一分钟发现毁灭企业的30种细节[转自《中国财富》杂志]
封面故事：信息致死  小心30个细节，一分钟毁灭你的公司  这是一个以1%、2%决胜负的商业时代，  一个信息就可以左右企业的成败。  这个信息在自己手里是王牌，在对手手里是炸弹。  如此重要的信息，可能在老板的大脑里、公司电脑里、一个打印稿的背面，甚至在一个垃圾筐里。随时都有泄漏的可能，泄漏的结果轻则使公司蒙受损失，重则毁灭公司。  你要怎么防备？  信息安全？“不就是安装杀毒软件，在电脑上设设密码吗”？当你这样想，你就和全世界95%的人一样，都错估、低估了信息对公司的致命影响；好在全世界就是有5%的人，和《中国财富》一样，恐惧、震慑、急着应变于信息对商业世界爆炸性的影响力，他们是谁——诺基亚(NOKIA)、微软(Microsoft)、麦格劳希尔(Mcgraw-Hill Company)、还有可口可乐(Coca-Co而不是技术问题.la)……  谁是那百分之五？  当你读这篇文章的时候，全世界又有2个企业因为信息安全问题倒闭，有11个企业因为信息安全问题造成大概800多万的直接经济损失。中国财富通过对100个经理人的调查总结30个致命细节，让您5分钟快速成为信息安全专家。  1、 打印机——10秒延迟带来信息漏洞 即使是激光打印机，也有10秒以上的延迟，如果你不在第9秒守在打印机的旁边，第一个看到文件的人可能就不是你了。大部分的现代化公司都使用公用的打印机，并且将打印机、复印机等器材放在一个相对独立的空间里。于是，部门之间的机密文件就可以从设备室开始，在其他部门传播，当部门之间没有秘密，公司也就没有秘密了。  2、 打印纸背面——好习惯换取的大损失 节约用纸是很多公司的好习惯，员工往往会以使用背面打印纸为荣。其实，将拥有这种习惯公司的“废纸”收集在一起，你会发现打印、复印造成的废纸所包含公司机密竟然如此全面，连执行副总都会觉得汗颜，因为废纸记载了公司里比他的工作日记都全面的内容。  3、 电脑易手——新员工真正的入职导师  我们相信，所有的职业经理人都有过这样的经历：如果自己新到一家公司工作，在自己前任的电脑里漫游是了解新公司最好的渠道。在一种近似“窥探”的状态下，公司里曾经发生过的事情“尽收眼底”，从公司以往的客户记录、奖惩制度、甚至你还有幸阅读前任的辞呈。如果是其他部门的电脑，自然也是另有一番乐趣。  4、 共享——做好文件 再通知窃取者  局域网中的共享是获得公司内部机密最后的通道。有的公司为了杜绝内部网络泄密，规定所有人在共享以后一定要马上取消。实际上越是这样，企业通过共享泄露机密的风险越大。因为当人们这样做的时候，会无所顾及地利用共享方式传播信息，人们习惯的方式是在开放式办公间的这边对着另一边的同事喊：“我放在共享里了，你来拿吧——”，没错，会有人去拿的，却往往不只是你期望的人。  5、 指数对比——聪明反被聪明误  在传统的生产型企业之间，经常要推测竞争对手的销售数量、生产数量。于是，人们为了隐藏自己的实际数量，而引入了统计学里的指数，通过对实际数量的加权，保护自己的机密信息。唯一让人遗憾的是，通常采取的简单基期加权，如果被对方了解到几年内任何一个月的真实数量，所有的真实数量就一览无余地出现在竞争对手的办公桌上了。  6、 培训——信息保卫战从此被动  新员工进入公司，大部分的企业会对新员工坦诚相见。从培训的第一天开始，新员工以“更快融入团队”的名义，接触公司除财务以外所有的作业部门，从公司战略到正在采取的战术方法，从公司的核心客户到关键技术。但事实上，总有超过五分之一的员工会在入职三个月以后离开公司。同时，他们中的大部份没有离开现在从事的行业，或许正在向你的竞争对手眉飞色舞地描述你公司的一草一木。  7、 传真机——你总是在半小时后才拿到发给你的传真 总有传真是“没有人领取”的，每周一定有人收不到重要的传真；人们总是“惊奇地”发现，自己传真纸的最后一页是别人的开头，而你的开头却怎么也找不到了。  8、 公用设备——不等于公用信息 在小型公司或者一个独立的部门里，人们经常公用U盘、软盘或手提电脑。如果有机会把U盘借给公司的新会计用，也就有可能在对方归还的时候轻易获得本月的公司损益表。  9、 摄像头——挥手之间断送的竞标机会 总部在上海的一家国内大型广告公司，在2004年3月出现的那一次信息泄露，导致竞标前一天，广告创意被竞争对手窃取，原因竟然是主创人员的OICQ上安装了视频，挥手之间，断送的或许并不仅仅是一次合作的机会。  10、 产品痕迹——靠“痕迹”了解你的未来 在市场调查领域，分析产品痕迹来推断竞争对手行销效果和行销策略是通用的方法。产品的运输、仓储、废弃的包装，都可以在竞争对手购买的调研报告中出现，因为“痕迹分析”已经是商业情报收集的常规手段。  11、 压缩软件——对信息安全威胁最大的软件  ZIP、RAR是威胁企业信息安全最大的软件。3寸软盘的存储空间是1.4M，压缩软件可以让大型的WORD文件轻松存入一张软盘，把各种资料轻松带出公司。  12、 光盘刻录——资料在备份过程中流失 如果想要拿走公司的资料，最好的办法是申请光盘备份，把文件做成特定的格式，交给网络管理员备份，然后声称不能正常打开，要求重新备份，大多情况下，留在光驱里的“废盘”就可以在下班后大大方方带出公司。  13、 邮箱——信息窃取的中转站  利用电子邮件转移窃取的公司资料占所有信息窃取的八成以上。很多企业不装软驱、光驱、USB接口，却没有办法避免员工通过电子邮件的窃取信息，相比之下，以上方法显得有些幼稚、可笑。  14、 隐藏分区——长期窃取公司资料必备手法  长期在公司内搜集资料，用来出售或保留，总是件危险的事情。