本刊記者 孫楊 鄒瑞霞 姜道哲/聯合采編報道

　　小心30個細節，一分鐘毀滅你的公司

　　這是一個以1%、2%決勝負的商業時代，一個信息就可以左右企業的成敗。

進入伊妹兒的網絡豪宅 新浪點點通個性smsDIY 海納百川 候車亭媒體 哪里可以免費發短信?

　　這個信息在自己手里是王牌，在對手手里是炸彈。

　　如此重要的信息，可能在老板的大腦里、公司電腦里、一個打印稿的背面，甚至在一個垃圾筐里。隨時都有泄漏的可能，泄漏的結果輕則使公司蒙受損失，重則毀滅公司。

　　你要怎么防備？

　　信息安全？“不就是安裝殺毒軟件，在電腦上設設密碼嗎”？當你這樣想，你就和全世界95%的人一樣，都錯估、低估了信息對公司的致命影響；好在全世界就是有5%的人，和《中國財富》一樣，恐懼、震懾、急著應變于信息對商業世界爆炸性的影響力，他們是誰——諾基亞(NOKIA)、微軟(Microsoft)、麥格勞希爾(Mcgraw-Hill Company)、還有可口可樂(Coca-Cola)而不是技術問題……

　　誰是那百分之五？

　　當你讀這篇文章的時候，全世界又有2個企業因為信息安全問題倒閉，有11個企業因為信息安全問題造成大概800多萬的直接經濟損失。中國財富通過對100個經理人的調查總結30個致命細節，讓您5分鐘快速成為信息安全專家。

　　1、 打印機——10秒延遲帶來信息漏洞 即使是激光打印機，也有10秒以上的延遲，如果你不在第9秒守在打印機的旁邊，第一個看到文件的人可能就不是你了。大部分的現代化公司都使用公用的打印機，并且將打印機、復印機等器材放在一個相對獨立的空間里。于是，部門之間的機密文件就可以從設備室開始，在其他部門傳播，當部門之間沒有秘密，公司也就沒有秘密了。

　　2、 打印紙背面——好習慣換取的大損失 節約用紙是很多公司的好習慣，員工往往會以使用背面打印紙為榮。其實，將擁有這種習慣公司的“廢紙”收集在一起，你會發現打印、復印造成的廢紙所包含公司機密竟然如此全面，連執行副總都會覺得汗顏，因為廢紙記載了公司里比他的工作日記都全面的內容。

　　3、 電腦易手——新員工真正的入職導師 我們相信，所有的職業經理人都有過這樣的經歷：如果自己新到一家公司工作，在自己前任的電腦里漫游是了解新公司最好的渠道。在一種近似“窺探”的狀態下，公司里曾經發生過的事情“盡收眼底”，從公司以往的客戶記錄、獎懲制度、甚至你還有幸閱讀前任的辭呈。如果是其他部門的電腦，自然也是另有一番樂趣。

　　4、 共享——做好文件 再通知竊取者 局域網中的共享是獲得公司內部機密最后的通道。有的公司為了杜絕內部網絡泄密，規定所有人在共享以后一定要馬上取消。實際上越是這樣，企業通過共享泄露機密的風險越大。因為當人們這樣做的時候，會無所顧及地利用共享方式傳播信息，人們習慣的方式是在開放式辦公間的這邊對著另一邊的同事喊：“我放在共享里了，你來拿吧——”，沒錯，會有人去拿的，卻往往不只是你期望的人。

　　5、 指數對比——聰明反被聰明誤 在傳統的生產型企業之間，經常要推測競爭對手的銷售數量、生產數量。于是，人們為了隱藏自己的實際數量，而引入了統計學里的指數，通過對實際數量的加權，保護自己的機密信息。唯一讓人遺憾的是，通常采取的簡單基期加權，如果被對方了解到幾年內任何一個月的真實數量，所有的真實數量就一覽無余地出現在競爭對手的辦公桌上了。

　　6、 培訓——信息保衛戰從此被動 新員工進入公司，大部分的企業會對新員工坦誠相見。從培訓的第一天開始，新員工以“更快融入團隊”的名義，接觸公司除財務以外所有的作業部門，從公司戰略到正在采取的戰術方法，從公司的核心客戶到關鍵技術。但事實上，總有超過五分之一的員工會在入職三個月以后離開公司。同時，他們中的大部份沒有離開現在從事的行業，或許正在向你的競爭對手眉飛色舞地描述你公司的一草一木。

　　7、 傳真機——你總是在半小時后才拿到發給你的傳真 總有傳真是“沒有人領取”的，每周一定有人收不到重要的傳真；人們總是“驚奇地”發現，自己傳真紙的最后一頁是別人的開頭，而你的開頭卻怎么也找不到了。

　　8、 公用設備——不等于公用信息 在小型公司或者一個獨立的部門里，人們經常公用U盤、軟盤或手提電腦。如果有機會把U盤借給公司的新會計用，也就有可能在對方歸還的時候輕易獲得本月的公司損益表。

　　9、 攝像頭——揮手之間斷送的競標機會 總部在上海的一家國內大型廣告公司，在2004年3月出現的那一次信息泄露，導致競標前一天，廣告創意被競爭對手竊取，原因竟然是主創人員的OICQ上安裝了視頻，揮手之間，斷送的或許并不僅僅是一次合作的機會。

　　10、 產品痕跡——靠“痕跡”了解你的未來 在市場調查領域，分析產品痕跡來推斷競爭對手行銷效果和行銷策略是通用的方法。產品的運輸、倉儲、廢棄的包裝，都可以在競爭對手購買的調研報告中出現，因為“痕跡分析”已經是商業情報收集的常規手段。

　　11、 壓縮軟件——對信息安全威脅最大的軟件 ZIP、RAR是威脅企業信息安全最大的軟件。3寸軟盤的存儲空間是1.4M，壓縮軟件可以讓大型的WORD文件輕松存入一張軟盤，把各種資料輕松帶出公司。

　　12、 光盤刻錄——資料在備份過程中流失 如果想要拿走公司的資料，最好的辦法是申請光盤備份，把文件做成特定的格式，交給網絡管理員備份，然后聲稱不能正常打開，要求重新備份，大多情況下，留在光驅里的“廢盤”就可以在下班后大大方方帶出公司。

　　13、 郵箱——信息竊取的中轉站 利用電子郵件轉移竊取的公司資料占所有信息竊取的八成以上。很多企業不裝軟驅、光驅、USB接口，卻沒有辦法避免員工通過電子郵件的竊取信息，相比之下，以上方法顯得有些幼稚、可笑。

