公司信息安全細節XxIT部概述信息化時代的到來為企業信息傳遞的及時性起到相當作用信息安全問題成為企業至關重要問題信息在自己手里是王牌，在對手手里是炸彈

小心30個細節，一分鐘毀滅你的公司這是一個以1%、2%決勝負的商業時代，

一個信息就可以左右企業的成敗。

1、

打印機——10秒延遲帶來信息漏洞

即使是激光打印機，也有10秒以上的延遲，如果你不在第9秒守在打印機的旁邊，第一個看到文件的人可能就不是你了。大部分的現代化公司都使用公用的打印機，并且將打印機、復印機等器材放在一個相對獨立的空間里。于是，部門之間的機密文件就可以從設備室開始，在其他部門傳播，當部門之間沒有秘密，公司也就沒有秘密了。

打印紙背面——好習慣換取的大損失

節約用紙是很多公司的好習慣，員工往往會以使用背面打印紙為榮。其實，將擁有這種習慣公司的"廢紙"收集在一起，你會發現打印、復印造成的廢紙所包含公司機密竟然如此全面，連執行副總都會覺得汗顏，因為廢紙記載了公司里比他的工作日記都全面的內容。

電腦易手——新員工真正的入職導師

我們相信，所有的職業經理人都有過這樣的經歷：如果自己新到一家公司工作，在自己前任的電腦里漫游是了解新公司最好的渠道。在一種近似"窺探"的狀態下，公司里曾經發生過的事情"盡收眼底"，從公司以往的客戶記錄、獎懲制度、甚至你還有幸閱讀前任的辭呈。如果是其他部門的電腦，自然也是另有一番樂趣。

共享——做好文件

再通知竊取者

局域網中的共享是獲得公司內部機密最后的通道。有的公司為了杜絕內部網絡泄密，規定所有人在共享以后一定要馬上取消。實際上越是這樣，企業通過共享泄露機密的風險越大。因為當人們這樣做的時候，會無所顧及地利用共享方式傳播信息，人們習慣的方式是在開放式辦公間的這邊對著另一邊的同事喊："我放在共享里了，你來拿吧——"，沒錯，會有人去拿的，卻往往不只是你期望的人。

指數對比——聰明反被聰明誤

在傳統的生產型企業之間，經常要推測競爭對手的銷售數量、生產數量。于是，人們為了隱藏自己的實際數量，而引入了統計學里的指數，通過對實際數量的加權，保護自己的機密信息。唯一讓人遺憾的是，通常采取的簡單基期加權，如果被對方了解到幾年內任何一個月的真實數量，所有的真實數量就一覽無余地出現在競爭對手的辦公桌上了。

培訓——信息保衛戰從此被動

新員工進入公司，大部分的企業會對新員工坦誠相見。從培訓的第一天開始，新員工以"更快融入團隊"的名義，接觸公司除財務以外所有的作業部門，從公司戰略到正在采取的戰術方法，從公司的核心客戶到關鍵技術。但事實上，總有超過五分之一的員工會在入職三個月以后離開公司。同時，他們中的大部份沒有離開現在從事的行業，或許正在向你的競爭對手眉飛色舞地描述你公司的一草一木。

傳真機——你總是在半小時后才拿到發給你的傳真

總有傳真是"沒有人領取"的，每周一定有人收不到重要的傳真；人們總是"驚奇地"發現，自己傳真紙的最后一頁是別人的開頭，而你的開頭卻怎么也找不到了。

公用設備——不等于公用信息

在小型公司或者一個獨立的部門里，人們經常公用U盤、軟盤或手提電腦。如果有機會把U盤借給公司的新會計用，也就有可能在對方歸還的時候輕易獲得本月的公司損益表。

攝像頭——揮手之間斷送的競標機會

總部在上海的一家國內大型廣告公司，在2004年3月出現的那一次信息泄露，導致競標前一天，廣告創意被競爭對手竊取，原因竟然是主創人員的OICQ上安裝了視頻，揮手之間，斷送的或許并不僅僅是一次合作的機會。

產品痕跡——靠"痕跡"了解你的未來

在市場調查領域，分析產品痕跡來推斷競爭對手行銷效果和行銷策略是通用的方法。產品的運輸、倉儲、廢棄的包裝，都可以在競爭對手購買的調研報告中出現，因為"痕跡分析"已經是商業情報收集的常規手段。

壓縮軟件——對信息安全威脅最大的軟件

ZIP、RAR是威脅企業信息安全最大的軟件。3寸軟盤的存儲空間是1.4M，壓縮軟件可以讓大型的WORD文件輕松存入一張軟盤，把各種資料輕松帶出公司。

光盤刻錄——資料在備份過程中流失

如果想要拿走公司的資料，最好的辦法是申請光盤備份，把文件做成特定的格式，交給網絡管理員備份，然后聲稱不能正常打開，要求重新備份，大多情況下，留在光驅里的"廢盤"就可以在下班后大大方方帶出公司。