自己的电脑总是不免被别人使用，发现电脑里有不该有的东西怎么行。于是隐藏在硬盘分区就成了最佳选择，本来有C、D、E三个虚拟分区，可以把E隐藏起来，只有自己可以访问。当然，如果遇到行家，合计一下所有磁盘的总空间，可就一定露馅了。  15、 私人电脑——大量窃取资料常用手段  压缩软件的作用毕竟是有限的，如果把自己的笔记本电脑拿到单位来，连上局域网，只要半小时，就是有1个G的文件也可以轻松带走。  16、 会议记录——被忽视的公司机密 秘书往往把会议记录看得很平常，他们不知道一次高层的会议记录对于竞争对手意味着什么，公司里经常可以看见有人把会议记录当成废纸丢来丢去，任由公司最新的战略信息在企业的任何角落出现。  17、未被采纳的策划案——放弃也是一种选择 策划人员知道被采纳的策划是公司机密，去往往不知道被放弃的策划也是公司机密。有时还会对客户或媒体谈起，而竞争对手可以轻松判断：你没有做这些，就一定选择做了那些！  18、客户——你的机密只是盟友的谈资 经常可以在网络上看到著名咨询公司的客户提案，这些精心制作的PPT，凝聚了咨询公司团队的汗水和无数个不眠之夜，在一些信用较差的客户手里可能只是一些随意传播的谈资。  19、招聘活动——你的公司竟然在招聘总监？ 在招聘过程中，成熟的企业不会把用人的单位登在一张广告里，因为那无异于告诉你的竞争对手：刚刚发生过人力震荡，人力匮乏。  20、招标前两分钟——最后的底价总是在最后“出炉” 如果投标的底价内部公开越早，出现泄露的风险越大，在招标开始前两分钟，面对关掉手机的参会者，可以公布底价了！  21、解聘后半小时——不要给他最后的机会  如果被解雇的员工是今天才得到这个消息，那么，不要让他再回到他的电脑旁。半个小时的时间，刚好可以让他收拾自己的用品，和老同事做简短的告别，天下没有不散的筵席，半小时足够了，为了离职员工的清白，更为了信息安全。  22、入职后一星期——新人在第一个星期里收集的资料是平时的5倍  只有在这一个星期里，他是随时准备离开的，他时刻处在疯狂的拷贝和传送状态，提防你的新员工，无论你多么欣赏他。  23、合作后半个月——竞争对手窃取情报的惯用手法是：假冒客户  在初次合作的半个月里，你对信息安全的谨慎只能表明企业做事的严谨，可以赢得大部分客户的谅解和尊敬。除非，他是你的竞争对手。  24、离职后30天——危险来自公司以外  一般情况下，一个为企业服务半年以上的员工，离职后30日之内会和公司现有员工保持频繁的联系，并且对公司的资料和状况表现出极度的热情。如果是被限时离开，那么，在离职30天内通过老同事窃取公司信息的可能性就更大。  25、明确对外提案原则——能不留东西的就不给打印稿，能不给电子档的就尽量给打印稿，能用电子书就不用通用格式。  26、保密协议——无论作用大小，和员工签定清晰的保密协议还是必要的  无规矩不成方圆，明确什么是对的，人们才可以杜绝错的。保密协议的内容越详细越好，如果对方心胸坦白，自然会欣然同意。  27、责任分解——明确每个人对相关信息的安全责任  所有的机密文件如果出现泄露，可以根据规定找到责任人，追究是次要的，相互监督和防范才是责任分解的最终目的。  28、设立信息级别——对公司的机密文件进行级别划分  比如合同、客户交往、股东情况列为一级，确定机密传播的范围，让所有人了解信息的传播界限，避免因为对信息的不了解而导致的信息安全事故。  29、异地保存——别把鸡蛋放在同一个篮子里 所有备份资料尽量做到异地保存，避免因为重大事故（如：火灾、地震、战争等）对企业信息带来致命的打击。  30、认为自己的企业在信息安全上无懈可击。  信息安全瞬间毁灭篇  我们必须承认，巨大的打击总是小概率事件，问题是当他发生的时候就是百分之百。  0.1％的几率足以致死  也许在前一秒钟你还在制定公司第四季度的发展规划，而下一秒钟公司已经不复存在。  无数世界著名公司就是在9·11那场恐怖袭击中随双子大厦一同葬身火海，许多公司即使没有瞬间致死，也因数据的全面破坏而损失惨重，从此一蹶不振。据统计，在那场灾难中，40％的企业由于数据丢失，根本无法恢复工作。  Gartner公司的一项调查表明，在灾害之后，如果无法在14天内恢复信息作业，有75%的公司业务会完全停顿，43%的公司再也无法重新开业，有20%的企业在两年之内被迫宣告破产。  《中国财富》曾随机调查了50家中国企业以及30家世界500强跨国公司的中国分部，97％的企业表示，一旦出现诸如9·11这样的意外致使办公大楼倒塌，公司根本无法恢复业务。  也许你会认为，9·11这种事情离自己太过遥远，发生的几率为0.1%。可是9·11之前，谁又能想到世界性标志建筑世贸大厦竟然在瞬间被毁灭；而纽约大停电之前，哪一个美国人能想到这一停居然是20多个小时——在中国生活的人认为这种现象不足为奇，而在纽约生活的人却是第一次遇到这样的事。9·11使美国许多企业遭受重创，纽约大停电也给美国经济造成300亿美元的损失。没有防备就只有被动等死，在停电事故中，戴姆勒·克莱斯勒(Daimler Chrysler)在北美32家汽车与零件工厂有高达23家被迫暂停运转。而我们的企业，不是非要等到灾难降临的那一瞬间，才意识到应该未雨绸缪吧？  也许我们可以从别人的经验中获得一点启示。  纽约大停电启示录  美国时间2003年8月14日下午四点，北美大部分地区突然停电。谁也没有料到这一停就是20多个小时，而8月15日恰好是麦格劳希尔公司旗下《商业周刊》的出版日——  麦格劳希尔公司全球首席信息官Mostafa Mehrabani在公司北京代表处接受本刊记者专访时，讲述了他们纽约大停电时的亲身经历。  “当时情况非常紧急，许多人不断询问公司的业务情况，而且第二天《商业周刊》能否正常出版更是得到人们的普遍关注。而实际上，在停电瞬间，我们已经把出版业务全部转移到新泽西州，因为在那我们有一套备用设备。我们的电力系统很稳定，备用发电机可以在没有电的情况下持续工作好几天，所以我们的出版工作没有受到任何影响。第二天，《商业周刊》如期出版。”  麦格劳希尔公司作为信息服务提供商，保护信息安全成为头等重要之事。而同样视信息为生命的金融、证券公司也十分注意采取各种措施来保护数据。如电子交易商Nasdaq每周会对系统的防灾能力进行测试，他们甚至会切断正常的电力供应，来监测备用发电机是不是能及时启动。因此纽约大停电对他们几乎没有影响，在他们看来，不过是平时演练的一个真实版本而已。  备份再备份  意外事故不可避免，但是我们总是有措施将损失降到最低。除了要像麦格劳希尔公司、Nasdaq公司有备用设施外，数据备份也是保护信息安全的重要手段。摩根斯坦利在9·11发生后两天就恢复正常运营，因为它在新泽西州设有第二套全部股票证券商业文档资料数据和计算机服务器。麦格劳希尔公司除了新泽西州的数据中心，还在曼哈顿设立备份中心，甚至在大西洋对岸的伦敦都有自己的根据地。而曾在通用电气(General Electric Company)工作的员工说，GE公司曾经从军队手中买下山洞作为数据备份中心，并把它卖给IBM等跨国企业。“就算整个大楼被炸，我们还有山洞。”而美国政府非常重视数据备份工作，通常在一台计算机边上就有一个热备份，在离开这个楼的多少公里以外也要有备份，一般根据导弹的射程。在州的其他地方有一个，跨州、跨国都要有备份。据美国一家数据备份公司透露，在美国，备份的投入能占到整个国家安全投入的40％。  专攻信息安全课题的中科院高能物理所许榕生教授在谈到多中心多备份时说道：“我们国家除了银行以外，许多行业像国家外贸、化工等，信息中心都是北京一个点，然后向各个省各个地区辐射。那么一个关键部分坏了，修复的时间就要很长。国家在信息化建设上投入很多钱，当初都觉得北京中心的格局好，而没有从安全角度来考虑。后来才提出多中心概念，要在北京、上海、广州分别设立中心，3个地区可以随时切换，听说现在国内有一家银行做到了。”  对于中小企业来说，出于成本考虑建立一个数据备份中心并不是最恰当的解决方案，但在离自己电脑一段距离的地方做一个数据备份，花费的成本几乎为零，而许多企业尚没有这种意识，直到一场意外的雷击摧毁了公司CEO的电脑为止。  信息块：  麦格劳希尔公司旗下有三大主营业务。《商业周刊》为全世界客户提供信息资讯，标准普尔通过资信评级、独立投资信息、分析服务、公司评估及价值分析而成为全球投资界权威，麦克劳希尔教育出版公司则是美国最大的出版商。  作为全球信息服务供应商，麦格劳希尔视信息为公司重要的资产。首次来华的Mehrabani先生在接受《中国财富》独家专访时不断强调，保卫信息安全要从全世界范围内着眼。  在企业越来越重视信息安全的今天，除了数据备份，数据恢复业务也蓬勃发展起来。在美国还有这样的公司，专门从9·11废墟里挖出烧焦的碎片，帮助企业恢复里面的信息。  信息安全商业间谍篇  使你疲倦的不是远方的群山，而是你鞋里的一粒石子。让企业恐惧的不是强大的对手而是自己的商业机密变成了对方手里的底牌，机密到底是怎样泄漏的？  小心10%的不忠实雇员  在众多的公司安全威胁因素中，10％的不忠实雇员给企业带来的震荡是管理者们最担忧的。  很多身份设置为“管理者”的E-mail用户，都收到了一份兜售奥美(Ogilvy)全套创意计划的邮件，价格为6000元，并且许多人已经购买了这套资料。也就在奥美事件发生的同时，关注神州数码(DigitalChina)管理制度的经理人们，可以很轻松的在互联网的某个论坛上，下载神州数码的年度战略规划文件。不忠实雇员窃取企业的机密已经不是什么鲜为人知的事情，但是，即使所有企业的领导者都知道防范不忠实雇员是必要的，他们也无法完全抵挡那些恶意偷盗的员工。“如果真的有雇员恶意的窃取我们的机密，我们根本就没有方法来制止。”麦格劳希尔公司CIO说。他的这句话在另外一些制度严格的公司里也得到了证实，他们同样无法百分之百的防止员工窃取机密。  2003年6月底，微软公司的员工理查德·格雷格被捕。他通过微软内部的购买系统，低价购买并转售了价值1700多万美元的软件，自己从中获取差额利润。  中国企业同样存在类似的案件，去年8月份，电信方案提供商亚信的“中国网通运营维护支撑系统”、“北京电信公众IP网络集成工程规范书”等文档在中关村市场上被疯狂抢购，这其中任何一个方案都价值千万。亚信公司首席执行官兼总裁张醒生先生也表示,这起事故很有可能是因为公司或者合作伙伴对文档疏于管理，最终导致了内部员工泄露机密。  他离职的时候带走了什么？  对于企业来讲，那些即将离职的员工是极度危险的。因为不论出于什么原因，他们都希望能够为自己以后的工作获取必要的资源。 “实际上，离职员工通过各种手段从原公司拿走一些资料已经成为一种习惯，当然这些资料只是方便以后工作，而不是直接用来出售。”一位离职员工很坦然的说。  “我们的雇员可以在下班之后申请加班两小时，两小时后他们会去刷门卡，让电脑系统显示此人已经离开。但是实际上，员工却可以通过通向卫生间的那道不锁的门出入公司，而不留下在公司超时逗留的证据。于是，他们会以最快的速度从同事的电脑上找到自己所需要的资料，并且放到共享中不易被人发现的文件夹内，第二天就可以大大方方的带走了。”这位离职员工毫不避讳的讲到。  有些员工为了在应聘时博得新雇主的喜爱，总是很积极的回答雇主的每一个问题，而其中有许多问题都是新雇主为了获取竞争对手的资料故意设置的。  