　　14、 隱藏分區——長期竊取公司資料必備手法 長期在公司內搜集資料，用來出售或保留，總是件危險的事情。自己的電腦總是不免被別人使用，發現電腦里有不該有的東西怎么行。于是隱藏在硬盤分區就成了最佳選擇，本來有C、D、E三個虛擬分區，可以把E隱藏起來，只有自己可以訪問。當然，如果遇到行家，合計一下所有磁盤的總空間，可就一定露餡了。

　　15、 私人電腦——大量竊取資料常用手段 壓縮軟件的作用畢竟是有限的，如果把自己的筆記本電腦拿到單位來，連上局域網，只要半小時，就是有1個G的文件也可以輕松帶走。

　　16、 會議記錄——被忽視的公司機密 秘書往往把會議記錄看得很平常，他們不知道一次高層的會議記錄對于競爭對手意味著什么，公司里經常可以看見有人把會議記錄當成廢紙丟來丟去，任由公司最新的戰略信息在企業的任何角落出現。

　　17、未被采納的策劃案——放棄也是一種選擇 策劃人員知道被采納的策劃是公司機密，去往往不知道被放棄的策劃也是公司機密。有時還會對客戶或媒體談起，而競爭對手可以輕松判斷：你沒有做這些，就一定選擇做了那些！

　　18、客戶——你的機密只是盟友的談資 經常可以在網絡上看到著名咨詢公司的客戶提案，這些精心制作的PPT，凝聚了咨詢公司團隊的汗水和無數個不眠之夜，在一些信用較差的客戶手里可能只是一些隨意傳播的談資。

　　19、招聘活動——你的公司竟然在招聘總監？ 在招聘過程中，成熟的企業不會把用人的單位登在一張廣告里，因為那無異于告訴你的競爭對手：剛剛發生過人力震蕩，人力匱乏。

　　20、招標前兩分鐘——最后的底價總是在最后“出爐” 如果投標的底價內部公開越早，出現泄露的風險越大，在招標開始前兩分鐘，面對關掉手機的參會者，可以公布底價了！

　　21、解聘后半小時——不要給他最后的機會 如果被解雇的員工是今天才得到這個消息，那么，不要讓他再回到他的電腦旁。半個小時的時間，剛好可以讓他收拾自己的用品，和老同事做簡短的告別，天下沒有不散的筵席，半小時足夠了，為了離職員工的清白，更為了信息安全。

　　22、入職后一星期——新人在第一個星期里收集的資料是平時的5倍 只有在這一個星期里，他是隨時準備離開的，他時刻處在瘋狂的拷貝和傳送狀態，提防你的新員工，無論你多么欣賞他。

　　23、合作后半個月——競爭對手竊取情報的慣用手法是：假冒客戶 在初次合作的半個月里，你對信息安全的謹慎只能表明企業做事的嚴謹，可以贏得大部分客戶的諒解和尊敬。除非，他是你的競爭對手。

　　24、離職后30天——危險來自公司以外 一般情況下，一個為企業服務半年以上的員工，離職后30日之內會和公司現有員工保持頻繁的聯系，并且對公司的資料和狀況表現出極度的熱情。如果是被限時離開，那么，在離職30天內通過老同事竊取公司信息的可能性就更大。

　　25、明確對外提案原則——能不留東西的就不給打印稿，能不給電子檔的就盡量給打印稿，能用電子書就不用通用格式。

　　26、保密協議——無論作用大小，和員工簽定清晰的保密協議還是必要的 無規矩不成方圓，明確什么是對的，人們才可以杜絕錯的。保密協議的內容越詳細越好，如果對方心胸坦白，自然會欣然同意。

　　27、責任分解——明確每個人對相關信息的安全責任 所有的機密文件如果出現泄露，可以根據規定找到責任人，追究是次要的，相互監督和防范才是責任分解的最終目的。

　　28、設立信息級別——對公司的機密文件進行級別劃分 比如合同、客戶交往、股東情況列為一級，確定機密傳播的范圍，讓所有人了解信息的傳播界限，避免因為對信息的不了解而導致的信息安全事故。

　　29、異地保存——別把雞蛋放在同一個籃子里 所有備份資料盡量做到異地保存，避免因為重大事故(如：火災、地震、戰爭等)對企業信息帶來致命的打擊。

　　30、認為自己的企業在信息安全上無懈可擊。

　　信息安全瞬間毀滅篇

　　我們必須承認，巨大的打擊總是小概率事件，問題是當他發生的時候就是百分之百。

　　0.1%的幾率足以致死

　　也許在前一秒鐘你還在制定公司第四季度的發展規劃，而下一秒鐘公司已經不復存在。

　　無數世界著名公司就是在9·11那場恐怖襲擊中隨雙子大廈一同葬身火海，許多公司即使沒有瞬間致死，也因數據的全面破壞而損失慘重，從此一蹶不振。據統計，在那場災難中，40%的企業由于數據丟失，根本無法恢復工作。

　　Gartner公司的一項調查表明，在災害之后，如果無法在14天內恢復信息作業，有75%的公司業務會完全停頓，43%的公司再也無法重新開業，有20%的企業在兩年之內被迫宣告破產。

　　《中國財富》曾隨機調查了50家中國企業以及30家世界500強跨國公司的中國分部，97%的企業表示，一旦出現諸如9·11這樣的意外致使辦公大樓倒塌，公司根本無法恢復業務。

　　也許你會認為，9·11這種事情離自己太過遙遠，發生的幾率為0.1%。可是9·11之前，誰又能想到世界性標志建筑世貿大廈竟然在瞬間被毀滅；而紐約大停電之前，哪一個美國人能想到這一停居然是20多個小時——在中國生活的人認為這種現象不足為奇，而在紐約生活的人卻是第一次遇到這樣的事。9·11使美國許多企業遭受重創，紐約大停電也給美國經濟造成300億美元的損失。沒有防備就只有被動等死，在停電事故中，戴姆勒·克萊斯勒(Daimler Chrysler)在北美32家汽車與零件工廠有高達23家被迫暫停運轉。而我們的企業，不是非要等到災難降臨的那一瞬間，才意識到應該未雨綢繆吧？

　　也許我們可以從別人的經驗中獲得一點啟示。

　　紐約大停電啟示錄

　　美國時間2003年8月14日下午四點，北美大部分地區突然停電。誰也沒有料到這一停就是20多個小時，而8月15日恰好是麥格勞希爾公司旗下《商業周刊》的出版日——

　　麥格勞希爾公司全球首席信息官Mostafa Mehrabani在公司北京代表處接受本刊記者專訪時，講述了他們紐約大停電時的親身經歷。

　　“當時情況非常緊急，許多人不斷詢問公司的業務情況，而且第二天《商業周刊》能否正常出版更是得到人們的普遍關注。而實際上，在停電瞬間，我們已經把出版業務全部轉移到新澤西州，因為在那我們有一套備用設備。我們的電力系統很穩定，備用發電機可以在沒有電的情況下持續工作好幾天，所以我們的出版工作沒有受到任何影響。第二天，《商業周刊》如期出版。”