郵箱——信息竊取的中轉站

利用電子郵件轉移竊取的公司資料占所有信息竊取的八成以上。很多企業不裝軟驅、光驅、USB接口，卻沒有辦法避免員工通過電子郵件的竊取信息，相比之下，以上方法顯得有些幼稚、可笑。

隱藏分區——長期竊取公司資料必備手法

長期在公司內搜集資料，用來出售或保留，總是件危險的事情。自己的電腦總是不免被別人使用，發現電腦里有不該有的東西怎么行。于是隱藏在硬盤分區就成了最佳選擇，本來有C、D、E三個虛擬分區，可以把E隱藏起來，只有自己可以訪問。當然，如果遇到行家，合計一下所有磁盤的總空間，可就一定露餡了

私人電腦——大量竊取資料常用手段

壓縮軟件的作用畢竟是有限的，如果把自己的筆記本電腦拿到單位來，連上局域網，只要半小時，就是有1個G的文件也可以輕松帶走。

會議記錄——被忽視的公司機密

秘書往往把會議記錄看得很平常，他們不知道一次高層的會議記錄對于競爭對手意味著什么，公司里經常可以看見有人把會議記錄當成廢紙丟來丟去，任由公司最新的戰略信息在企業的任何角落出現。

未被采納的策劃案——放棄也是一種選擇

策劃人員知道被采納的策劃是公司機密，去往往不知道被放棄的策劃也是公司機密。有時還會對客戶或媒體談起，而競爭對手可以輕松判斷：你沒有做這些，就一定選擇做了那些！

客戶——你的機密只是盟友的談資

經常可以在網絡上看到著名咨詢公司的客戶提案，這些精心制作的PPT，凝聚了咨詢公司團隊的汗水和無數個不眠之夜，在一些信用較差的客戶手里可能只是一些隨意傳播的談資。

招聘活動——你的公司竟然在招聘總監？

在招聘過程中，成熟的企業不會把用人的單位登在一張廣告里，因為那無異于告訴你的競爭對手：剛剛發生過人力震蕩，人力匱乏。

招標前兩分鐘——最后的底價總是在最后"出爐"如果投標的底價內部公開越早，出現泄露的風險越大，在招標開始前兩分鐘，面對關掉手機的參會者，可以公布底價了！

解聘后半小時——不要給他最后的機會

如果被解雇的員工是今天才得到這個消息，那么，不要讓他再回到他的電腦旁。半個小時的時間，剛好可以讓他收拾自己的用品，和老同事做簡短的告別，天下沒有不散的筵席，半小時足夠了，為了離職員工的清白，更為了信息安全。

入職后一星期——新人在第一個星期里收集的資料是平時的5倍

只有在這一個星期里，他是隨時準備離開的，他時刻處在瘋狂的拷貝和傳送狀態，提防你的新員工，無論你多么欣賞他。

合作后半個月——競爭對手竊取情報的慣用手法是：假冒客戶

在初次合作的半個月里，你對信息安全的謹慎只能表明企業做事的嚴謹，可以贏得大部分客戶的諒解和尊敬。除非，他是你的競爭對手。

離職后30天——危險來自公司以外

一般情況下，一個為企業服務半年以上的員工，離職后30日之內會和公司現有員工保持頻繁的聯系，并且對公司的資料和狀況表現出極度的熱情。如果是被限時離開，那么，在離職30天內通過老同事竊取公司信息的可能性就更大。

明確對外提案原則——能不留東西的就不給打印稿，能不給電子檔的就盡量給打印稿，能用電子書就不用通用格式。

保密協議——無論作用大小，和員工簽定清晰的保密協議還是必要的

無規矩不成方圓，明確什么是對的，人們才可以杜絕錯的。保密協議的內容越詳細越好，如果對方心胸坦白，自然會欣然同意。

責任分解——明確每個人對相關信息的安全責任

所有的機密文件如果出現泄露，可以根據規定找到責任人，追究是次要的，相互監督和防范才是責任分解的最終目的。

設立信息級別——對公司的機密文件進行級別劃分

比如合同、客戶交往、股東情況列為一級，確定機密傳播的范圍，讓所有人了解信息的傳播界限，避免因為對信息的不了解而導致的信息安全事故。

異地保存——別把雞蛋放在同一個籃子里

所有備份資料盡量做到異地保存，避免因為重大事故（如：火災、地震、戰爭等）對企業信息帶來致命的打擊。

認為自己的企業在信息安全上無懈可擊。

也許你會認為，9.11這種事情離自己太過遙遠，發生的幾率為0.1%。可是9.11之前，誰又能想到世界性標志建筑世貿大廈竟然在瞬間被毀滅；9.11使美國許多企業遭受重創，同樣，紐約大停電也給美國經濟造成300億美元的損失。