与那些只是做一些小偷小摸的员工相比，那些因不满而离开公司的职员更加可怕，同样是2003年，可口可乐公司前雇员马休·惠特利控告公司有质量问题和舞弊行为，导致美国联邦检察官展开对可口可乐的调查。  在硬性规定上围追堵截员工的犯罪行为  2003年8月，可口可乐奥运新包装的保密机制是值得中国企业学习的。在计划进行之前，可口可乐公司与了解设计方案秘密的北京奥组委签订了保密协议，要求合作伙伴不可以透露任何有关新包装的事宜。与此同时，制罐厂也采取了严格的防泄密措施。“空罐被黑色胶布封起来，制罐厂24小时都有专人把守，只有30名工人加班参与生产；在运输时，空罐被放在了上锁的全密封货柜车内，拿着仅有的一把钥匙的人并不随车走。这就从硬性的规定上防止员工泄密。"可口可乐驻北京对外事务部负责人翟梅说。  而微软，西门子(Siemens)等公司则是从硬件设备上防止员工拷贝公司资料，因为根据级别区分，他们大部分的员工电脑是不能安装软驱和移动硬盘接口的。这在跨国公司内是非常普遍的做法。另外，IBM公司规定每个员工只有三次查阅同一文档的机会，并且这三次查看的时间，地点，原因都会被严格的记录下来。当然，从可口可乐新包装中我们也知道，签订严格的保密协议是防止企业机密泄漏的最便于操作的方法之一。  对于即将离职的员工，跨国公司的普遍做法是在通知员工离职前便冻结员工在公司的所有权限。这一点，联想今年3月份的裁员就显得非常专业。在离职员工知道自己被解聘之前，公司便封掉了他在联想局域网上的ID,员工就不能进入公司的网络获取任何资料。  “企业安全三分靠技术，七分靠管理，制定严格并且易于操作的管理制度是减少安全问题的基础。”诺基亚企业解决方案部中国区技术部经理王磊先生说。“对于Juniper来说，通过协议从组织结构上明确每一个员工的职责和权力是最重要的，而我们公司与雇员每年都会签一份长达二三十页的协议。”刚刚从Netscreen加入Juniper团队的王平先生说。  任何一个细节都可以让你无意间泄漏公司机密  保护一块价值1000万的硬盘的同时，请注意有人在搜集你的废弃文件  调研公司对企业安全的要求应该是普通公司所不能比拟的，因为那些容易丢失的调研数据就是他们的核心资产。而在中国的调研公司中，这些调研数据通常被存储在一块普通硬盘上。于是公司的管理者几乎把所有的精力都集中在保护这块硬盘上。  大陆排名仅次于央视索福瑞的新生代数据公司的核心资产就是一块购买价值为1万元的存储器，但是它至少代表了新生代1000万的资产。于是，公司总裁每天的任务就是保护这块硬盘，而且事实证明，在总裁的保护下，它确实很安全。  但是，2003年，另一著名调研公司前雇员窃取公司与某合作伙伴回扣合同的事件让所有的调研公司都开始认识到，自己在保护一块1000万硬盘的同时，要随时注意是否有人在搜集公司的废弃文件。  在较真的调研圈子中，公司都有一个不成文的规定，就是员工必须积极回收每一张废弃的打印文件，并且进行再利用。在外人看来，这是一个非常环保而且节约成本的规定。业内一家著名的调研公司前雇员却“巧妙”的利用了这项规定。  这位可怕的前雇员并没有通过什么高端的科技来窃取公司的资料，他只是不断的搜集公司管理人员废弃的打印文件，而且终于让他发现了那份合同和其他机密的销售数据。于是，他便带着这些机密文件自己开了一家新的调研公司。  请克制“大嘴巴”雇员的说话欲望  企业领导者无意间泄漏公司机密对企业造成的伤害也是不可估量，因为毕竟他们所掌握的信息比普通雇员要多许多。  2004年2月18日上午，某媒体披露了神州数码财报中的部分数据。但是按照证监会规定，有关财报的所有资料都必须等到19号也就是媒体披露的第二天才能公开。未经国家相关部门审查提前披露公司财报是违法的。这家媒体之所以获得了这些数据，是神州数码某高层在接受记者采访时无意说出来的。  当然，普通员工的口风也是公司应该注意的。他们在参加各种会议和贸易展览时，总是很乐意吹嘘自己如何克服技术困难，却因此泄漏了机密的信息。  雇员的错误操作总会引狼入室  对于那些不忠实的雇员，企业还可以诉诸法律，但对那些粗心的雇员，他们就很难有办法了。在Datapro Research研究机构的报告中，企业安全危胁52%是员工的错误操作引起。  从安全重要性来讲，银行应该是仅次于军队的，但就是在这样一个几乎武装到牙齿的地方，却也发生了让人匪夷所思的事情。  2004年3月，人们在二手录影带市场惊奇的发现未经销毁的中国某银行ATM机内的监控录影带。通过录影带，人们可以清楚的看见顾客在取款时所输入的密码。追究起来，只是因为这家银行的雇员没有重视这些未经销毁的录影带，私自倒卖给二手市场，无意中泄漏了银行最重要的客户资料。  当然，雇员在互联网上的一不小心也可能让第三方获取企业的机密信息。2004年4月，引起美国政府和企业全面警戒的间谍软件以及广告软件就是一种随时可以窃取个人或者是企业资料的软件，只要用户不小心浏览了捆绑有间谍软件或者广告软件的网页。目前，干扰美国的主要间谍软件公司为Claria（原称Gator）,广告软件公司为WhenU。大部分由这两家公司搜集的用户资料被卖给了第三方。雇员一不小心的错误操作总是会引狼入室，而且赶也赶不走。  “这种情况，我们公司通过监控和限制每个员工浏览的网页解决。员工只能在规定的时间内链接公司规定的网页，这样可以尽量避免类似的情况发生。”亿阳集团的员工说。  敌人随时都瞄准你的任何一个漏洞  垃圾里面的秘密  这里的外部攻击并不仅仅指网络黑客对企业网络的攻击，更多的是来自竞争对手的调查，从而窃取企业的销售资料或者是技术配方，而他们的调查一般从垃圾开始。  