　　麥格勞希爾公司作為信息服務提供商，保護信息安全成為頭等重要之事。而同樣視信息為生命的金融、證券公司也十分注意采取各種措施來保護數據。如電子交易商Nasdaq每周會對系統的防災能力進行測試，他們甚至會切斷正常的電力供應，來監測備用發電機是不是能及時啟動。因此紐約大停電對他們幾乎沒有影響，在他們看來，不過是平時演練的一個真實版本而已。

　　備份再備份

　　意外事故不可避免，但是我們總是有措施將損失降到最低。除了要像麥格勞希爾公司、Nasdaq公司有備用設施外，數據備份也是保護信息安全的重要手段。摩根斯坦利在9·11發生后兩天就恢復正常運營，因為它在新澤西州設有第二套全部股票證券商業文檔資料數據和計算機服務器。麥格勞希爾公司除了新澤西州的數據中心，還在曼哈頓設立備份中心，甚至在大西洋對岸的倫敦都有自己的根據地。而曾在通用電氣(General Electric Company)工作的員工說，GE公司曾經從軍隊手中買下山洞作為數據備份中心，并把它賣給IBM等跨國企業。“就算整個大樓被炸，我們還有山洞。”而美國政府非常重視數據備份工作，通常在一臺計算機邊上就有一個熱備份，在離開這個樓的多少公里以外也要有備份，一般根據導彈的射程。在州的其他地方有一個，跨州、跨國都要有備份。據美國一家數據備份公司透露，在美國，備份的投入能占到整個國家安全投入的40%。

　　專攻信息安全課題的中科院高能物理所許榕生教授在談到多中心多備份時說道：“我們國家除了銀行以外，許多行業像國家外貿、化工等，信息中心都是北京一個點，然后向各個省各個地區輻射。那么一個關鍵部分壞了，修復的時間就要很長。國家在信息化建設上投入很多錢，當初都覺得北京中心的格局好，而沒有從安全角度來考慮。后來才提出多中心概念，要在北京、上海、廣州分別設立中心，3個地區可以隨時切換，聽說現在國內有一家銀行做到了。”

　　對于中小企業來說，出于成本考慮建立一個數據備份中心并不是最恰當的解決方案，但在離自己電腦一段距離的地方做一個數據備份，花費的成本幾乎為零，而許多企業尚沒有這種意識，直到一場意外的雷擊摧毀了公司CEO的電腦為止。

　　信息塊：

　　麥格勞希爾公司旗下有三大主營業務。《商業周刊》為全世界客戶提供信息資訊，標準普爾通過資信評級、獨立投資信息、分析服務、公司評估及價值分析而成為全球投資界權威，麥克勞希爾教育出版公司則是美國最大的出版商。

　　作為全球信息服務供應商，麥格勞希爾視信息為公司重要的資產。首次來華的Mehrabani先生在接受《中國財富》獨家專訪時不斷強調，保衛信息安全要從全世界范圍內著眼。

　　在企業越來越重視信息安全的今天，除了數據備份，數據恢復業務也蓬勃發展起來。在美國還有這樣的公司，專門從9·11廢墟里挖出燒焦的碎片，幫助企業恢復里面的信息。

　　信息安全商業間諜篇

　　使你疲倦的不是遠方的群山，而是你鞋里的一粒石子。讓企業恐懼的不是強大的對手而是自己的商業機密變成了對方手里的底牌，機密到底是怎樣泄漏的？

　　小心10%的不忠實雇員

　　在眾多的公司安全威脅因素中，10%的不忠實雇員給企業帶來的震蕩是管理者們最擔憂的。

　　很多身份設置為“管理者”的E-mail用戶，都收到了一份兜售奧美(Ogilvy)全套創意計劃的郵件，價格為6000元，并且許多人已經購買了這套資料。也就在奧美事件發生的同時，關注神州數碼(DigitalChina)管理制度的經理人們，可以很輕松的在互聯網的某個論壇上，下載神州數碼的年度戰略規劃文件。不忠實雇員竊取企業的機密已經不是什么鮮為人知的事情，但是，即使所有企業的領導者都知道防范不忠實雇員是必要的，他們也無法完全抵擋那些惡意偷盜的員工。“如果真的有雇員惡意的竊取我們的機密，我們根本就沒有方法來制止。”麥格勞希爾公司CIO說。他的這句話在另外一些制度嚴格的公司里也得到了證實，他們同樣無法百分之百的防止員工竊取機密。

　　2003年6月底，微軟公司的員工理查德·格雷格被捕。他通過微軟內部的購買系統，低價購買并轉售了價值1700多萬美元的軟件，自己從中獲取差額利潤。

　　中國企業同樣存在類似的案件，去年8月份，電信方案提供商亞信的“中國網通運營維護支撐系統”、“北京電信公眾IP網絡集成工程規范書”等文檔在中關村市場上被瘋狂搶購，這其中任何一個方案都價值千萬。亞信公司首席執行官兼總裁張醒生先生也表示,這起事故很有可能是因為公司或者合作伙伴對文檔疏于管理，最終導致了內部員工泄露機密。

　　他離職的時候帶走了什么？

　　對于企業來講，那些即將離職的員工是極度危險的。因為不論出于什么原因，他們都希望能夠為自己以后的工作獲取必要的資源。 “實際上，離職員工通過各種手段從原公司拿走一些資料已經成為一種習慣，當然這些資料只是方便以后工作，而不是直接用來出售。”一位離職員工很坦然的說。

　　“我們的雇員可以在下班之后申請加班兩小時，兩小時后他們會去刷門卡，讓電腦系統顯示此人已經離開。但是實際上，員工卻可以通過通向衛生間的那道不鎖的門出入公司，而不留下在公司超時逗留的證據。于是，他們會以最快的速度從同事的電腦上找到自己所需要的資料，并且放到共享中不易被人發現的文件夾內，第二天就可以大大方方的帶走了。”這位離職員工毫不避諱的講到。

　　有些員工為了在應聘時博得新雇主的喜愛，總是很積極的回答雇主的每一個問題，而其中有許多問題都是新雇主為了獲取競爭對手的資料故意設置的。

　　與那些只是做一些小偷小摸的員工相比，那些因不滿而離開公司的職員更加可怕，同樣是2003年，可口可樂公司前雇員馬休·惠特利控告公司有質量問題和舞弊行為，導致美國聯邦檢察官展開對可口可樂的調查。

