信息安全商业间谍篇

　　在众多的公司安全威胁因素中，10％的不忠实雇员给企业带来的震荡是管理者们最担忧的。 很多身份设置为"管理者"的E-mail用户，都收到了一份兜售奥美（Ogilvy）全套创意计划的邮件，价格为6000元，并且许多人已经购买了这套资料。也就在奥美事件发生的同时，关注神州数码（DigitalChina）管理制度的经理人们，可以很轻松的在互联网的某个论坛上，下载神州数码的年度战略规划文件。不忠实雇员窃取企业的机密已经不是什么鲜为人知的事情，但是，即使所有企业的领导者都知道防范不忠实雇员是必要的，他们也无法完全抵挡那些恶意偷盗的员工。"如果真的有雇员恶意的窃取我们的机密，我们根本就没有方法来制止。"麦格劳希尔公司CIO说。他的这句话在另外一些制度严格的公司里也得到了证实，他们同样无法百分之百的防止员工窃取机密。 2003年6月底，微软公司的员工理查德。格雷格被捕。他通过微软内部的购买系统，低价购买并转售了价值1700多万美元的软件，自己从中获取差额利润。

　　他离职的时候带走了什么？

　　对于企业来讲，那些即将离职的员工是极度危险的。因为不论出于什么原因，他们都希望能够为自己以后的工作获取必要的资源。 "实际上，离职员工通过各种手段从原公司拿走一些资料已经成为一种习惯，当然这些资料只是方便以后工作，而不是直接用来出售。"一位离职员工很坦然的说。 "我们的雇员可以在下班之后申请加班两小时，两小时后他们会去刷门卡，让电脑系统显示此人已经离开。但是实际上，员工却可以通过通向卫生间的那道不锁的门出入公司，而不留下在公司超时逗留的证据。于是，他们会以最快的速度从同事的电脑上找到自己所需要的资料，并且放到共享中不易被人发现的文件夹内，第二天就可以大大方方的带走了。"这位离职员工毫不避讳的讲到。

　　 有些员工为了在应聘时博得新雇主的喜爱，总是很积极的回答雇主的每一个问题，而其中有许多问题都是新雇主为了获取竞争对手的资料故意设置的。 与那些只是做一些小偷小摸的员工相比，那些因不满而离开公司的职员更加可怕，同样是2003年，可口可乐公司前雇员马休。惠特利控告公司有质量问题和舞弊行为，导致美国联邦检察官展开对可口可乐的调查。 在硬性规定上围追堵截员工的犯罪行为 2003年8月，可口可乐奥运新包装的保密机制是值得中国企业学习的。在计划进行之前，可口可乐公司与了解设计方案秘密的北京奥组委签订了保密协议，要求合作伙伴不可以透露任何有关新包装的事宜。与此同时，制罐厂也采取了严格的防泄密措施。"空罐被黑色胶布封起来，制罐厂24小时都有专人把守，只有30名工人加班参与生产；在运输时，空罐被放在了上锁的全密封货柜车内，拿着仅有的一把钥匙的人并不随车走。这就从硬性的规定上防止员工泄密。"可口可乐驻北京对外事务部负责人翟梅说。

　　而微软，西门子（Siemens）等公司则是从硬件设备上防止员工拷贝公司资料，因为根据级别区分，他们大部分的员工电脑是不能安装软驱和移动硬盘接口的。这在跨国公司内是非常普遍的做法。另外，IBM公司规定每个员工只有三次查阅同一文档的机会，并且这三次查看的时间，地点，原因都会被严格的记录下来。当然，从可口可乐新包装中我们也知道，签订严格的保密协议是防止企业机密泄漏的最便于操作的方法之一。 对于即将离职的员工，跨国公司的普遍做法是在通知员工离职前便冻结员工在公司的所有权限。这一点，联想今年3月份的裁员就显得非常专业。在离职员工知道自己被解聘之前，公司便封掉了他在联想局域网上的ID，员工就不能进入公司的网络获取任何资料。

　　 "企业安全三分靠技术，七分靠管理，制定严格并且易于操作的管理制度是减少安全问题的基础。"诺基亚企业解决方案部中国区技术部经理王磊先生说。"对于Juniper来说，通过协议从组织结构上明确每一个员工的职责和权力是最重要的，而我们公司与雇员每年都会签一份长达二三十页的协议。"刚刚从Netscreen加入Juniper团队的王平先生说。