几年前，一家著名的市场调查公司调查麦当劳的产品销售量，他们使用了痕迹调查方法，收集了当天麦当劳所有的垃圾，雇用了许多零时工从麦当劳店内收集垃圾，包括包装纸盒等。他们就是通过计算这些垃圾得出了麦当劳每一种产品的销售量，并且推算出卖当劳下一年的销售计划。在这之后，麦当劳门店内的垃圾都要经过自己的处理后才运走。同样的事情也发生在雅芳和玫琳凯化妆品公司之间。雅芳就曾经雇佣私人侦探收集了玫琳凯的丢弃物，并且进一步破解了竞争对手的新化妆品配方。对于玫琳凯来说，她无法夺回这些珍贵的东西，因为雅芳只是研究了她的垃圾而已，这是完全合法的。  当然，有一些竞争对手的行径更加恶劣，他们会花1000元雇用一个在校大学生，让他以实习的名义进入企业。而这个看上去很安全的实习生就可以轻易的窃取公司的人事变动表，并且不被发现。而竞争对手通过分析这个表，就可以很准确的判断出公司下一步的发展方向和主营业务。  黑客有多黑  当然，说到外部攻击不可能排除黑客对企业网站的攻击。据有关调查显示，在黑客攻击中，44%的人是为了钱，16%是为了破坏软件，16%是为了窃取信息，12%是为了篡改数据，10%是为了盗用服务，另外2%是无心之过。  现在，竞争对手通过网络窃取企业的信息或者是破坏软件并不是一件很容易的事情，因为企业会利用一切手段严加看守自己的核心资产。但是，消费者盗用服务却是企业目前遇到的最大困难。  目前，微软和雅虎(Yahoo.com)免费电子邮箱用户可以通过攻击漏洞，免费扩容的事件引起了大家的普遍关注。免费的MSN或者是hotmail用户可以通过安装微软给付费用户发行的MSN9服务光盘里的程序来实现对自己的MSN帐号升级，不付一分钱便可以终身享受一切相关的增值服务。而雅虎近日出现的漏洞似乎不可思议，用户只要进入普通的邮箱登陆界面，然后轻易就可以将自己的邮箱从5兆升到10兆。当然，微软和雅虎都已经为这个漏洞付出了代价。另外，一些游戏玩家通过模仿用户，盗取网络游戏运营商的游戏币也是让游戏公司非常头疼的事情。  学会保护自己  “实际上，现在的中国企业在技术上与国外已经趋于同步，无论是防火墙，还是病毒软件，还是VPN技术早已经与国际接轨。”安氏(isone)CTO陈政说。但是，中国企业在保卫公司信息安全方面总是显得如此单薄，漏洞百出。因为他们根本没有意识到需要让每一个员工来共同保卫公司安全。  某软件公司80年代末期编写的软件程序磁带占用了仓库大量的空间，公司所有的年轻员工都主张卖掉这批已经没有什么参考价值的资料，但遭到了一位曾参加编写的工程师的竭力反对，而他的理由很简单却也很重要：“这些东西对大部分人来说没有参考价值，但是一旦被卖到国外，就非常危险。”所以，从管理的角度来讲，首先就是要让员工树立起保卫公司安全的意识。  当然，员工的办公安全也是企业应该考虑到的问题。因为大部分治安严谨的小区都有自己的网络监控和电话监控系统。如果竞争对手在小区内对企业员工进行监控，他们可以轻而易举的获取相关资料。对于这一点，诺基亚的解决方案很实用：“我们外出办公的员工在登陆公司局域网时要通过公司为其专门设置的密码，而且这个密码是不断更改的。一个员工不可能长期使用同一个密码进入公司的局域网。”诺基亚中国区企业解决方案部王磊说。  所以对于企业的领导者来说，要减少外部攻击对企业造成的损伤，除了要花大笔的费用引进技术外，还必须用严格的规定来保证攻击者无懈可击。毕竟，苍蝇不叮无缝的蛋。  国防科工委网络要求内外网络严格隔离，因为他们要保护的是红头文件，但是限制几千人联网的权力是一件非常吃力的事情。于是，国防科工委的院长亲自带队查处。他们严格监控自己的外网出口，一旦发现内网有人通过外网出口传输文件，就会马上跟踪IP地址，而等待这个员工的将是严厉的处罚。  信息安全频繁攻击篇  日常的干扰未必造成毁灭性打击，却足以让公司的系统暂时瘫痪，令人心烦气躁。  为什么被病毒偷袭  一场意外足以摧毁整座大楼，但意外不是每天都有；一次病毒的攻击可以让公司整个局域网瘫痪，这样的事情却时有发生。不管制造病毒的动机是有意破坏还是无心之过，给企业造成的影响都是极具破坏性的。  “震荡波”5月3日入侵欧盟委员会电脑系统。据欧盟发言人说，截至3日，在总部设于比利时布鲁塞尔的欧委会2.5万台电脑中，至少有1200台已经遭"震荡波"入侵。同一天，台湾全省邮局上午遭到入侵，一千三百个邮局中近三分之一因为死机而瘫痪，所有作业改成人工操作。德国邮政系统、英国海岸警卫系统、澳大利亚铁路系统以及高盛投资银行都无一幸免，全球超过1800万台的电脑受到“震荡波”病毒的攻击。  国内企业同样也遭遇到巨大的打击。一家新闻单位仅在5月8日一天就受到病毒及变种的1700次攻击。而根据瑞星（Rising)科技股份有限公司副总裁毛一丁给出的第一手资料，从５月1日到5月10日16时，仅瑞星接到的用户求助电话就已超过4万，许多企业的局域网已经完全瘫痪。  而现实情况是，许多企业在明知道其他企业已中毒，而且媒体已经广泛宣传如何防毒的情况下，却仍然麻痹大意，步入其他企业的后尘，这种状况着实让人遗憾。诺基亚企业解决方案部中国区技术部经理王磊说：“中国企业缺乏的不是技术和产品，而是意识和管理。”对于企业来说，防范病毒攻击最重要的方法不是装什么杀毒软件、到哪里下载补丁，而是如何加强意识并完善企业的安全制度，保证遇到问题时能在第一时间做出反应。  病毒反击实战录  2004年2月的某天深夜，麦格劳希尔公司的HEPDEX系统正高速运转，正在进行检测工作。零时刚过，系统便检测到异样情况，发现不正常的信息标题大量涌入，而且正从一台服务器向另一台服务器移动。后来证实，这是当时给全球造成巨大损失的Mydoom病毒。  