　　在硬性規定上圍追堵截員工的犯罪行為

　　2003年8月，可口可樂奧運新包裝的保密機制是值得中國企業學習的。在計劃進行之前，可口可樂公司與了解設計方案秘密的北京奧組委簽訂了保密協議，要求合作伙伴不可以透露任何有關新包裝的事宜。與此同時，制罐廠也采取了嚴格的防泄密措施。“空罐被黑色膠布封起來，制罐廠24小時都有專人把守，只有30名工人加班參與生產；在運輸時，空罐被放在了上鎖的全密封貨柜車內，拿著僅有的一把鑰匙的人并不隨車走。這就從硬性的規定上防止員工泄密。"可口可樂駐北京對外事務部負責人翟梅說。

　　而微軟，西門子(Siemens)等公司則是從硬件設備上防止員工拷貝公司資料，因為根據級別區分，他們大部分的員工電腦是不能安裝軟驅和移 動硬盤接口的。這在跨國公司內是非常普遍的做法。另外，IBM公司規定每個員工只有三次查閱同一文檔的機會，并且這三次查看的時間，地點，原因都會被嚴格的記錄下來。當然，從可口可樂新包裝中我們也知道，簽訂嚴格的保密協議是防止企業機密泄漏的最便于操作的方法之一。

　　對于即將離職的員工，跨國公司的普遍做法是在通知員工離職前便凍結員工在公司的所有權限。這一點，聯想今年3月份的裁員就顯得非常專業。在離職員工知道自己被解聘之前，公司便封掉了他在聯想局域網上的ID,員工就不能進入公司的網絡獲取任何資料。

　　“企業安全三分靠技術，七分靠管理，制定嚴格并且易于操作的管理制度是減少安全問題的基礎。”諾基亞企業解決方案部中國區技術部經理王磊先生說。“對于Juniper來說，通過協議從組織結構上明確每一個員工的職責和權力是最重要的，而我們公司與雇員每年都會簽一份長達二三十頁的協議。”剛剛從Netscreen加入Juniper團隊的王平先生說。

　　任何一個細節都可以讓你無意間泄漏公司機密

　　保護一塊價值1000萬的硬盤的同時，請注意有人在搜集你的廢棄文件

　　調研公司對企業安全的要求應該是普通公司所不能比擬的，因為那些容易丟失的調研數據就是他們的核心資產。而在中國的調研公司中，這些調研數據通常被存儲在一塊普通硬盤上。于是公司的管理者幾乎把所有的精力都集中在保護這塊硬盤上。

　　大陸排名僅次于央視索福瑞的新生代數據公司的核心資產就是一塊購買價值為1萬元的存儲器，但是它至少代表了新生代1000萬的資產。于是，公司總裁每天的任務就是保護這塊硬盤，而且事實證明，在總裁的保護下，它確實很安全。

　　但是，2003年，另一著名調研公司前雇員竊取公司與某合作伙伴回扣合同的事件讓所有的調研公司都開始認識到，自己在保護一塊1000萬硬盤的同時，要隨時注意是否有人在搜集公司的廢棄文件。

　　在較真的調研圈子中，公司都有一個不成文的規定，就是員工必須積極回收每一張廢棄的打印文件，并且進行再利用。在外人看來，這是一個非常環保而且節約成本的規定。業內一家著名的調研公司前雇員卻“巧妙”的利用了這項規定。

　　這位可怕的前雇員并沒有通過什么高端的科技來竊取公司的資料，他只是不斷的搜集公司管理人員廢棄的打印文件，而且終于讓他發現了那份合同和其他機密的銷售數據。于是，他便帶著這些機密文件自己開了一家新的調研公司。

　　請克制“大嘴巴”雇員的說話欲望

　　企業領導者無意間泄漏公司機密對企業造成的傷害也是不可估量，因為畢竟他們所掌握的信息比普通雇員要多許多。

　　2004年2月18日上午，某媒體披露了神州數碼財報中的部分數據。但是按照證監會規定，有關財報的所有資料都必須等到19號也就是媒體披露的第二天才能公開。未經國家相關部門審查提前披露公司財報是違法的。這家媒體之所以獲得了這些數據，是神州數碼某高層在接受記者采訪時無意說出來的。

　　當然，普通員工的口風也是公司應該注意的。他們在參加各種會議和貿易展覽時，總是很樂意吹噓自己如何克服技術困難，卻因此泄漏了機密的信息。

　　雇員的錯誤操作總會引狼入室

　　對于那些不忠實的雇員，企業還可以訴諸法律，但對那些粗心的雇員，他們就很難有辦法了。在Datapro Research研究機構的報告中，企業安全危脅52%是員工的錯誤操作引起。

　　從安全重要性來講，銀行應該是僅次于軍隊的，但就是在這樣一個幾乎武裝到牙齒的地方，卻也發生了讓人匪夷所思的事情。

　　2004年3月，人們在二手錄影帶市場驚奇的發現未經銷毀的中國某銀行ATM機內的監控錄影帶。通過錄影帶，人們可以清楚的看見顧客在取款時所輸入的密碼。追究起來，只是因為這家銀行的雇員沒有重視這些未經銷毀的錄影帶，私自倒賣給二手市場，無意中泄漏了銀行最重要的客戶資料。

　　當然，雇員在互聯網上的一不小心也可能讓第三方獲取企業的機密信息。2004年4月，引起美國政府和企業全面警戒的間諜軟件以及廣告軟件就是一種隨時可以竊取個人或者是企業資料的軟件，只要用戶不小心瀏覽了捆綁有間諜軟件或者廣告軟件的網頁。目前，干擾美國的主要間諜軟件公司為Claria(原稱Gator),廣告軟件公司為WhenU。大部分由這兩家公司搜集的用戶資料被賣給了第三方。雇員一不小心的錯誤操作總是會引狼入室，而且趕也趕不走。

