“我最担心的一件事是他们的间谍,因此我们要保持最高度的警惕……”
---华盛顿(美国开国总统)

企业信息安全对策研究
曾忠禄

　　一．严峻的信息安全问题
　　企业的信息安全问题涉及多方面的问题，目前最受人关注的是网络信息安全、商业秘密安全以及公开信息安全问题。
互联网的发展使企业管理逐渐电子化，但同时也使企业在网络信息安全方面面临严峻的挑战。互联网为入侵者提供了进入我们的计算机系统的机会。入侵者可以破坏我们的数据，修改我们的软件，截获我们的电子邮件，偷窃资料，关闭主机或网络等。去年美国企业界报告的对计算机系统的入侵高达53000起，比2000年增加了150％。由于许多企业为了自己的形象不愿意报告入侵事件，上述数字只占实际发生的1/3（参见表1）。我国利用计算机网络进行各类违法犯罪的行为最近几年每年以30%的速度增长，仅去年就破获了黑客案件数百起。今年春天，有人利用从新闻组中查到的普通技术手段，轻而易举地从多个商业站点窃取到8万个信用卡号和密码，并标价26万元出售。两年前，上海一“电脑黑客”入侵上海交易所某席位，盗卖了价值2.6亿元的股票，这是我国最大的一起电子犯罪事件。(曾华国)。　　
　　网络信息犯罪给企业造成的损失比一般犯罪给企业造成的损失更大，破案更难。银行偷窃每一作案平均损失金额为8.5万美元，破案率为80％，网络信息偷窃平均损失金额为80万美元，破案率只有2％。(Kulczycki, 1997)。许多技术管理经理认为，今天的网络不可能是不可渗透的，任何新的安全技术都会很快过时，黑客很快就能发现绕过它们的办法。
商业秘密的违法行为也日益增加。美国产业安全学会(ASIS)1992年对该学会的5000个成员进行问卷调查以了解这种行为给企业带来的损失。有246家公司做了回答。在246家公司中，共发生了589个技术、商业秘密或经营计划被非法窃取或复制的事件。该项研究还显示：
　　·自1985年以来，偷窃商业秘密增加了260%。
　　·被偷窃最多的是客户名单。
　　·在所有的偷窃中，有58%涉及现在或过去的雇员。
　　·有30%的偷窃与国外机构有关，这一数字是1985年的2倍。
　　·有21%的偷窃是发生在国外，其中37%涉及外籍员工。
　　·589件失窃案中，33%是实际被窃，43%是未经授权的复制，只有不到8%的失窃涉及收买。
　　商业秘密的泄露或被盗给企业造成的损失有多大？如果某项技术被盗，其直接经济损失可以根据成本或市场价值计算，比如河南中南机械厂的技术资料被非法复制，该资料的购买成本是117万元；某研究所的系列测桩仪的全套技术被盗，测算的直接经济损失达300万元。有些商业秘密泄露造成的损失可以通过销售收入变化计算，如中国青年旅行社1994年状告中国旅行社的起诉书称中国旅行社以引诱等手段挖走其业务骨干，带走客户名单，导致其国外客户在一周时间内取消了原定8-12月份的旅行团151个，占原定团队总数的1/3，减少计划收入人民币2196.4万元，利润损失356万元。2000年广州零售巨头好又多控告另一家零售巨头万客隆非法获取其客户数据,索赔金额为4200万。
　　但许多商业秘密是无形资产，其损失的价值很难计算。
　　如果说商业秘密的保护对企业是一项严峻的挑战，那么，竞争对手通过公开渠道以合法手段收集企业情报则给企业的信息安全带来更大的问题。因为企业要保护这方面的信息更加困难。最近几年来，随着竞争激化和国外竞争情报方法的传入，我国企业间的情报收集活动迅速增加。比如广州出现了专门收集竞争对手销售价格?quot;价格007"，一些电讯公司、家电企业都设立了竞争情报项目，专门收集竞争对手的情报。通过对公开渠道获得的信息进行分析，竞争对手可以获得需要的信息的90％以上。竞争对手的情报项目可能使竞争对手提前把产品上市，或以更低的价格提供在企业产品基础上的改进产品，或者迫使企业放弃本来是领先的但现在却过时了的产品。企业因此遭受的直接后果是市场份额降低、利润减少、失去生意机会等等。