当时值班的工作人员立即判断可能是信息安全问题，于是立刻打电话通知信息安全负责人，应急响应小组也立刻开始进入备战状态，开始检查状况、隔离受攻击服务器、下载补丁、进行修复等。从发现状态，紧急集合队伍，到软件公司下载补丁，到最后一切恢复正常，整个过程不过几小时。第二天早晨8点，公司已经可以控制住所有网络端口。当病毒再次进入时，系统已经可以自动删除含病毒的附件，邮件收发一切正常，业务也不会受到干扰。而且麦格劳希尔公司在公关反应上也很迅速，第二天早晨，公司已经通过大众媒体向16000名用户宣布已成功击败病毒，用户自可以放心与公司继续进行业务往来，没有任何问题。接下来几天，公司的监测工作一直在继续进行，直到确信问题彻底解决。  安信置业国际网络安全（北京）公司（International Security System)中国区总经理周凯在3月8日晚11：30突然接到总部电话，得知自己系统的一个漏洞可能会被利用传播病毒。作为信息安全服务提供商，ISS一面要保证自己安全，另一方面更需要在第一时间通知所有用户，而且病毒如果利用安全产品的漏洞，后果更加可怕。周凯首先让总工程师把总部传来的资料翻译成中文，同时负责联系相关人员出解决方案，应急小组所有人员以及联系方式都在一张名单上，就放在离他最近的抽屉里，很快，所有人员聚集完毕，而关于漏洞的消息也在第二天一早8：00就发布给Sina、Sohu、Tom等媒体。3月20日，蠕虫病毒“维迪”发作，影响甚微。  我们需要应急响应小组  麦格劳希尔公司首席信息官Mostafa Mehrabani说：“一旦你的公司遭遇某种袭击，事先都会有个预兆，这种征兆成百上千，所以你必须做出判断，什么时候应该严肃对待。而且大多数时候，这些征兆都不是物化的，所以你必须积极主动地观察一切动向，不能有丝毫懈怠。病毒开始袭击某个点，然后从一个服务器跳到另一台，又跳到另一台，你的反应速度必须快之又快。时间，是绝对重要的。最重要的是，如果你没有一个合适的标准，没有完善的程序，或者没有这样一个优秀的团队来执行，那么在你意识到病毒的存在时，你的整个网络已经崩溃了。”  “我们的应急小组是一个虚拟的团队，我们不知道他们在哪，他们散布在世界各地，但都在同一个制度和政策下活动，一旦有状况发生，他们能在最短时间内集合起来。我们还对他们定期进行培训，以确保他们拥有准确的知识以应对最新的挑战。我的下属首席信息安全官是这个小组的直接领导。”  在强调保护信息安全的今天，国内企业除了重视加大对安全产品的投入之外，更重要的是完善这样一种应急机制以保证对付突发事件。ISS公司的周凯说：“我们从美国总部到各个地区的分部，每个国家都有应急名单，除了必须包括的资料如手机、家庭电话等，更重要的是，我们还规定一旦通过各种途径暂时找不到这个人，那么谁可以代替他担负责任，而这一切都要固化在名单上。”  可是国内很多企业包括大型企业的内部，都没有首席信息官（CIO）的职位设置，更别提首席信息安全官（CISO或CSO）了，应急响应小组更是无从谈起。那么一旦出现意外，根本找不到相关负责人，整个企业的安全防线其实非常脆弱，崩溃就在一瞬间。  垃圾邮件浪费了100亿  根据研究机构MessageLabs今年的调查数字显示，垃圾邮件 占全球电子邮件的36％，其中58.4％都在美国。  研究机构Ferris Research今年一项调查也发现，全球企业因垃圾邮件浪费的金额，竟已高达100亿美元！这些浪费包括计算机资源、管理人员与收件者的时间成本，以及因此而降低的员工生产力。这项研究指出，光是北美地区，企业内的使用者，每个人每天到办公室一打开计算机，平均就会收到10封垃圾邮件。  到底是哪些人在发送广告邮件？效益到底有多大？他们手上的名单是从哪里来的？  Kevin（化名），一位常帮某家传销公司发送线上广告邮件的人员，可以说是这些垃圾邮件的“幕后黑手”之一。从他的身上，可以一窥背后哪些惊人内幕？  发信2小时，月入5千！  学美工出身、本身从事网络拍卖的Kevin，每天只要兼差2小时发送广告邮件，就可以带来每个月4～5千元的额外收入。  这一切的过程都很“e”。一年多前，Kevin从电子信箱中一封广告邮件，看到某家传销公司征求兼职人员。它的工作内容是用网络发送广告邮件，强调可“在家工作，无须上班”，薪水则依广告邮件的回复率而定。Kevin在线上填写了资料，不久就收到email面试通知。  录取之后，上过1小时的新人训练课程，公司会提供广告网页，还有可以抓到网友电子信箱的搜寻软件“Advanced Email Estractor”、发信软件“Dmailer”，就能工作了。  Kevin表示，由于他本身另外有生意，所以每天只发送1～2万封邮件。然而，有的同事是做全职的，每天连续发送10小时的广告信，数量可高达数10万封以上！  至于寄送名单到底是怎么来的？Kevin表示，来源有两种：  1.运用搜索软件：到各求职、交友以及新浪、网易等大型门户网站，就可以搜到网友在上面登录的电子信箱。  2.上网买名单：有人会在网络上发广告信卖名单光盘，价格从200～600元到数千元不等。只要在线上先填写订购单，对方会用邮局寄送，采取“货到付款”的方式，不用碰面。Kevin就曾花数百元买过一次这样的名单光盘，里面有600万笔资料，“效果相当不错”，他说。  至于回收率，Kevin指出，以他自己的经验来说，网友回复率大约有2～3成。“当然，也有人写信来骂，说收到广告信很烦！”他不好意思地笑着说。  发信的、防堵的都有钱赚  把这些回信整理好之后，回传给公司，就可以依回信数量来领钱；据Kevin透露，他每个月在这方面的收入是4～5千元。  