　　“這種情況，我們公司通過監控和限制每個員工瀏覽的網頁解決。員工只能在規定的時間內鏈接公司規定的網頁，這樣可以盡量避免類似的情況發生。”億陽集團的員工說。

　　敵人隨時都瞄準你的任何一個漏洞

　　垃圾里面的秘密

　　這里的外部攻擊并不僅僅指網絡黑客對企業網絡的攻擊，更多的是來自競爭對手的調查，從而竊取企業的銷售資料或者是技術配方，而他們的調查一般從垃圾開始。

　　幾年前，一家著名的市場調查公司調查麥當勞的產品銷售量，他們使用了痕跡調查方法，收集了當天麥當勞所有的垃圾，雇用了許多零時工從麥當勞店內收集垃圾，包括包裝紙盒等。他們就是通過計算這些垃圾得出了麥當勞每一種產品的銷售量，并且推算出賣當勞下一年的銷售計劃。在這之后，麥當勞門店內的垃圾都要經過自己的處理后才運走。同樣的事情也發生在雅芳和玫琳凱化妝品公司之間。雅芳就曾經雇傭私人偵探收集了玫琳凱的丟棄物，并且進一步破解了競爭對手的新化妝品配方。對于玫琳凱來說，她無法奪回這些珍貴的東西，因為雅芳只是研究了她的垃圾而已，這是完全合法的。

　　當然，有一些競爭對手的行徑更加惡劣，他們會花1000元雇用一個在校大學生，讓他以實習的名義進入企業。而這個看上去很安全的實習生就可以輕易的竊取公司的人事變動表，并且不被發現。而競爭對手通過分析這個表，就可以很準確的判斷出公司下一步的發展方向和主營業務。

　　黑客有多黑

　　當然，說到外部攻擊不可能排除黑客對企業網站的攻擊。據有關調查顯示，在黑客攻擊中，44%的人是為了錢，16%是為了破壞軟件，16%是為了竊取信息，12%是為了篡改數據，10%是為了盜用服務，另外2%是無心之過。

　　現在，競爭對手通過網絡竊取企業的信息或者是破壞軟件并不是一件很容易的事情，因為企業會利用一切手段嚴加看守自己的核心資產。但是，消費者盜用服務卻是企業目前遇到的最大困難。

　　目前，微軟和雅虎(Yahoo.com)免費電子郵箱用戶可以通過攻擊漏洞，免費擴容的事件引起了大家的普遍關注。免費的MSN或者是hotmail用戶可以通過安裝微軟給付費用戶發行的MSN9服務光盤里的程序來實現對自己的MSN帳號升級，不付一分錢便可以終身享受一切相關的增值服務。而雅虎近日出現的漏洞似乎不可思議，用戶只要進入普通的郵箱登陸界面，然后輕易就可以將自己的郵箱從5兆升到10兆。當然，微軟和雅虎都已經為這個漏洞付出了代價。另外，一些游戲玩家通過模仿用戶，盜取網絡游戲運營商的游戲幣也是讓游戲公司非常頭疼的事情。

　　學會保護自己

　　“實際上，現在的中國企業在技術上與國外已經趨于同步，無論是防火墻，還是病毒軟件，還是VPN技術早已經與國際接軌。”安氏(isone)CTO陳政說。但是，中國企業在保衛公司信息安全方面總是顯得如此單薄，漏洞百出。因為他們根本沒有意識到需要讓每一個員工來共同保衛公司安全。

　　某軟件公司80年代末期編寫的軟件程序磁帶占用了倉庫大量的空間，公司所有的年輕員工都主張賣掉這批已經沒有什么參考價值的資料，但遭到了一位曾參加編寫的工程師的竭力反對，而他的理由很簡單卻也很重要：“這些東西對大部分人來說沒有參考價值，但是一旦被賣到國外，就非常危險。”所以，從管理的角度來講，首先就是要讓員工樹立起保衛公司安全的意識。

　　當然，員工的辦公安全也是企業應該考慮到的問題。因為大部分治安嚴謹的小區都有自己的網絡監控和電話監控系統。如果競爭對手在小區內對企業員工進行監控，他們可以輕而易舉的獲取相關資料。對于這一點，諾基亞的解決方案很實用：“我們外出辦公的員工在登陸公司局域網時要通過公司為其專門設置的密碼，而且這個密碼是不斷更改的。一個員工不可能長期使用同一個密碼進入公司的局域網。”諾基亞中國區企業解決方案部王磊說。

　　所以對于企業的領導者來說，要減少外部攻擊對企業造成的損傷，除了要花大筆的費用引進技術外，還必須用嚴格的規定來保證攻擊者無懈可擊。畢竟，蒼蠅不叮無縫的蛋。

　　國防科工委網絡要求內外網絡嚴格隔離，因為他們要保護的是紅頭文件，但是限制幾千人聯網的權力是一件非常吃力的事情。于是，國防科工委的院長親自帶隊查處。他們嚴格監控自己的外網出口，一旦發現內網有人通過外網出口傳輸文件，就會馬上跟蹤IP地址，而等待這個員工的將是嚴厲的處罰。

　　信息安全頻繁攻擊篇

　　日常的干擾未必造成毀滅性打擊，卻足以讓公司的系統暫時癱瘓，令人心煩氣躁。

　　為什么被病毒偷襲

　　一場意外足以摧毀整座大樓，但意外不是每天都有；一次病毒的攻擊可以讓公司整個局域網癱瘓，這樣的事情卻時有發生。不管制造病毒的動機是有意破壞還是無心之過，給企業造成的影響都是極具破壞性的。

　　“震蕩波”5月3日入侵歐盟委員會電腦系統。據歐盟發言人說，截至3日，在總部設于比利時布魯塞爾的歐委會2.5萬臺電腦中，至少有1200臺已經遭"震蕩波"入侵。同一天，臺灣全省郵局上午遭到入侵，一千三百個郵局中近三分之一因為死機而癱瘓，所有作業改成人工操作。德國郵政系統、英國海岸警衛系統、澳大利亞鐵路系統以及高盛投資銀行都無一幸免，全球超過1800萬臺的電腦受到“震蕩波”病毒的攻擊。

　　國內企業同樣也遭遇到巨大的打擊。一家新聞單位僅在5月8日一天就受到病毒及變種的1700次攻擊。而根據瑞星(Rising)科技股份有限公司副總裁毛一丁給出的第一手資料，從5月1日到5月10日16時，僅瑞星接到的用戶求助電話就已超過4萬，許多企業的局域網已經完全癱瘓。

　　而現實情況是，許多企業在明知道其他企業已中毒，而且媒體已經廣泛宣傳如何防毒的情況下，卻仍然麻痹大意，步入其他企業的后塵，這種狀況著實讓人遺憾。諾基亞企業解決方案部中國區技術部經理王磊說：“中國企業缺乏的不是技術和產品，而是意識和管理。”對于企業來說，防范病毒攻擊最重要的方法不是裝什么殺毒軟件、到哪里下載補丁，而是如何加強意識并完善企業的安全制度，保證遇到問題時能在第一時間做出反應。