表1 2001年344家美国公司的安全问题调查

资料来源：Computerworld,2002.1, CSVFBI计算机犯罪和安全调查，2001

　　二、设立首席信息长官
　　为了保证自己的信息安全，许多跨国公司设立了首席信息长官一职，专门负责企业的信息安全工作。传统上企业把信息安全看成是技术部门的事，因为一般企业都认为保护商业秘密是技术问题而不是商业问题。但事实上信息安全不仅是技术问题。公司的各种信息资产并不具有同等的价值，一些比另外一些更需要保护。具体哪些更重要，需要优先保护，哪些可以不保护，只有业务经理才能回答。如何从战略上、业务上和组织上采取保护措施，也不是一般技术人员可以解决的。比如，2000年12月黑客入侵了Egghead.com公司（美国一家在线零售公司）的顾客信息系统，获得了其370万张信用卡的号码。虽然Egghead公司安装了安全系统，并声称实际上数据没有被偷窃，但它在组织上没有能让顾客和股东对自己的敏感信息感到放心的措施，结果其股票价值下跌了25％。设立首席信息长官有助于改变这种局面。根据麦肯锡公司的研究，2002年财富500强在信息安全方面做得最好的公司中有30家已委任了高级业务经理负责信息安全的工作。全球最佳2000家公司中有约一半到2004年以前会设这一职位。美国在线、时代华纳、美林证券、微软、万事达国际公司都设立了首席信息官，这些首席信息长官同业务经理和技术经理一道评估失去关键信息的商业风险，并把安全支出作为首要安排。
　　首席信息官比技术经理对信息安全有更宽的视野，他们通常根据对企业业务的充分了解、根据企业愿意接受的风险的性质和程度来做决策。在做得最好的公司，他们有较大的决策权，比如，欧洲一家大银行的个人银行部的首席信息官有权中止可能对公司的信息安全形成威胁的新产品上市，或暂停新部门或新系统的设立。只有公司的首席执行官可以推翻他的决定。最佳公司的首席信息官负责严格的安全审计，确保员工在安全保密方面得到适当的训练，并制定获取公司信息的程序。比如当公司决定解雇某个员工，管理人员马上就将信息录入人力资源管理系统，该系统使有关部门马上限制该员工进入公司的某些地方，接受某些电子邮件或接近某些文件。
　　当然，信息安全的重要性以及首席信息官的重要性因不同的产业，公司的资料的价值和它面临的政府管制的强度不同而差距很大。信息安全最重要的产业有航天航空、国防、生物制药、电子、金融服务、药品和零售等行业。

　　三、采用OPSEC法保护公开信息
　　公开信息也可能导致企业关键信息泄漏，从而给企业造成损失。防止公开渠道泄露企业的关键信息同保护商业秘密一样重要。可能泄漏关键信息的公开渠道如下：
　　1、 企业的日常经营活动：
　　◇ 销售的产品可被观察到。
　　◇ 销售数字可以被度量或收集。
　　◇ 市场占有率可以被计算出来。
　　◇ 顾客可能对企业的产品或企业本身发表意见。
　　◇ 竞争对手可以从空中对企业的设施拍照。
　　◇ 进出仓库的货车可以被统计。
　　◇ 投标的标书可能被别人分析。

2、 企业自己对外宣传和沟通的需要：
◇ 向投资者公布的信息，包括年度报告和中报等。
◇ 向顾客提供的信息，包括广告、产品手册、公司简介、顾客通讯、杂志、公关活动、公司名录等。
◇ 向员工或潜在的员工提供的信息，包括员工手册、公司通讯、杂志等。
◇ 案例研究。
◇ 招聘广告。

3、法律或协会的义务：
◇ 专利。
◇ 年度报告、中报。
◇ 法庭调查。

　　4、竞争对手利用人际资源获取信息。竞争对手的情报人员同掌握其需要的信息或能够得到其需要的信息的人发展友谊，或掌握他们的某些弱点，然后引诱对方提供保密信息。
通过上述渠道竞争对手可能只收集到零星信息，但是如果竞争对手得到某些关键信息，并按一定的形式将这些信息组合拼接，他们就能根据企业的一贯行为模式或者从一贯行为模式的偏离，从发生的某一活动或这类活动的缺乏,推导出企业的行动方向。
　　为了防止竞争对手利用公开渠道获得企业的信息,企业是否可以把凡是未说明是公开信息的东西都定义为保密信息，并把这些信息锁在保险柜里，存在档案馆里，把每一张小纸条都用粉碎机粉碎?不行!虽然这种措施有助于防止竞争对手掌握企业的情报，但代价太高。首先，它妨碍了信息在员工之间的自由流动，使员工生活在一种不信任和神秘的气氛之中，这不但使员工拥有的信息减少，而且造成士气低落；其次，把什么信息都视为头等机密，使员工总是处于高度警觉之中，随着时间的推移，这可能使员工对真正的机密也不敏感了；再次，这种措施的直接费用也很高。既要防止竞争对手获取自己的情报，又要降低保密成本，重点是防止企业的关键信息的泄露。OPSEC方法是防止关键信息泄露的有效方法。