國際公司的防信息泄漏方法一覽紐約大停電啟示錄

從《商業周刊》看保護信息安全

美國時間2003年8月14日下午四點，北美大部分地區突然停電。誰也沒有料到這一停就是20多個小時，而8月15日恰好是麥格勞希爾公司旗下《商業周刊》的出版日——

麥格勞希爾公司全球首席信息官MostafaMehrabani講述了他們紐約大停電時的親身經歷。

“當時情況非常緊急，許多人不斷詢問公司的業務情況，而且第二天《商業周刊》能否正常出版更是得到人們的普遍關注。而實際上，在停電瞬間，我們已經把出版業務全部轉移到新澤西州，因為在那我們有一套備用設備。”

微軟、西門子等公司查看資料會被嚴格記錄

微軟、西門子等公司則是從硬件設備上防止員工拷貝公司資料，因為根據級別區分，他們大部分的員工電腦是不能安裝軟驅和移動硬盤接口的。這在跨國公司內是非常普遍的做法。另外，IBM公司規定每個員工只有三次查閱同一文檔的機會，并且這三次查看的時間，地點，原因都會被嚴格的記錄下來。

在硬性規定上圍追堵截員工的犯罪行為可口可樂如何做？

2003年8月，可口可樂奧運新包裝的保密機制是值得中國企業學習的。在計劃進行之前，可口可樂公司與了解設計方案秘密的北京奧組委簽訂了保密協議，要求合作伙伴不可以透露任何有關新包裝的事宜。與此同時，制罐廠也采取了嚴格的防泄密措施。"空罐被黑色膠布封起來，制罐廠24小時都有專人把守，只有30名工人加班參與生產；在運輸時，空罐被放在了上鎖的全密封貨柜車內，拿著僅有的一把鑰匙的人并不隨車走。這就從硬性的規定上防止員工泄密。"可口可樂駐北京對外事務部負責人翟梅說。

請克制"大嘴巴"雇員的說話欲望神州數碼深刻教訓

企業領導者無意間泄漏公司機密對企業造成的傷害也是不可估量，因為畢竟他們所掌握的信息比普通雇員要多許多。2004年2月18日上午，某媒體披露了神州數碼財報中的部分數據。但是按照證監會規定，有關財報的所有資料都必須等到19號也就是媒體披露的第二天才能公開。未經國家相關部門審查提前披露公司財報是違法的。這家媒體之所以獲得了這些數據，是神州數碼某高層在接受記者采訪時無意說出來的。

當然，普通員工的口風也是公司應該注意的。他們在參加各種會議和貿易展覽時，總是很樂意吹噓自己如何克服技術困難，卻因此泄漏了機密的信息。

·敵人隨時都瞄準你的任何一個漏洞

麥當勞門店內的垃圾是寶？

幾年前，一家著名的市場調查公司調查麥當勞的產品銷售量，他們使用了痕跡調查方法，收集了當天麥當勞所有的垃圾，雇用了許多零時工從麥當勞店內收集垃圾，包括包裝紙盒等。他們就是通過計算這些垃圾得出了麥當勞每一種產品的銷售量，并且推算出賣當勞下一年的銷售計劃。在這之后，麥當勞門店內的垃圾都要經過自己的處理后才運走。

雅芳雇傭私人偵探收集玫琳凱丟棄物

同樣的事情也發生在雅芳和玫琳凱化妝品公司之間。雅芳就曾經雇傭私人偵探收集了玫琳凱的丟棄物，并且進一步破解了競爭對手的新化妝品配方。對于玫琳凱來說，她無法奪回這些珍貴的東西，因為雅芳只是研究了她的垃圾而已，這是完全合法的。

諾基亞：用嚴格的規定來保證攻擊者無懈可擊

如果競爭對手在小區內對企業員工進行監控，他們可以輕而易舉的獲取相關資料。對于這一點，諾基亞的解決方案很實用：

"我們外出辦公的員工在登陸公司局域網時要通過公司為其專門設置的密碼，而且這個密碼是不斷更改的。一個員工不可能長期使用同一個密碼進入公司的局域網。"諾基亞中國區企業解決方案部王磊說。

所以對于企業的領導者來說，要減少外部攻擊對企業造成的損傷，除了要花大筆的費用引進技術外，還必須用嚴格的規定來保證攻擊者無懈可擊。

國防科工委：蒼蠅不叮無縫的蛋

國防科工委網絡要求內外網絡嚴格隔離，因為他們要保護的是紅頭文件，但是限制幾千人聯網的權力是一件非常吃力的事情。于是，國防科工委的院長親自帶隊查處。他們嚴格監控自己的外網出口，一旦發現內網有人通過外網出口傳輸文件，就會馬上跟蹤IP地址，而等待這個員工的將是嚴厲的處罰。我們公司應當反思的問題信息化建設的防信息泄漏制度硬件措施軟件措施反情報信息泄漏方法虛假宣傳方法人員的忠誠度培養9、青少年是一個美