　　病毒反擊實戰錄

　　2004年2月的某天深夜，麥格勞希爾公司的HEPDEX系統正高速運轉，正在進行檢測工作。零時剛過，系統便檢測到異樣情況，發現不正常的信息標題大量涌入，而且正從一臺服務器向另一臺服務器移 動。后來證實，這是當時給全球造成巨大損失的Mydoom病毒。

　　當時值班的工作人員立即判斷可能是信息安全問題，于是立刻打電話通知信息安全負責人，應急響應小組也立刻開始進入備戰狀態，開始檢查狀況、隔離受攻擊服務器、下載補丁、進行修復等。從發現狀態，緊急集合隊伍，到軟件公司下載補丁，到最后一切恢復正常，整個過程不過幾小時。第二天早晨8點，公司已經可以控制住所有網絡端口。當病毒再次進入時，系統已經可以自動刪除含病毒的附件，郵件收發一切正常，業務也不會受到干擾。而且麥格勞希爾公司在公關反應上也很迅速，第二天早晨，公司已經通過大眾媒體向16000名用戶宣布已成功擊敗病毒，用戶自可以放心與公司繼續進行業務往來，沒有任何問題。接下來幾天，公司的監測工作一直在繼續進行，直到確信問題徹底解決。

　　安信置業國際網絡安全(北京)公司(International Security System)中國區總經理周凱在3月8日晚11：30突然接到總部電話，得知自己系統的一個漏洞可能會被利用傳播病毒。作為信息安全服務提供商，ISS一面要保證自己安全，另一方面更需要在第一時間通知所有用戶，而且病毒如果利用安全產品的漏洞，后果更加可怕。周凱首先讓總工程師把總部傳來的資料翻譯成中文，同時負責聯系相關人員出解決方案，應急小組所有人員以及聯系方式都在一張名單上，就放在離他最近的抽屜里，很快，所有人員聚集完畢，而關于漏洞的消息也在第二天一早8：00就發布給Sina、Sohu、Tom等媒體。3月20日，蠕蟲病毒“維迪”發作，影響甚微。

　　我們需要應急響應小組

　　麥格勞希爾公司首席信息官Mostafa Mehrabani說：“一旦你的公司遭遇某種襲擊，事先都會有個預兆，這種征兆成百上千，所以你必須做出判斷，什么時候應該嚴肅對待。而且大多數時候，這些征兆都不是物化的，所以你必須積極主動地觀察一切動向，不能有絲毫懈怠。病毒開始襲擊某個點，然后從一個服務器跳到另一臺，又跳到另一臺，你的反應速度必須快之又快。時間，是絕對重要的。最重要的是，如果你沒有一個合適的標準，沒有完善的程序，或者沒有這樣一個優秀的團隊來執行，那么在你意識到病毒的存在時，你的整個網絡已經崩潰了。”

　　“我們的應急小組是一個虛擬的團隊，我們不知道他們在哪，他們散布在世界各地，但都在同一個制度和政策下活動，一旦有狀況發生，他們能在最短時間內集合起來。我們還對他們定期進行培訓，以確保他們擁有準確的知識以應對最新的挑戰。我的下屬首席信息安全官是這個小組的直接領導。”

　　在強調保護信息安全的今天，國內企業除了重視加大對安全產品的投入之外，更重要的是完善這樣一種應急機制以保證對付突發事件。ISS公司的周凱說：“我們從美國總部到各個地區的分部，每個國家都有應急名單，除了必須包括的資料如手機、家庭電話等，更重要的是，我們還規定一旦通過各種途徑暫時找不到這個人，那么誰可以代替他擔負責任，而這一切都要固化在名單上。”

　　可是國內很多企業包括大型企業的內部，都沒有首席信息官(CIO)的職位設置，更別提首席信息安全官(CISO或CSO)了，應急響應小組更是無從談起。那么一旦出現意外，根本找不到相關負責人，整個企業的安全防線其實非常脆弱，崩潰就在一瞬間。

　　垃圾郵件浪費了100億

　　根據研究機構MessageLabs今年的調查數字顯示，垃圾郵件 占全球電子郵件的36%，其中58.4%都在美國。

　　研究機構Ferris Research今年一項調查也發現，全球企業因垃圾郵件浪費的金額，竟已高達100億美元！這些浪費包括計算機資源、管理人員與收件者的時間成本，以及因此而降低的員工生產力。這項研究指出，光是北美地區，企業內的使用者，每個人每天到辦公室一打開計算機，平均就會收到10封垃圾郵件。

　　到底是哪些人在發送廣告郵件？效益到底有多大？他們手上的名單是從哪里來的？

　　Kevin(化名)，一位常幫某家傳銷公司發送線上廣告郵件的人員，可以說是這些垃圾郵件的“幕后黑手”之一。從他的身上，可以一窺背后哪些驚人內幕？

　　發信2小時，月入5千！

　　學美工出身、本身從事網絡拍賣的Kevin，每天只要兼差2小時發送廣告郵件，就可以帶來每個月4～5千元的額外收入。

　　這一切的過程都很“e”。一年多前，Kevin從電子信箱中一封廣告郵件，看到某家傳銷公司征求兼職人員。它的工作內容是用網絡發送廣告郵件，強調可“在家工作，無須上班”，薪水則依廣告郵件的回復率而定。Kevin在線上填寫了資料，不久就收到email面試通知。

　　錄取之后，上過1小時的新人訓練課程，公司會提供廣告網頁，還有可以抓到網友電子信箱的搜尋軟件“Advanced Email Estractor”、發信軟件“Dmailer”，就能工作了。

　　Kevin表示，由于他本身另外有生意，所以每天只發送1～2萬封郵件。然而，有的同事是做全職的，每天連續發送10小時的廣告信，數量可高達數10萬封以上！

　　至于寄送名單到底是怎么來的？Kevin表示，來源有兩種：

　　1.運用搜索軟件：到各求職、交友以及新浪、網易等大型門戶網站，就可以搜到網友在上面登錄的電子信箱。

　　2.上網買名單：有人會在網絡上發廣告信賣名單光盤，價格從200～600元到數千元不等。只要在線上先填寫訂購單，對方會用郵局寄送，采取“貨到付款”的方式，不用碰面。Kevin就曾花數百元買過一次這樣的名單光盤，里面有600萬筆資料，“效果相當不錯”，他說。

　　至于回收率，Kevin指出，以他自己的經驗來說，網友回復率大約有2～3成。“當然，也有人寫信來罵，說收到廣告信很煩！”他不好意思地笑著說。

　　發信的、防堵的都有錢賺

　　把這些回信整理好之后，回傳給公司，就可以依回信數量來領錢；據Kevin透露，他每個月在這方面的收入是4～5千元。

　　不曉得這樣的數字有沒有夸大。因為研究機構Vertis調查發現，高達8成的美國成人表示厭惡pop-up(彈出式網絡廣告)、垃圾郵件、當面行銷；比較能接受郵寄到家的實體廣告信件、報紙廣告、郵購目錄。