不晓得这样的数字有没有夸大。因为研究机构Vertis调查发现，高达8成的美国成人表示厌恶pop-up（弹出式网络广告）、垃圾邮件、当面行销；比较能接受邮寄到家的实体广告信件、报纸广告、邮购目录。  不过，无论大多数人多么讨厌广告邮件，只要有极少比例的人愿意回复，业者就可在其中挖掘商机。  从事这项副业之后，Kevin对广告邮件的态度也有转变。以前，他一看到垃圾信就删掉；如今，他会欣赏别人的广告页面设计得如何，作为自己发送邮件的参考。  此外，广告邮件虽惹人厌，防治垃圾邮件却也带来庞大商机。研究机构Ferris估计，2003年全球防治垃圾邮件服务的产值已达1.2亿美元，2008年更将成长到10亿美元。既然发信的、防毒的都有钱赚，想让广告邮件销声匿迹，看来是很难！  垃圾信息分散了员工的注意力  比病毒更常见的是垃圾信息，虽然它并不能像偷窃和灾难一样给您一个“立竿见影”的损失。但是它确实是普遍存在的，而且正在不断的消耗股东的投资，威胁着公司的正常运作。  对于那些为员工支付薪水的管理者来说，他们应该尽量减少员工处理琐碎事情的时间，避免员工每天因泛滥成灾的色情邮件，或是股市的暴跌而痛苦不堪。  内部垃圾信息让员工心神不宁  我们之所以用“垃圾信息”而没有使用“垃圾邮件”这个词汇，是因为在即时通讯风行的现在，干扰员工工作的不仅仅是定期收取的“垃圾邮件”，更多的是员工自己无法控制的“即时信息”，而这些无用的“即时信息”大多是由公司的内部员工制造。  一些小型企业购买了RTX后，并没有及时对每一个员工进行权限设置，造成每一个员工都可以向全体员工同时发送消息，而大部分消息对某一个具体的员工来讲是不必要的。QQ也会给员工造成同样的麻烦。据统计，在一个没有任何安全过滤系统的企业中，一个员工一天内所收取的即时消息中，有一小时是无用的，而且员工在收到这些垃圾消息会感到烦恼。  与通信相关的安全性服务商美国FaceTime Communications和美国IDC合作于当地时间2004年4月26日公布了关于企业利用即时信息（IM）情况的调查结果。他们发现90％不许使用即时信息软件的企业担心该种类的软件会导致"生产效率下降"、"威胁到信息和网络的安全"以及"难以遵守法规及公司内部规定"等。  对于那些习惯使用邮件通知员工的企业来讲，内部员工的垃圾邮件已经成为令员工十分头疼的事情。“公司里总是有莫名其妙的不认识的人给我发送邮件，看上去是一个群发的通知，我还不能把他当成垃圾邮件扔在一边，但看了之后，发现和我没有任何关系。”某咨询公司的公关经理抱怨道。  “到目前为止，还没有什么技术是针对企业内部垃圾邮件过滤的。只能从公司的规定中控制，”瑞星科技股份有限公司副总裁毛一丁说。  充斥互联网的色情广告邮件降低员工的工作效率  “外部垃圾信息”主要指的是垃圾邮件。在互联网上传输的垃圾邮件占用大量的资源，不但造成企业网络资源的浪费，而且一旦垃圾邮件占到企业互联网总流量的三分之一，就会造成巨大的存储需求，直接降低计算机的运作速度。  据市场研究公司Gartner公司估计，一家１万名员工的公司每年因为垃圾邮件问题而造成的生产力损失要超过1300万美元。欧盟的一项调查表明，垃圾邮件每年为欧洲造成超过60亿欧元的经济损失。  虽然企业可以运用各种垃圾邮件过滤器来减少垃圾邮件对员工的骚扰，但到目前为止，没有任何一个处理方法是完美的。名单删除法，即不在名单列表上的都被视为垃圾邮件是目前比较普遍的做法。但是，伴随着垃圾邮件的删除，一些新客户的邮件也会被视为垃圾邮件，而且七天以后被自动删除，造成的损失很大。  ISS公司收购德国Cobion AG公司之后，引进了新垃圾邮件处理系统，这个系统不采用列表删除法，而是可以查看到邮件中是否包含不健康图片，这就很大程度上缓解了垃圾邮件对员工的干扰，因为现在大部分的广告垃圾邮件是包含色情图片的。  跟踪足球赛浪费了公司的带宽  员工利用公司资源处理私人事务同样会严重影响工作效率。据调查，在2002年世界杯期间，欧洲有5000万以上的员工违反公司规定在办公电脑上跟踪比赛，这给欧洲企业带来了巨大的麻烦。由于太多人在线收看比赛，导致过渡占用公司网络带宽，影响了正常交易。  公司员工在工作时间不遵守公司规定，随意的下载音乐和电影、上网炒股、收看在线比赛甚至搜索色情网站，这些导致网络堵塞的现象在中国的企业中也时有发生。而更糟糕的是，许多企业领导仍然没有意识到员工随意占用公司带宽是公司安全的一部分。  “我们公司没有任何政策规定员工不许占用公司带宽下载电影、音乐，直到有一天我们的总裁无法收取他的邮件为止。”某大型企业的职员透漏说。  目前，多数大型跨国公司采取的是路由器监控，也就是严格监控员工曾经链接过的网站。虽然中国企业现在也渐渐开始引进这项技术，但有所不同的是，一旦员工违反公司规定，利用公司的网络资源处理私人问题，跨国公司会立刻 “逮捕”这名员工，并且进行严厉的惩罚，而且这种惩罚是实实在在的现金罚款。  麦格劳希尔公司也正是通过这种严格的政策来保证公司职员不会浪费公司的网络资源。中国科学院高能物理研究所计算中心许教授所说：“有了技术，有了制度，没有执行，企业信息安全保障体系仍然等于零。而公司管理者能够做的就是制定严格而易于执行的游戏规则。”  结语:解读信息安全公式  信息安全公式：  信息安全＝先进技术＋防患意识＋完美流程＋严格的制度＋优秀的执行团队＋法律保障  加强意识 防患未然  《中国财富》所指向的信息威胁远远超过黑客攻击、病毒肆虐的范畴，信息安全也远不是“技术”二字可以解决的问题。我们自己的安全自然要加倍保护，而首先即是加强防患意识，不要在技术上已近乎完美，却因一时疏忽而满盘皆输。