　　（一）、什么是OPSEC法？
　　OPSEC方法是美国军方在越南战争时期发明的一种保护关键信息的方法。按美国"国家军事行动安全文件"的定义，OPSEC是利用系统的分析过程确定敌对力量如何及时获得有价值的信息的一种手段"。越南战争中美军曾一度动用大批轰炸机轰炸越南北方，希望通过大肆轰炸迫使北方求和，但收效甚微。后来美军发现，北越军队对美军的许多轰炸事前都有所了解。尽管轰炸之前的飞行侦察发现某些基地有士兵和军备物资，但当美国的轰炸机飞临时，所有东西都已撤走了。起初美国情报官员怀疑内部有间谍向越南游击队提供情报。但后来他们认识到敌方是通过观察某些基地的空军指挥人员和军用物资调动情况，然后综合分析美军可能攻击的目标并因此采取防备行动的。
　　美军的问题是如何既能调动军队和装备，而又不让敌人从中得出有价值的情报。情报专家于是开发了OPSEC方法，该方法通过防止对方得到情报分析所需要的关键信息而使对方无法从观察到的信息中得出有价值的情报。比如，许多空军基地会同时接到大批物资，这样其中哪一个基地的活动都不特别显眼；另一个方法是非常缓慢地调动军队，使得从外面看起来像是例行的调动而不像大规模的集结。
　　经过30多年的实践，该方法的有效性进一步得到证实。越来越多的美国政府机构采用该方法。美国情报机构用它来保护重要人员，联邦调查局用它来实施法律，国防部用它来保护武器系统的采购，海岸警卫队和海关用它来查获违禁品，情报机构用于保护敏感作业。在过去10来年的时间里，美国的许多企业也开始采用该方法来保护商业秘密。

