導(dǎo)語：使你疲倦的不是遠方的群山，而是你鞋里的一粒石子。讓企業(yè)恐懼的不是強大的對手而是自己的商業(yè)機密變成了對方手里的底牌，機密到底是怎樣泄漏的？


小心10%

2004年5月11號，很多身份設(shè)置為“管理者”的E-mail用戶，都收到了一份兜售奧美(Oglive)“”的郵件，價格為6000元，并且許多人已經(jīng)購買了這套管理資料。也就在奧美事件發(fā)生的同時，關(guān)注聯(lián)想(lenovo)管理制度的經(jīng)理人們可以很輕松的在互聯(lián)網(wǎng)的某個論壇上下載聯(lián)想的年度戰(zhàn)略規(guī)劃文件。不忠實雇員竊取企業(yè)的機密已經(jīng)不是什么鮮為人知的事情，但是，即使所有企業(yè)的領(lǐng)導(dǎo)者都知道防范不忠實雇員是必要的，他們也無法完全抵擋那些惡意偷盜的員工。“如果真的有雇員惡意的竊取我們的機密，我們根本就沒有方法來制止。”麥格勞希爾CIO說。他的這句話在另外一些制度嚴格的公司里也得到了證實，他們同樣無法百分之百的防止員工竊取機密。
2003年6月底，微軟(Microsoft)公司的員工理查德·格雷格被捕。他通過微軟內(nèi)部的購買系統(tǒng)，低價購買并轉(zhuǎn)售了價值1700多萬美元的軟件，自己從中獲取差額利潤。
中國企業(yè)同樣存在類似的案件，去年8月份，電信方案提供商亞信的"中國網(wǎng)通運營維護支撐系統(tǒng)"、"北京電信公眾IP網(wǎng)絡(luò)集成工程規(guī)范書"等文檔在中關(guān)村市場上被瘋狂搶購，這其中任何一個方案都價值千萬。亞信公司首席執(zhí)行官兼總裁張醒生先生也表示,這起事故很有可能是因為公司或者合作伙伴對文檔的疏忽管理，才造成內(nèi)部員工泄漏機密。
他離職的時候帶走了什么？
對于企業(yè)來講，那些即將離職的員工是極度危險的。因為不論出于什么原因，他們都希望能夠為自己以后的工作獲取必要的資源。 “實際上，離職員工通過各種手段從原公司拿走一些資料已經(jīng)成為一種規(guī)則，當(dāng)然這些資料只是方便以后工作，而不是直接用來出售。”一位離職員工很坦然的說。
“我們的雇員可以在下班之后申請加班兩小時，兩小時后他們會去刷門卡，讓電腦系統(tǒng)顯示此人已經(jīng)離開。但是實際上，通向衛(wèi)生間的那道不鎖的門為員工提供了方便。于是，他們會以最快的速度從同事的電腦上找到自己所需要的資料，并且放到共享中不易被人發(fā)現(xiàn)的文件夾內(nèi)，第二天就可以大大方方的帶走了。”這位離職員工毫不避諱的講到。
有些員工為了在應(yīng)聘時博得新雇主的喜愛，總是很積極的回答雇主的每一個問題，而其中有許多問題都是新雇主為了獲取競爭對手的資料故意設(shè)置的。
與那些只是做一些小偷小摸的員工相比，那些因不滿而離開公司的職員更加可怕，同樣是2003年，可口可樂(cocacola)公司前雇員馬休·惠特利控告公司有質(zhì)量問題和舞弊行為，導(dǎo)致美國聯(lián)邦檢察官展開對可口可樂的調(diào)查。
硬性規(guī)定上圍追堵截員工的犯罪行為
2003年8月，可口可樂奧運新包裝的保密機制是值得中國企業(yè)學(xué)習(xí)的。在計劃進行之前，可口可樂公司與了解設(shè)計方案秘密的北京奧足委簽訂了保密協(xié)議，要求合作伙伴不可以透露任何有關(guān)新包裝的事宜。與此同時，制罐廠也采取了嚴格的防泄密措施。“空罐被黑色膠布封起來，制罐廠24小時都有專人把守，只有30名工人加班參與生產(chǎn)；在運輸時，空罐被放在了上鎖的全密封貨柜車內(nèi)，拿著僅有一把鑰匙的人并不隨車走。這就從硬性的規(guī)定上防止員工泄漏。"可口可樂駐北京對外事務(wù)部負責(zé)人翟梅說。