　　不過，無論大多數人多么討厭廣告郵件，只要有極少比例的人愿意回復，業者就可在其中挖掘商機。

　　從事這項副業之后，Kevin對廣告郵件的態度也有轉變。以前，他一看到垃圾信就刪掉；如今，他會欣賞別人的廣告頁面設計得如何，作為自己發送郵件的參考。

　　此外，廣告郵件雖惹人厭，防治垃圾郵件卻也帶來龐大商機。研究機構Ferris估計，2003年全球防治垃圾郵件服務的產值已達1.2億美元，2008年更將成長到10億美元。既然發信的、防毒的都有錢賺，想讓廣告郵件銷聲匿跡，看來是很難！

　　垃圾信息分散了員工的注意力

　　比病毒更常見的是垃圾信息，雖然它并不能像偷竊和災難一樣給您一個“立竿見影”的損失。但是它確實是普遍存在的，而且正在不斷的消耗股東的投資，威脅著公司的正常運作。

　　對于那些為員工支付薪水的管理者來說，他們應該盡量減少員工處理瑣碎事情的時間，避免員工每天因泛濫成災的色情郵件，或是股市的暴跌而痛苦不堪。

　　內部垃圾信息讓員工心神不寧

　　我們之所以用“垃圾信息”而沒有使用“垃圾郵件”這個詞匯，是因為在即時通訊風行的現在，干擾員工工作的不僅僅是定期收取的“垃圾郵件”，更多的是員工自己無法控制的“即時信息”，而這些無用的“即時信息”大多是由公司的內部員工制造。

　　一些小型企業購買了RTX后，并沒有及時對每一個員工進行權限設置，造成每一個員工都可以向全體員工同時發送消息，而大部分消息對某一個具體的員工來講是不必要的。QQ也會給員工造成同樣的麻煩。據統計，在一個沒有任何安全過濾系統的企業中，一個員工一天內所收取的即時消息中，有一小時是無用的，而且員工在收到這些垃圾消息會感到煩惱。

　　與通信相關的安全性服務商美國FaceTime Communications和美國IDC合作于當地時間2004年4月26日公布了關于企業利用即時信息(IM)情況的調查結果。他們發現90%不許使用即時信息軟件的企業擔心該種類的軟件會導致"生產效率下降"、"威脅到信息和網絡的安全"以及"難以遵守法規及公司內部規定"等。

　　對于那些習慣使用郵件通知員工的企業來講，內部員工的垃圾郵件已經成為令員工十分頭疼的事情。“公司里總是有莫名其妙的不認識的人給我發送郵件，看上去是一個群發的通知，我還不能把他當成垃圾郵件扔在一邊，但看了之后，發現和我沒有任何關系。”某咨詢公司的公關經理抱怨道。

　　“到目前為止，還沒有什么技術是針對企業內部垃圾郵件過濾的。只能從公司的規定中控制，”瑞星科技股份有限公司副總裁毛一丁說。

　　充斥互聯網的色情廣告郵件降低員工的工作效率

　　“外部垃圾信息”主要指的是垃圾郵件。在互聯網上傳輸的垃圾郵件占用大量的資源，不但造成企業網絡資源的浪費，而且一旦垃圾郵件占到企業互聯網總流量的三分之一，就會造成巨大的存儲需求，直接降低計算機的運作速度。

　　據市場研究公司Gartner公司估計，一家1萬名員工的公司每年因為垃圾郵件問題而造成的生產力損失要超過1300萬美元。歐盟的一項調查表明，垃圾郵件每年為歐洲造成超過60億歐元的經濟損失。

　　雖然企業可以運用各種垃圾郵件過濾器來減少垃圾郵件對員工的騷擾，但到目前為止，沒有任何一個處理方法是完美的。名單刪除法，即不在名單列表上的都被視為垃圾郵件是目前比較普遍的做法。但是，伴隨著垃圾郵件的刪除，一些新客戶的郵件也會被視為垃圾郵件，而且七天以后被自動刪除，造成的損失很大。

　　ISS公司收購德國Cobion AG公司之后，引進了新垃圾郵件處理系統，這個系統不采用列表刪除法，而是可以查看到郵件中是否包含不健康圖片，這就很大程度上緩解了垃圾郵件對員工的干擾，因為現在大部分的廣告垃圾郵件是包含色情圖片的。

　　跟蹤足球賽浪費了公司的帶寬

　　員工利用公司資源處理私人事務同樣會嚴重影響工作效率。據調查，在2002年世界杯期間，歐洲有5000萬以上的員工違反公司規定在辦公電腦上跟蹤比賽，這給歐洲企業帶來了巨大的麻煩。由于太多人在線收看比賽，導致過渡占用公司網絡帶寬，影響了正常交易。

　　公司員工在工作時間不遵守公司規定，隨意的下載音樂和電影、上網炒股、收看在線比賽甚至搜索色情網站，這些導致網絡堵塞的現象在中國的企業中也時有發生。而更糟糕的是，許多企業領導仍然沒有意識到員工隨意占用公司帶寬是公司安全的一部分。

　　“我們公司沒有任何政策規定員工不許占用公司帶寬下載電影、音樂，直到有一天我們的總裁無法收取他的郵件為止。”某大型企業的職員透漏說。

　　目前，多數大型跨國公司采取的是路由器監控，也就是嚴格監控員工曾經鏈接過的網站。雖然中國企業現在也漸漸開始引進這項技術，但有所不同的是，一旦員工違反公司規定，利用公司的網絡資源處理私人問題，跨國公司會立刻 “逮捕”這名員工，并且進行嚴厲的懲罰，而且這種懲罰是實實在在的現金罰款。

　　麥格勞希爾公司也正是通過這種嚴格的政策來保證公司職員不會浪費公司的網絡資源。中國科學院高能物理研究所計算中心許教授所說：“有了技術，有了制度，沒有執行，企業信息安全保障體系仍然等于零。而公司管理者能夠做的就是制定嚴格而易于執行的游戲規則。”