　　（二）OPSEC方法的基本特征
　　OPSEC的目的是控制有关企业行动、能力、局限性、活动和动机的信息泄露，防止竞争对手利用这些信息进行有效的预测。OPSEC方法有如下一些特点：
　　重在保护公开信息。传统的保密方法一般是保护保密信息或专有信息，而OPSEC则把重点放在防止竞争对手利用公开的信息源获取关键信息。这些信息源一般是非保密的，不属于专有信息。
　　选择性保护。OPSEC方法对信息的保护是有选择性的。OPSEC方法承认所有公司都有脆弱的地方，但并不是所有这些脆弱的地方都值得保护或能有效保护。企业不应该不顾成本地去避免风险，而应以一种合理的、分析的、高效率低成本的方式来管理风险。企业应了解竞争对手会怎样获得信息，获取信息的动机和能力，利用信息来对付自己的方法，以及自己失去信息的代价和保护信息的成本。利用OPSEC方法，企业可以避免把钱花在保护不值得保护或本质上不可保护的信息上。
　　一致性。一旦确定了最需要保护的信息，同样重要的是始终如一地、全面地保护信息。传统的安全保护方法，包括物理安全、人员安全、通讯安全在保护直接的信息泄漏方面虽然很有效，但这些方法不能防止间接的信息泄露。如果不考虑竞争对手如何利用零散的信息拼凑出完整的信息，可能意味着花了大笔钱保护信息但商业秘密还是泄漏了。OPSEC能防止这种花大把钱镇守前门,却让后门大开的安全保护方法的缺陷。
　　降低保护信息的成本。在确定信息保密的投资时，该方法能带来巨大的成效。比如在冷战时期，每当苏联的检查员根据削减战略核武器条约要到美国来检查时，美国国防部就派人到有关武器生产商和空军基地检查，看需要采取那些安全措施。最初大家都认为在苏联检查人员检查那天，有关工厂应该停止生产，但利用OPSEC的方法进行分析之后，大家认为这些工厂都可以继续开工，只在休息时让苏联检查人员进入检查。单这一项就为企业节约了大量的成本。
　　（三）OPSEC方法的步骤
　　OPSEC方法由5个步骤构成：1、确定关键信息。2、分析可能的威胁。3、分析自身的脆弱点。4、评估风险。5、采取对策。确定关键信息使保密人员知道什么是关注的重点，威胁分析能确保对保密采取现实主义的态度，脆弱点分析能保证保密方法的客观性，而风险分析保证理性化的保密决策，应对措施的实施则保证保密措施的效用和价值。5个步骤结合在一起代表了一个合理的、平衡的应对信息风险的方法。
　　1、确定关键信息
　　关键信息是有关企业的意图、能力，活动的信息，竞争对手需要这些信息来作可能影响企业的决策。关键信息包括企业的定价方法、进货渠道、关键客户、产品配方、收购计划、战略规划等。这些关键信息可能涉及有关关键人员、关键设备、关键设施、关键活动或关键作业。
　　有时候关键信息也可能是拼凑在一起或加以解释就能发现重要线索的"OPSEC指标"。什么是OPSEC指标？OPSEC指标是对方从公开信息源或从可侦测到的行动获取的信息痕迹。比如可看到的你的计划安排，你去上班时通常的行动线路，你例行的做事方式、行为习惯等等。大多数OPSEC指标经常来自企业为执行某项计划或采取某项行动而进行的例行活动，这些活动可能是行政活动，物资调动或技术活动。
　　确定关键信息可从检查一项活动的整个过程开始。根据竞争对手现有的信息收集能力确定哪些指标可以被竞争对手获得并加以利用,可能对企业产生的不利影响。比如一件新产品的有关信息如果被竞争对手加以利用，是否会导致你的产品优势被抵消？产品被克隆？被枪毙？或迫使你对产品重新进行重大设计？如是，它们就是关键信息。
　　一旦确定了关键信息和OPSEC指标，就可结合竞争对手的情况进行分析以确定它们可能暴露关键信息的程度。
　　2、分析威胁
　　评估竞争对手得到该信息以后可能对企业造成的伤害。这包括确认竞争对手能在多大程度上得到企业的信息并利用该信息。简单地说就是，他们有些什么能力?他们知道了什么?他们什么时间知道的？他们想要什么？为什么要？他们如何得到？得到之后如何利用？他们的最高管理层是如何看待竞争情报的?
　　3、弱点分析
　　企业最容易泄露信息的地方在哪里？通过哪些部门或哪些员工泄漏？员工了解这些问题吗？应该保密的地方是否不必要地透露了过多的信息?
　　所有可能泄露关键信息的渠道都应被视为弱点。但并不是所有这些弱点都值得保护。在决定如何保护某一信息中的弱点或缺陷时，需要确定企业的信息有多么敏感? 该信息有多高的价值？只有在竞争对手需要这种信息时才值得采取措施。由于竞争对手不同目标也不同，因此对一个竞争对手保密的东西同另一个竞争对手可能不必保密。如果根据难易程度将暴露某一信息给竞争对手的不同方法排队，如果排在第2位的弱点难以采取措施，那么花钱对排在第5位的弱点采取措施便没有任何意义。
　　分析弱点时可能需要对企业整个作业或活动进行检查，审查任何脆弱点以发现可能被竞争对手利用的关键信息的指标。审查可从竞争对手的角度来审查，即把自己放在竞争对手的角度，一步一步地检查自己的活动或作业的所有环节。可分析竞争对手的行动方案以发现他们收集关键信息的途径。然后确定自己的经营行动和竞争对手的利用能力之间的关联度。另外要考虑的因素是信息的时间价值以及竞争对手在有效的时间内收集和利用该信息的能力。
　　4、评价风险
　　什么会发生，什么可能发生。 竞争对手得到某些信息以后会产生什么影响?企业会失去市场份额、顾客、技术优势吗?如果这些损失出现了企业能采取哪些补救措施？哪些信息应长时间的保密？
　　在本阶段，风险分析人员将前面的步骤（关键信息、威胁、弱点）整合，从中发现需要保护的地方。可以利用下面的维恩图来完成这一工作。该图由3个交叠的圆圈构成，圆圈分别代表信息、威胁、脆弱性。3个圆圈重叠之处对企业才有风险，才需要采取措施来减少这种风险。 只有两个圆圈重叠的地方，可不采取措施。比如在信息与弱点交接的地方，虽然对方可能得到关键信息，公司也有弱点，但因为不存在威胁，故可以不采取保护行动。
　　5、运用适当的对策
这是OPSEC流程的决策阶段。在这一点，决策者根据前面的分析作出相应决策。决策时可将前面分析的风险排序。将对策的成本（可用金额表示，也可用对业务的冲击表示等等）同资产的价值对照，而将得到的好处同采取措施降低的风险损失对照。如果对策的成本低于保护的资产的价值，或得到的好处低于风险造成的损失，则没有必要采取保护措施。