而微軟，西門子(Simenz)等公司則是從硬件設(shè)備上防止員工拷貝公司資料，因為根據(jù)級別區(qū)分，他們大部分的員工電腦是不能安裝軟驅(qū)和移動硬盤接口的。這在跨國公司內(nèi)是非常普遍的做法。另外，IBM公司規(guī)定每個員工只有三次查閱同一文檔的機會，并且這三次查看的時間，地點，原因都會被嚴格的記錄下來。當(dāng)然，從可口可樂新包裝中我們也知道，簽訂嚴格的保密協(xié)議是防止企業(yè)機密泄漏的最便于操作的方法之一。
對于即將離職的員工，跨國公司的普遍做法在通知員工離職前便凍結(jié)員工在公司的所有權(quán)限。這一點，聯(lián)想3月份的裁員就顯得非常專業(yè)。在離職員工知道自己被解聘之前，公司便封掉了他在聯(lián)想局域網(wǎng)上的ID,員工就不能進入公司的網(wǎng)絡(luò)獲取任何資料。
“企業(yè)安全三分管理，七分管理，制定嚴格并且易于操作的管理制度是減少安全問題的基礎(chǔ)。”諾基亞（NOKIA）中國區(qū)企業(yè)解決方案部技術(shù)部經(jīng)理王磊先生說。“對于Juniper來說，通過協(xié)議從組織結(jié)構(gòu)上明確每一個員工的職責(zé)和權(quán)力是最重要的，而我們公司與雇員每年都會簽長達二三十頁的協(xié)議。”剛剛從Netscreen加入Juniper團隊的王平先生說。
任何一個細節(jié)都可以讓你無意間泄漏公司機密
保護一塊價值1000萬的硬盤的同時，請注意有人在搜集你的廢棄文件
調(diào)研公司對企業(yè)安全的要求應(yīng)該是普通公司所不能比擬的，因為那些容易丟失的調(diào)研數(shù)據(jù)就是他們的核心資產(chǎn)。而在中國的調(diào)研公司中，這些調(diào)研數(shù)據(jù)通常被存儲在一塊普通硬盤上。于是公司的管理著幾乎把所有的精力都集中在保護這塊硬盤上了。
大陸排名僅次于央視索福瑞的新生代數(shù)據(jù)公司的核心資產(chǎn)就是一塊購買價值為10000元的存儲器，但是它至少代表了新生代1000萬的固定資產(chǎn)。于是，公司總裁每天的任務(wù)就是保護這塊硬盤，而且事實證明，在總裁的保護下，它確實很安全。
但是，2003年，世紀華文前雇員竊取公司與某合作伙伴回扣合同的事件讓所有的調(diào)研公司都開始認識到，自己在保護一塊1000萬硬盤的同時，要隨時注意是否有人在搜集公司的廢棄文件。
在較針的調(diào)研圈子中，公司都有一個不成文的規(guī)定，就是員工必須積極回收每一張廢棄的打印文件，并且進行再利用。在外人看來，這是一個非常環(huán)保而且節(jié)約成本的規(guī)定。世紀華文前雇員卻“巧妙”的利用了這項規(guī)定。
這位可怕的前雇員并沒有通過什么高端的科技來竊取公司的資料，他只是不斷的搜集公司管理人員廢棄的打印文件，而且終于讓他發(fā)現(xiàn)了那份合同和其他機密的銷售數(shù)據(jù)。于是，他便帶著這些機密文件自己開了一家新的調(diào)研公司。
請克制“大嘴巴”雇員的說話欲望
企業(yè)領(lǐng)導(dǎo)者無意間泄漏公司機密對企業(yè)造成的傷害也是不可估量，因為畢竟他們所掌握的信息比普通雇員要多許多。
2004年2月18日上午，某媒體披露了神州數(shù)碼財報中的部分數(shù)據(jù)。但是按照公司規(guī)定，有關(guān)財報的所有資料都必須等到19號也就是媒體披露的第二天才公開。而未經(jīng)國家相關(guān)部門審查提前披露公司財報是違法的。這家媒體之所以獲得了這些數(shù)據(jù)，是神州數(shù)碼的**總經(jīng)理在接受記者采訪時無意說出來的。
