駭客所造成損失的16倍、病毒所造成損失的12倍。企業若是忽略了其內網安全防範措施，將損失許多寶貴的核心資料、專利技術資訊，多年累積的技術資產和研發投入成為他人的嫁衣，甚至可能因此導致企業失去競爭力。企業還可能喪失的是其聲譽，以及員工、合作伙伴與客戶的信賴。

面對日漸嚴重的內部洩密事件，我們如何守護企業的核心資訊 ，如何防止內部洩密也就成了擺在各個企業領導面前的一大問題。其實，針對內網安全，防止內部資訊洩露早已有了比較成熟的體系。這得益於一個還不為廣大企業所知的行業——資訊防洩露行業。資訊防洩露從這個行業誕生時刻開始就致力於保護國家秘密，維護國家涉密內網安全，防止涉密資訊洩露。隨著企業保護核心資訊的需求日益增長，資訊防洩露行業也開始逐漸為廣大企業提供資訊保安服務。面對企業的內網安全問題，憑藉多年來服務於眾多企業積累的經驗，提出六項措施，有效防止內部洩密，守護企業核心機密。

隨著資訊化程度的不斷提高和自動化辦公的不斷普及，公司檔案由傳統的紙質檔案越來越多地向電子化文件轉換，而這些公司檔案零散地儲存在各計算機中，然而大多數的公司在進行防護系統建設的時候，更多的是把目光放到了網路邊界安全，也更多地偏向於監控計算機裝置以及計算機使用者的操作，對於真正重要的核心資訊本身的防護卻有限。同時由於許多的公司業務流程已不再是狹窄孤立的，而是非常具有動態性、協作性和廣泛性的合作過程。例如：在日常辦公過程中，可能需要公司內部人員透過簡報、電子表格或文件的形式來複制、共享、列印輸出資訊等。這也帶來一個問題，就是沒有一個行之有效、更加細分化的策略許可權控制手段，幫助管理者限定核心資訊針對個人具體的使用許可權。這是一個很有效的手段，就是將核心資訊集中儲存。保證終端不儲存機密資訊，再利用驅動級檔案許可權控制技術、剪貼簿防護技術、資料消除技術、程序數字簽名技術等，強制終端使用者只能透過系統提供的安全虛擬平臺訪問文件集中管理伺服器上的資源。這樣，既解決了核心資訊分散不易管理的難題，又可以針對核心資訊進行詳細的許可權控制，針對不同的內部人員執行不同的讀、寫、複製、刪除等等操作策略。保證公司能夠對接觸使用核心資訊的內部人員進行控制，全面瞭解核心檔案“誰能看、誰能改、誰能用、誰能帶”。有效地降低了內部人員洩密的可能。

目前廣泛應用於企業單位中的資訊互動工具就是移動介質，作為最有效的資訊移動的手段之一，移動儲存介質具有使用方便，儲存空間大等眾多的優點。然而移動儲存介質的容量越做越大，體積卻越做越做小，非常容易丟失。而移動儲存裝置本身在設計上由於考慮較多的是易用性。所以往往沒有任何防護措施。一旦移動儲存裝置丟失或被盜，就會造成儲存其中的資訊外洩。並且大多數企業在日常使用的過程中，並不限定移動介質的使用範圍，使得員工無論是在公司內的電腦，還是個人電腦，或者網咖等等其他地方的電腦上任意使用，使得檔案可被輕易複製或者被病毒、木馬侵害，造成資訊洩密。由此可見，不被管控的移動儲存裝置成為了最為危險的資訊洩露途徑與工具。這也就需要我們嚴格控制移動介質的使用 ，劃分介質使用範圍與責任人。即對介質使用狀態、配置資訊全面掌控；嚴格監控介質從購買後的註冊發放、使用、統一臺賬監控、狀態查詢到收集註銷的執行週期，以及介質從插入、進行各種操作到拔除全程進行跟蹤記錄和實時報警的執行週期。透過對公司內移動介質的註冊，實現移動儲存介質管理可信化、全程監控，防止移動儲存介質使用導致的資訊洩露及木馬病毒傳染。因為經過公司對移動介質的統一註冊管理，做到了公司內部移動介質無法被外部電腦識別。這樣一旦出現介質丟失事件。也可以最大程度避免儲存其中的核心資料外洩。

隨著網路的不斷髮展與進步，每個公司都會因為工作的需要，連線網際網路。水能載舟亦能覆舟!網際網路一方面能夠幫助企業提高生產力、促進企業發展：另一方面也在企業管理、工作效率、資訊保安、法律遵從、lT 投資等方面給企業提出了嚴峻的問題與挑戰。日益發達的網際網路讓員工有了更多的選擇，員工很難不受眾多網路娛樂的誘惑，大家在或多或少地利用工作時間進行非業務操作。同時，由於某些公司員工資訊保安意識比較薄弱。很多時候將客戶資訊、內部敏感資訊等在公網上隨便傳播，並沒有加密，這樣的資訊資料很容易被竊取修改。