　　結語:解讀信息安全公式

　　信息安全公式：

　　信息安全＝先進技術＋防患意識＋完美流程＋嚴格的制度＋優秀的執行團隊＋法律保障

　　加強意識 防患未然

　　《中國財富》所指向的信息威脅遠遠超過黑客攻擊、病毒肆虐的范疇，信息安全也遠不是“技術”二字可以解決的問題。我們自己的安全自然要加倍保護，而首先即是加強防患意識，不要在技術上已近乎完美，卻因一時疏忽而滿盤皆輸。千萬不要像有些公司的總裁，嚴格規定不允許任何員工隨意進入自己的辦公室，但卻忘了防范清潔工；也不要像有些銀行完全有能力向NEC購買故障率為千萬分之一的服務器，卻使監控錄像帶輕易流入二手市場；不要等到某一天公司的一個普通員工捧著一疊董事會的協議交給你，說是從他身旁的打印機取出來的；也不要等到競爭對手對自己第二年的戰略規劃已了如指掌，只因花幾百元買通普通員工輕易取走了你上一年的人事變動情況表，才恍然大悟。

　　金諾網絡安全技術有限公司(KINGNET SECURITY INC.)總裁金波說：“國內許多企業缺乏的是安全意識的培養。舉個很簡單的例子，黑客攻擊往往利用的是最古老的漏洞。可以看出，這種安全問題絕不是技術層面上的。”而那些購買了瑞星、金山的殺毒軟件后從不升級的企業，在遇到最新病毒時無法應對則是缺乏意識的另一個印證。危機總是在你意識最薄弱的時候發生，不要等到中毒后才開始尋找解藥。

　　規范制度 確保實施

　　意識之后，就是制度和執行的問題。

　　本刊記者專訪首次來華的麥格勞希爾公司全球CIO Mostafa Mehrabani時，這位曾被評為世界百名信息技術最佳領袖，帶領全球技術隊伍為公司以及所有客戶提供信息解決方案的CIO一開始就提出保衛信息安全的四大要素：技術、制度、流程和人。

　　“合適的標準、完善的程序、優秀的執行團隊，是一個企業信息化安全的重要保障。技術只是基礎保障，技術不等于全部，很多問題不是裝一個防火墻或者一個IDS(Intrusion Detection System 入侵檢測系統)就能解決的。在組織架構上，我們有兩個小組，一是規模較小的一組人，專門制定安全政策和規則，另外一組是負責執行的員工，分散在軟件、硬件以及網絡等相應部門。制度很重要，而如何執行這個制度更為重要，沒有執行一切都為零。我們能保證一旦遇到緊急情況，散落在各地的應急響應小組能在最短時間內集合起來。一旦有成員違反規定，我們將有十分嚴格的懲罰措施。”

　　安氏CTO陳政表示：“給企業提供的安全服務再周到，如果企業的執行力度不夠，只能發揮其中的一小部分功能，1加1不一定等于2。” 任何問題歸根到底都是人的因素，加強對員工的管理，對企業管理者來說比單純購買產品或者制定規則重要得多，像我們國家許多保密部門信息化安全部署得很全面，但只要一個員工不按規定辦事，上班時偷偷連上外網，機密很有可能就這樣流出。“本來以為規定就足夠了，但是人的心理是沒辦法監控的。所以對人的管理應該是信息安全最為重要的問題。”許教授說。

　　電子取證 法律結合技術解決安全問題

　　而對人的管理還需要通過法律來約束，前提又是技術做保障。

　　當年，安然公司為了銷毀證據，公司里的碎紙機整天不停地高速運轉，大量文件資料被銷毀，卻不能公然焚燒，他們就把這些碎紙裝進麻袋里，放在卡車上，裝了好幾輛卡車，裝上卡車又不知道往哪兒開。于是公司高層下達命令，讓這些滿載碎紙的卡車在高速公路上開下去，一直開了一兩個星期……

　　另一方面，公司電腦存有大量重要資料，包括財務報表等，他們必須銷毀這些證據。FBI預料他們要進行大規模的破壞，卡車是找不到了，但電腦跑不了。他們就以最快速度趕到公司，一個早晨便將100臺電腦全部封鎖。當場運用取證技術，電腦有無口令都無所謂，因為可以直接把硬盤鏡像過來。這種技術原理不復雜，相當于照一張相，而現場不加任何改動。鏡像后加自己的軟件，對磁盤結構進行專門分析，研究刪除的文件怎么恢復，最終獲得大量輔助證據。

　　電子取證技術已經在輔助公安部偵破犯罪方面發揮了很大的功效。在我國，許榕生教授和他的學生們恰好正在研究這個課題并計劃投入生產。許教授說：“這種取證技術可以記錄黑客入侵的每個行為，時間精確到秒，而且還可以恢復已被刪除的文件。”許教授目前正在研究“白匣子”。與“黑匣子”記錄黑客入侵行為不同，“白匣子”專門記錄知識產權。“如果你的文件在這個匣子上拷貝一次，就留下證據，后面的人如果拿不出其他證據證明在之前拷貝過，就足以證明它的產權是你的。”對員工的每一次拷貝行為都有記錄，那么再處理員工偷盜問題時，就有技術和法律做保障，加上制度的制定以及對員工價值觀的培訓，企業信息安全防線就會更加穩固。

　　我們終究不能像電影《黑衣人》或者《記憶的裂痕》那樣，通過消除員工的記憶來保證企業機密不被泄露，我們也永遠無法阻止地震或火災的發生，但是我們有辦法讓我們的企業更安全。

　　信息塊：

　　企業信息安全重要附加提示：

　　在越來越依賴信息化的今天，企業不要完全放棄傳統方式。

　　在校學生王臻在國內一家著名證券公司實習時，曾親身經歷了證券公司一次停電事故。王臻回憶說：“當時主機和副機同時停止運轉，股民馬上產生騷動。總經理給副經理打電話，兩人在3分鐘之內做出決定，改用手工操作、人工報盤的形式，打電話了解行情。整個斷電過程持續了3小時，但是我們幾乎沒有遭受任何損失，第二天媒體也未對此事進行報道。”

　　在把企業信息工作外包給技術公司時，要把核心業務牢牢掌握在自己手中。

　　上海農工商超市主管信息化的周勇說：“像我們的核心資源商店、門店、以及總部信息都有我們自己來做，包括配送中心。而像電子商務、財務、人力資源、呼叫中心、供應鏈等就外包出去。這樣做主要從安全的角度來考慮，自己永遠要掌控最核心的信息資源。”

　　與數據備份相比，人員備份更為重要。

　　周勇還說：“除了數據備份，人員的備份也非常重要。即做信息安全的人，兩個人的權限有交叉，那么就不怕人員的流動。”另外，在億陽集團工作的劉然說：“探討信息安全，一個最重要的環節是對管理員自身的管理。管理員本身就是漏洞。其他人都不能上網，但是管理員自己能。當老總不懂這些時，管理員的權限就無限擴大了，一旦管理員自己出了問題，后果將更加嚴重。”