當(dāng)然，普通員工的口風(fēng)也是公司應(yīng)該注意的。他們在參加各種會議和貿(mào)易展覽時，總是很樂意吹噓自己是如何克服技術(shù)困難，因而泄漏了機密的信息。
雇員的錯誤操作總會引狼入室
對于那些不忠實的雇員，企業(yè)還可以訴諸法律，但對那些粗心的雇員，他們就更沒有辦法了。在Datapro Research研究機構(gòu)的報告中，企業(yè)安全危脅52%是員工的錯誤操作引起。
從安全重要性來講，銀行應(yīng)該是僅次于軍隊的，但就是在這樣一個幾乎武裝到牙齒的地方，卻也發(fā)生了讓人匪夷所思的事情。
2004年3月，人們在二手錄影帶市場驚奇的發(fā)現(xiàn)未經(jīng)銷毀的中國某銀行ATM機內(nèi)的監(jiān)控錄影帶。通過錄影帶，人們可以清楚的看見顧客在取款時所用的密碼。追究起來，只是因為這家銀行的雇員沒有重視這些未經(jīng)銷毀的錄影帶，私自倒賣給二手市場，無意中泄漏了銀行最重要的客戶資料。
當(dāng)然，雇員在互聯(lián)網(wǎng)上的一不小心也可能讓第三方獲取企業(yè)的機密信息。2004年4月，引起美國政府和企業(yè)全面警戒的間諜軟件以及廣告軟件就是一種隨時可以竊取個人或者是企業(yè)資料的軟件，只要用戶不小心瀏覽了捆綁有間諜軟件或者廣告軟件的網(wǎng)頁。目前，干擾美國的主要間諜軟件公司為Claria（原稱Gator）,廣告軟件公司為WhenU。大部分由這兩家公司搜集的用戶資料被賣給了第三方。雇員一不小心的錯誤操作總是會引狼入室，而且趕也趕不走。
“這種情況，我們公司通過監(jiān)控和限制每個員工瀏覽的網(wǎng)也解決。員工只能在規(guī)定的是建內(nèi)鏈接公司規(guī)定的網(wǎng)頁，這樣可以盡量避免類似的情況發(fā)生。”億陽***說。
加入漏洞百出的公司的工作流程圖
敵人隨時都瞄準你的任何一個漏洞
垃圾里面的秘密
這里的外部攻擊并不僅僅指網(wǎng)絡(luò)黑客對企業(yè)網(wǎng)絡(luò)的攻擊，更多的是來自競爭對手的調(diào)查，從而竊取企業(yè)的銷售資料或者是技術(shù)配方，而他們的調(diào)查一般從垃圾開始。
2004年，一家著名的市場調(diào)查公司調(diào)查麥當(dāng)勞的產(chǎn)品銷售量，他們使用了痕跡調(diào)查方法，收集了當(dāng)天麥當(dāng)勞所有的垃圾，雇用了許多零時工從麥當(dāng)勞店內(nèi)的收集垃圾，包括包裝紙盒等。他們就是通過計算這些垃圾得出了麥當(dāng)勞每一件產(chǎn)品的銷售量，并且推算出賣當(dāng)勞下一年的銷售計劃。在這之后，麥當(dāng)勞門店內(nèi)的垃圾都要經(jīng)過自己的處理后才運走。同樣的事情也發(fā)生在雅芳和玫琳凱化妝品公司之間。雅芳就曾經(jīng)雇傭私人偵探收集了玫琳凱的丟棄物，并且進一步破解了新化妝品的配方。對于玫琳凱來說，她無法奪回這些珍貴的東西，因為雅芳只是研究了她的垃圾而已，這是完全合法的。
當(dāng)然，有一些競爭對手的行徑更加惡劣，他們會花1000元雇用一個在校大學(xué)生，讓他以實習(xí)的名義進入企業(yè)。而這個看上去很安全的實習(xí)生就可以輕易的竊取公司的人事變動表，并且不被發(fā)現(xiàn)。而競爭對手通過分析這個表，就可以很準確的判斷出公司下一步的發(fā)展方向和主營業(yè)務(wù)。
黑客有多黑