由此產生的洩密事件，也會給公司帶來巨大損失。為此，某些公司高層反對開通網路，也曾經實施過懲罰制度。但效果不理想，因為如果不開通網路工作，會給工作帶來不便。事實上並不是所有的員工都需要網路的，銷售、採購、外部協作、生產管理等部門的員工可能需要上網，但是像人事、工程設計等部門上班時間用網路的很少。這就是說，我們需要找到一個合適的手段。例如網路資訊監測系統，控制本地上網，監控員工上網行為。結合核心資料截收和預處理技術、深度內容檢測技術、智慧識別阻斷等專利技術。為客戶解決網頁過濾、封堵與工作無關的網路應用需求。讓企業可以根據行業特徵、業務需要和企業文化來制定個性化的網頁訪問策略，過濾非工作相關的網頁。同時制定精細的頻寬管理策略，對不同崗位的員工、不同網路應用劃分頻寬通道，並設定優先順序，合理利用有限的頻寬資源，節省投入成本。並且可以制定全面的資訊收發監控策略，有效控制關鍵資訊的傳播範圍，以及避免可能引起的資訊洩露風險。

在企業的日常工作中，計算機終端是資訊儲存、傳輸、應用處理的基礎設施，它可以稱為資訊的源頭，其自身安全性涉及到系統安全、資料安全等各個方面，這就要求企業及時調整安全防護策略，重視計算機終端安全。目前多數計算機終端的防護思路是在既有作業系統上載入軟體。這種方式就像建立在沙丘之上的堡壘，存在致命的弱點。例如：作業系統本身不安全，重灌系統會使軟體的功能全部失效；非法解除安裝安全軟體，使敏感資訊系統主機失去保護；硬碟丟失，所有重要資訊資料將全部暴露等等。針對這些問題，目前就有一些產品，以PCI適配卡為硬體載體、基於BIOS級別的設計，實現了重要敏感資訊終端的安全“硬”保護，從資訊的源頭保證了硬體級安全。因為PC I匯流排已成為當今計算機終端使用的事實匯流排標準，具有豐富的硬體資源，不易受資源環境限制。同時，PCI裝置配置空間採用自動方式，反跟蹤能力強。且從BIOS級別上對計算機終端進行防護，是較高層次的技術實現途徑，可行並有效。這種安全性不依賴於任何作業系統或軟體，實現了強制終端從硬碟啟動，杜絕從光碟啟動，防止隨意重灌作業系統；使用者可指定主機必須安裝的軟體，開機後該產品會自動對其進行檢測 。

如果系統中不存在指定軟體(可能被解除安裝)則主機不能啟動和使用。同時實現了基於BJOS的硬體級登入認證，以及晶片級的資料全盤保護，但保護對使用者完全透明，即使硬碟丟失資料也不可能被恢復。另外，可對硬碟實施整盤加密，對包括作業系統檔案在內的所有硬碟資料實施全盤保護。即使硬碟丟失，其中的資料也無法被資料恢復技術破解而遭到竊取。部署這種基於硬體裝置的防護產品，可以進一步阻止惡意破壞導致的資訊洩露，保護企業核心資訊。

六、制定合適的制度，對違反企業規定的行為進行懲罰，對員工進行教育並嚴格執行制度，從頭腦中杜絕資訊洩露

我們知道有一句老話，“三分技術，七分管理”，這裡切實反映出了制度規範在資訊防洩露中的重要性。內網安全系統是重要的安全系統，但也因為涉及到很多應用和便攜裝置，多少會對普通使用者的使用習慣造成影響。這個時候，就要求企業能夠利用成文規章來合理地約束使用者的行為，加強使用者教育，為系統的實施創造制度依據，才能讓安全更加深入人心。“技術服務於管理，管理依託於技術”，管理和技術相結合，技術限制配合制度管理。對違反企業規定的行為進行懲罰，對員工進行教育並嚴格執行制度，這樣企業資訊保安不再內憂外患。

企業資料洩密幾乎都內部洩密，或外部病毒入侵引起。可引進終端安全管理系統，對企業終端進行全方位的管控，對終端桌面操作行為進行審計監控；對移動儲存等裝置進行加密或限制終端接入非法裝置；對終端檔案操作、檔案外發等行為進行限制並記錄；對終端上網行為進行限制，確保企業終端上網安全，預防病毒攻擊。