　　应对措施的主要目标是减少一种和几种脆弱性。企业可采取的应对措施有如下一些：
　　◇ 消除可能被利用的OPSEC指标，如删除或改变网页上或其他地方提供的某些信息；
　　◇ 防止竞争对手有效地收集和处理相关信息；
　　◇ 防止竞争对手在分析时准确地解释信息；
　　◇让竞争对手的情报收集更困难，更耗费时间。虽然竞争对手需要的任何敏感信息或保密信息早迟都有可能被发现或泄漏，但对手获得某一信息的时间越晚，自己保护竞争优势的时间就越能延长。
　　需要注意的是，采用一些应对措施可能导致新的脆弱性。比如派警卫保护某项活动反而会引起人们对该活动的注意。因此，OPSEC方法也要求企业评估应对措施的有效性。此外，由于影响信息安全的各种因素在不断变化（比如信息的价值，威胁的严重性和对手可能利用的弱点都会变化），因此保护的决策也应该不断变化。

　　四、保护信息安全方面的一些建议
　　前面我们谈到，应尽可能延缓竞争对手得到企业的关键信息，但是应怎样延缓呢？下面我们根据OPSEC的方法提供一些具体建议。
　　1、 获得高层管理对信息安全的支持。
　　2、不要浪费资源保护不值得保护的信息。
　　3、确定什么信息需要保护，需要保护多长时间。
　　4、对于十分敏感的信息，应人工传递或采用加密技术传递。
　　5、对于涉及敏感信息的废纸或处理的资料，应用粉碎机或其他方法处理使其没有阅读的可能。
　　6、重要的公司信息资料，不管是印刷品还是电子产品，都不能留在无人看管的旅馆房
间里。
　　7、电子邮件或声音邮件的密码必须严格保密并经常更换。
　　8、所有敏感的资料都不能留在会议室里，会后所有黑板或白板都必须擦干净。
　　9、如果可能，对所有接触敏感信息的人的背景都应该有所了解。
　　10、凡是可能接触到企业专有信息的人，不管是员工、供应商还是其他人，都应签署保密协议。
　　11、不满的员工可能对企业构成最大的威胁，应注意处理同这类员工的关系。
　　12、由于监听技术的发展，不管是固定电话还是移动电话的电话交谈都很容易被截听，如有必要，可安装反截听装置。
　　13、对企业的物质资产、信息资产和脆弱性应该有充分地了解。
　　14、如果可能，所有对外公关的材料和其他公开资料，在发布之前应尽可能先让信息经理审查一下。
　　15、在正式举行新闻发布会之前，利用OPSEC法将拟发布的信息审查一遍，以判断将信息发布出去的好处是否能抵消竞争对手得到后而使企业可能付出的代价。
　　16、企业为履行某些义务或由于商业交往的需要可以让参观人员看他们的某些设施，但参观人员所看的东西应是对竞争对手没有什么战略价值的东西。参观时要有人陪同，不要让参观人员随意走动。
　　17、工程师和研究人员在学术会议上提供的技术文件也可能泄露秘密。应对企业人员在会议上提供的资料进行审查，以确保战略规划或其他保密信息没有被泄露出去。
　　18、非公司员工，包括供应商、销售商、邮递员、印刷商、银行和其他机构的人员都可能了解企业的某些保密信息。尽管可以同他们签订保密协定，但更重要的是让他们都了解保守秘密的重要性。
　　19、员工绝不要在公众场所讨论保密信息。
　　20、所有的招工广告都应经过一定的审查，以确定其中哪些内容是否特别重要，应该保密。有些时候打非署名广告或通过猎头公司招聘效果可能更好。
　　21、公司内的网络应严防非授权人员使用，并应随时检查"防火墙"的可靠性。
　　22、法律诉讼常导致信息的泄露，从而使竞争对手得到好处。企业应特别考虑起诉某人或被某人起诉时，可能造成的信息泄露。潜在的泄露可能需要企业在法庭外"私了"一些案子。
　　24、应同所有的员工签订保密协定，其中应包括对公司无伤害原则，即公司的员工以后不管到哪儿工作，不能做任何可能对公司造成伤害的事。

版权所有，未经许可不得转载