當(dāng)然，說到外部攻擊不可能刪除黑客對企業(yè)網(wǎng)站的攻擊。據(jù)有關(guān)調(diào)查顯示，在黑客攻擊中，44%的人是為了錢，16%是為了破壞軟件，16%是為了竊取信息，12%是為了篡改數(shù)據(jù)，10%是為了盜用服務(wù)，另外2%是無心之過。
現(xiàn)在，競爭對手通過網(wǎng)絡(luò)竊取企業(yè)的信息或者是破壞軟件并不是一件很容易的事情，因為企業(yè)會利用一切手段嚴加看守自己的核心資產(chǎn)。但是，消費者盜用服務(wù)卻是企業(yè)目前遇到的最大困難。
目前，微軟和雅虎(Yahoo.com)免費電子郵箱用戶可以通過攻擊漏洞免費擴容引起了大家的普遍關(guān)注。免費的MSN或者是hotmail用戶可以通過安裝微軟給付費用戶發(fā)行的MSN9服務(wù)光盤里的程序來實現(xiàn)對自己的MSN帳號升級，不出一分錢便可以終身享受一切相關(guān)的增值服務(wù)。而雅虎近日出現(xiàn)的漏洞似乎不可思議，用戶只要進入普通的郵箱登陸界面，然后輕易就可以講自己的郵箱從5兆升到10兆。當(dāng)然，微軟和雅虎都已經(jīng)為這個漏洞付出的了代價。另外，一些游戲玩家通過模仿用戶，盜取網(wǎng)絡(luò)游戲運營商的游戲幣已經(jīng)成為游戲公司頭疼的事情。
學(xué)會保護自己
“實際上，現(xiàn)在的中國企業(yè)在技術(shù)上與國外已經(jīng)趨于同步，無論是防火墻，還是病毒軟件，還是VPN技術(shù)早已經(jīng)與國際接軌。”安氏(isone)***說。但是，中國企業(yè)在保衛(wèi)公司信息安全方面總是顯得如此單薄，漏洞百出。因為他們根本沒有意識到需要讓每一個員工來共同保衛(wèi)公司安全。
某軟件公司80年代末期編寫的軟件程序磁帶占用了倉庫大量的空間，公司所有的年輕員工都主張賣掉這批已經(jīng)沒有什么參考價值的資料，但遭到了一位曾參加編寫的工程師的竭力反對，而他的理由很簡單卻也很重要：“這些東西對大部分人來說沒有參考價值，但是一旦被賣到國外，就非常危險。”所以，從管理的角度來講，首先就是要讓員工樹立起保衛(wèi)公司安全的意識。
當(dāng)然，員工的辦公安全也是企業(yè)應(yīng)該考慮到的問題。因為大部分治安嚴謹?shù)男^(qū)都有自己的網(wǎng)絡(luò)監(jiān)控和電話監(jiān)控系統(tǒng)。如果競爭對手在小區(qū)內(nèi)對企業(yè)員工進行監(jiān)控，他們可以輕而易舉的獲取相關(guān)資料。對于這一點，諾基亞（NOKIA）的解決方案很實用：“我們外出辦公的員工在登陸公司局域網(wǎng)時要通過公司為其專門設(shè)置的密碼，而且這個密碼是不斷更改的。一個員工不可能長期使用同一個密碼進入公司的局域網(wǎng)。”諾基亞中國區(qū)企業(yè)解決方案部****說。
所以對于企業(yè)的領(lǐng)導(dǎo)者來說，要減少外部攻擊對企業(yè)造成的損傷，除了要花大筆的費用引進技術(shù)外，還必須用嚴格的規(guī)定來保證攻擊者無懈可擊。畢竟，蒼蠅是不叮無縫的蛋。
國防科工委網(wǎng)絡(luò)要求內(nèi)外網(wǎng)絡(luò)嚴格隔離，因為他們要保護的是紅頭文件，只要員工一聯(lián)網(wǎng)就會出現(xiàn)黑客攻擊現(xiàn)象。但是限制幾千人聯(lián)網(wǎng)的權(quán)力是一件非常吃力的事情。于是，國防科工委的院長親自帶隊查處。他們嚴格監(jiān)控自己的外網(wǎng)出口，一旦發(fā)現(xiàn)內(nèi)網(wǎng)有人通過外網(wǎng)出口傳輸文件，就會馬上跟蹤IP地址，而等待這個員工的將是嚴厲的處罰。

擴展閱讀

版權(quán)聲明：