千万不要像有些公司的总裁，严格规定不允许任何员工随意进入自己的办公室，但却忘了防范清洁工；也不要像有些银行完全有能力向NEC购买故障率为千万分之一的服务器，却使监控录像带轻易流入二手市场；不要等到某一天公司的一个普通员工捧着一叠董事会的协议交给你，说是从他身旁的打印机取出来的；也不要等到竞争对手对自己第二年的战略规划已了如指掌，只因花几百元买通普通员工轻易取走了你上一年的人事变动情况表，才恍然大悟。  金诺网络安全技术有限公司(KINGNET SECURITY INC.)总裁金波说：“国内许多企业缺乏的是安全意识的培养。举个很简单的例子，黑客攻击往往利用的是最古老的漏洞。可以看出，这种安全问题绝不是技术层面上的。”而那些购买了瑞星、金山的杀毒软件后从不升级的企业，在遇到最新病毒时无法应对则是缺乏意识的另一个印证。危机总是在你意识最薄弱的时候发生，不要等到中毒后才开始寻找解药。  规范制度 确保实施  意识之后，就是制度和执行的问题。  本刊记者专访首次来华的麦格劳希尔公司全球CIO Mostafa Mehrabani时，这位曾被评为世界百名信息技术最佳领袖，带领全球技术队伍为公司以及所有客户提供信息解决方案的CIO一开始就提出保卫信息安全的四大要素：技术、制度、流程和人。  “合适的标准、完善的程序、优秀的执行团队，是一个企业信息化安全的重要保障。技术只是基础保障，技术不等于全部，很多问题不是装一个防火墙或者一个IDS（Intrusion Detection System 入侵检测系统）就能解决的。在组织架构上，我们有两个小组，一是规模较小的一组人，专门制定安全政策和规则，另外一组是负责执行的员工，分散在软件、硬件以及网络等相应部门。制度很重要，而如何执行这个制度更为重要，没有执行一切都为零。我们能保证一旦遇到紧急情况，散落在各地的应急响应小组能在最短时间内集合起来。一旦有成员违反规定，我们将有十分严格的惩罚措施。”  安氏CTO陈政表示：“给企业提供的安全服务再周到，如果企业的执行力度不够，只能发挥其中的一小部分功能，1加1不一定等于2。” 任何问题归根到底都是人的因素，加强对员工的管理，对企业管理者来说比单纯购买产品或者制定规则重要得多，像我们国家许多保密部门信息化安全部署得很全面，但只要一个员工不按规定办事，上班时偷偷连上外网，机密很有可能就这样流出。“本来以为规定就足够了，但是人的心理是没办法监控的。所以对人的管理应该是信息安全最为重要的问题。”许教授说。  电子取证 法律结合技术解决安全问题  而对人的管理还需要通过法律来约束，前提又是技术做保障。  当年，安然公司为了销毁证据，公司里的碎纸机整天不停地高速运转，大量文件资料被销毁，却不能公然焚烧，他们就把这些碎纸装进麻袋里，放在卡车上，装了好几辆卡车，装上卡车又不知道往哪儿开。于是公司高层下达命令，让这些满载碎纸的卡车在高速公路上开下去，一直开了一两个星期……  另一方面，公司电脑存有大量重要资料，包括财务报表等，他们必须销毁这些证据。FBI预料他们要进行大规模的破坏，卡车是找不到了，但电脑跑不了。他们就以最快速度赶到公司，一个早晨便将100台电脑全部封锁。当场运用取证技术，电脑有无口令都无所谓，因为可以直接把硬盘镜像过来。这种技术原理不复杂，相当于照一张相，而现场不加任何改动。镜像后加自己的软件，对磁盘结构进行专门分析，研究删除的文件怎么恢复，最终获得大量辅助证据。  电子取证技术已经在辅助公安部侦破犯罪方面发挥了很大的功效。在我国，许榕生教授和他的学生们恰好正在研究这个课题并计划投入生产。许教授说：“这种取证技术可以记录黑客入侵的每个行为，时间精确到秒，而且还可以恢复已被删除的文件。”许教授目前正在研究“白匣子”。与“黑匣子”记录黑客入侵行为不同，“白匣子”专门记录知识产权。“如果你的文件在这个匣子上拷贝一次，就留下证据，后面的人如果拿不出其他证据证明在之前拷贝过，就足以证明它的产权是你的。”对员工的每一次拷贝行为都有记录，那么再处理员工偷盗问题时，就有技术和法律做保障，加上制度的制定以及对员工价值观的培训，企业信息安全防线就会更加稳固。  我们终究不能像电影《黑衣人》或者《记忆的裂痕》那样，通过消除员工的记忆来保证企业机密不被泄露，我们也永远无法阻止地震或火灾的发生，但是我们有办法让我们的企业更安全。  信息块：  企业信息安全重要附加提示：  在越来越依赖信息化的今天，企业不要完全放弃传统方式。  在校学生王臻在国内一家著名证券公司实习时，曾亲身经历了证券公司一次停电事故。王臻回忆说：“当时主机和副机同时停止运转，股民马上产生骚动。总经理给副经理打电话，两人在3分钟之内做出决定，改用手工操作、人工报盘的形式，打电话了解行情。整个断电过程持续了3小时，但是我们几乎没有遭受任何损失，第二天媒体也未对此事进行报道。”  在把企业信息工作外包给技术公司时，要把核心业务牢牢掌握在自己手中。  上海农工商超市主管信息化的周勇说：“像我们的核心资源商店、门店、以及总部信息都有我们自己来做，包括配送中心。而像电子商务、财务、人力资源、呼叫中心、供应链等就外包出去。这样做主要从安全的角度来考虑，自己永远要掌控最核心的信息资源。”  与数据备份相比，人员备份更为重要。  周勇还说：“除了数据备份，人员的备份也非常重要。即做信息安全的人，两个人的权限有交叉，那么就不怕人员的流动。”另外，在亿阳集团工作的刘然说：“探讨信息安全，一个最重要的环节是对管理员自身的管理。管理员本身就是漏洞。其他人都不能上网，但是管理员自己能。当老总不懂这些时，管理员的权限就无限扩大了，一旦管理员自己出了问题，后果将更加严重。”