　　任何一个细节都可以让你无意间泄漏公司机密

　　保护一块价值1000万的硬盘的同时，请注意有人在搜集你的废弃文件 调研公司对企业安全的要求应该是普通公司所不能比拟的，因为那些容易丢失的调研数据就是他们的核心资产。而在中国的调研公司中，这些调研数据通常被存储在一块普通硬盘上。于是公司的管理者几乎把所有的精力都集中在保护这块硬盘上。 大陆排名仅次于央视索福瑞的新生代数据公司的核心资产就是一块购买价值为1万元的存储器，但是它至少代表了新生代1000万的资产。于是，公司总裁每天的任务就是保护这块硬盘，而且事实证明，在总裁的保护下，它确实很安全。 但是，2003年，另一著名调研公司前雇员窃取公司与某合作伙伴回扣合同的事件让所有的调研公司都开始认识到，自己在保护一块1000万硬盘的同时，要随时注意是否有人在搜集公司的废弃文件。

　　 在较真的调研圈子中，公司都有一个不成文的规定，就是员工必须积极回收每一张废弃的打印文件，并且进行再利用。在外人看来，这是一个非常环保而且节约成本的规定。业内一家著名的调研公司前雇员却"巧妙"的利用了这项规定。 这位可怕的前雇员并没有通过什么高端的科技来窃取公司的资料，他只是不断的搜集公司管理人员废弃的打印文件，而且终于让他发现了那份合同和其他机密的销售数据。于是，他便带着这些机密文件自己开了一家新的调研公司。 请克制"大嘴巴"雇员的说话欲望 企业领导者无意间泄漏公司机密对企业造成的伤害也是不可估量，因为毕竟他们所掌握的信息比普通雇员要多许多。

　　2004年2月18日上午，某媒体披露了神州数码财报中的部分数据。但是按照证监会规定，有关财报的所有资料都必须等到19号也就是媒体披露的第二天才能公开。未经国家相关部门审查提前披露公司财报是违法的。这家媒体之所以获得了这些数据，是神州数码某高层在接受记者采访时无意说出来的。 当然，普通员工的口风也是公司应该注意的。他们在参加各种会议和贸易展览时，总是很乐意吹嘘自己如何克服技术困难，却因此泄漏了机密的信息。

　　雇员的错误操作总会引狼入室

　　对于那些不忠实的雇员，企业还可以诉诸法律，但对那些粗心的雇员，他们就很难有办法了。在Datapro Research研究机构的报告中，企业安全危胁52%是员工的错误操作引起。 从安全重要性来讲，银行应该是仅次于军队的，但就是在这样一个几乎武装到牙齿的地方，却也发生了让人匪夷所思的事情。

　　2004年3月，人们在二手录影带市场惊奇的发现未经销毁的中国某银行ATM机内的监控录影带。通过录影带，人们可以清楚的看见顾客在取款时所输入的密码。追究起来，只是因为这家银行的雇员没有重视这些未经销毁的录影带，私自倒卖给二手市场，无意中泄漏了银行最重要的客户资料。 当然，雇员在互联网上的一不小心也可能让第三方获取企业的机密信息。

　　2004年4月，引起美国政府和企业全面警戒的间谍软件以及广告软件就是一种随时可以窃取个人或者是企业资料的软件，只要用户不小心浏览了捆绑有间谍软件或者广告软件的网页。目前，干扰美国的主要间谍软件公司为Claria（原称Gator），广告软件公司为WhenU.大部分由这两家公司搜集的用户资料被卖给了第三方。雇员一不小心的错误操作总是会引狼入室，而且赶也赶不走。 "这种情况，我们公司通过监控和限制每个员工浏览的网页解决。员工只能在规定的时间内链接公司规定的网页，这样可以尽量避免类似的情况发生。"亿阳集团的员工说。 敌人随时都瞄准你的任何一个漏洞 垃圾里面的秘密 这里的外部攻击并不仅仅指网络黑客对企业网络的攻击，更多的是来自竞争对手的调查，从而窃取企业的销售资料或者是技术配方，而他们的调查一般从垃圾开始。

　　几年前，一家著名的市场调查公司调查麦当劳的产品销售量，他们使用了痕迹调查方法，收集了当天麦当劳所有的垃圾，雇用了许多零时工从麦当劳店内收集垃圾，包括包装纸盒等。他们就是通过计算这些垃圾得出了麦当劳每一种产品的销售量，并且推算出卖当劳下一年的销售计划。在这之后，麦当劳门店内的垃圾都要经过自己的处理后才运走。同样的事情也发生在雅芳和玫琳凯化妆品公司之间。雅芳就曾经雇佣私人侦探收集了玫琳凯的丢弃物，并且进一步破解了竞争对手的新化妆品配方。对于玫琳凯来说，她无法夺回这些珍贵的东西，因为雅芳只是研究了她的垃圾而已，这是完全合法的。

　　当然，有一些竞争对手的行径更加恶劣，他们会花1000元雇用一个在校大学生，让他以实习的名义进入企业。而这个看上去很安全的实习生就可以轻易的窃取公司的人事变动表，并且不被发现。而竞争对手通过分析这个表，就可以很准确的判断出公司下一步的发展方向和主营业务。

　　 黑客有多黑

　　当然，说到外部攻击不可能排除黑客对企业网站的攻击。据有关调查显示，在黑客攻击中，44%的人是为了钱，16%是为了破坏软件，16%是为了窃取信息，12%是为了篡改数据，10%是为了盗用服务，另外2%是无心之过。 现在，竞争对手通过网络窃取企业的信息或者是破坏软件并不是一件很容易的事情，因为企业会利用一切手段严加看守自己的核心资产。但是，消费者盗用服务却是企业目前遇到的最大困难。

　　目前，微软和雅虎（Yahoo.com）免费电子邮箱用户可以通过攻击漏洞，免费扩容的事件引起了大家的普遍关注。免费的MSN或者是hotmail用户可以通过安装微软给付费用户发行的MSN9服务光盘里的程序来实现对自己的MSN帐号升级，不付一分钱便可以终身享受一切相关的增值服务。而雅虎近日出现的漏洞似乎不可思议，用户只要进入普通的邮箱登陆界面，然后轻易就可以将自己的邮箱从5兆升到10兆。当然，微软和雅虎都已经为这个漏洞付出了代价。另外，一些游戏玩家通过模仿用户，盗取网络游戏运营商的游戏币也是让游戏公司非常头疼的事情。

　　 学会保护自己

　　 "实际上，现在的中国企业在技术上与国外已经趋于同步，无论是防火墙，还是病毒软件，还是VPN技术早已经与国际接轨。"安氏（isone）CTO陈政说。但是，中国企业在保卫公司信息安全方面总是显得如此单薄，漏洞百出。因为他们根本没有意识到需要让每一个员工来共同保卫公司安全。 某软件公司80年代末期编写的软件程序磁带占用了仓库大量的空间，公司所有的年轻员工都主张卖掉这批已经没有什么参考价值的资料，但遭到了一位曾参加编写的工程师的竭力反对，而他的理由很简单却也很重要："这些东西对大部分人来说没有参考价值，但是一旦被卖到国外，就非常危险。"所以，从管理的角度来讲，首先就是要让员工树立起保卫公司安全的意识。 当然，员工的办公安全也是企业应该考虑到的问题。因为大部分治安严谨的小区都有自己的网络监控和电话监控系统。

　　 如果竞争对手在小区内对企业员工进行监控，他们可以轻而易举的获取相关资料。对于这一点，诺基亚的解决方案很实用："我们外出办公的员工在登陆公司局域网时要通过公司为其专门设置的密码，而且这个密码是不断更改的。一个员工不可能长期使用同一个密码进入公司的局域网。"诺基亚中国区企业解决方案部王磊说。 所以对于企业的领导者来说，要减少外部攻击对企业造成的损伤，除了要花大笔的费用引进技术外，还必须用严格的规定来保证攻击者无懈可击。毕竟，苍蝇不叮无缝的蛋。 国防科工委网络要求内外网络严格隔离，因为他们要保护的是红头文件，但是限制几千人联网的权力是一件非常吃力的事情。于是，国防科工委的院长亲自带队查处。他们严格监控自己的外网出口，一旦发现内网有人通过外网出口传输文件，就会马上跟踪IP地址，而等待这个员工的将是严厉的处罚。