◆魏紹波

（中石化國(guó)際工程公司 北京 100728）

淺論企業(yè)的數(shù)據(jù)安全

◆魏紹波

（中石化國(guó)際工程公司 北京 100728）

企業(yè)應(yīng)高度重視數(shù)據(jù)安全，采取多種措施和手段，從多層面、多角度綜合考慮，防止關(guān)鍵數(shù)據(jù)丟失、破壞或被非法利用。

數(shù)據(jù)安全；網(wǎng)絡(luò)安全；安全措施

0 引言

在當(dāng)今數(shù)字化、網(wǎng)絡(luò)化的時(shí)代，工作和生活都變得非常方便和高效。然而，在我們享受各種日新月異的現(xiàn)代化工具帶給我們的便利時(shí)，數(shù)據(jù)安全的隱患也時(shí)時(shí)威脅著企業(yè)的商業(yè)價(jià)值甚至生存。

安全和方便很多時(shí)候是一對(duì)矛盾，采用越多的安全措施，就往往意味著更多的手續(xù)和程序，增加額外的管理成本。所以在制定具體的措施前，企業(yè)需要評(píng)估自己的風(fēng)險(xiǎn)點(diǎn)有哪些，在風(fēng)險(xiǎn)、成本、便利之間找到一個(gè)合理的平衡點(diǎn)。

企業(yè)首先要在全公司范圍內(nèi)調(diào)查和確認(rèn)究竟哪些數(shù)據(jù)是重要的，失去這些數(shù)據(jù)可能帶來的后果，這些數(shù)據(jù)被競(jìng)爭(zhēng)對(duì)手拿去可能導(dǎo)致的結(jié)果，被不應(yīng)該知道的“好事者”知道后可能帶來的問題。重要的數(shù)據(jù)對(duì)企業(yè)而言至少包括專利技術(shù)、合同條款、歷史數(shù)據(jù)、生產(chǎn)資料、商業(yè)計(jì)劃、招標(biāo)條件、標(biāo)書報(bào)價(jià)、成本利潤(rùn)等等不宜公開的敏感內(nèi)容。這些信息如果讓競(jìng)爭(zhēng)對(duì)手取得，或者發(fā)生意外故障丟失，就可能讓自身陷入被動(dòng)，甚至造成經(jīng)濟(jì)損失。認(rèn)真評(píng)估這些風(fēng)險(xiǎn)后，就能發(fā)現(xiàn)哪些數(shù)據(jù)對(duì)公司有重大意義，因而必須采取必要的手段加以保護(hù)。

1 加強(qiáng)企業(yè)數(shù)據(jù)安全的具體措施

1.1 員工安全意識(shí)

員工安全意識(shí)的教育和培養(yǎng)，是所有數(shù)據(jù)安全中最重要的環(huán)節(jié)。再好的制度，也需要人來執(zhí)行。再好的設(shè)備，也需要人來操作。所以企業(yè)應(yīng)有計(jì)劃的培養(yǎng)和強(qiáng)化員工的安全意識(shí)、安全習(xí)慣。例如，和外面的人員平時(shí)聊天時(shí)，員工如果輕易透露了重要領(lǐng)導(dǎo)的行程，這就可能會(huì)讓“別有用心”的人猜測(cè)到公司的下一步商業(yè)計(jì)劃。公司的利潤(rùn)指標(biāo)、財(cái)務(wù)數(shù)據(jù)等，對(duì)于內(nèi)部人員可能不覺得是一回事情，但是對(duì)于競(jìng)爭(zhēng)對(duì)手，就可能從其中挖掘出很多相關(guān)信息來。所有這些，都要求從提高員工的安全意識(shí)來防患于未然。

從HR的角度來說，與所有員工簽訂保密協(xié)議，或者同業(yè)競(jìng)爭(zhēng)協(xié)議（例如關(guān)鍵崗位離職后多長(zhǎng)時(shí)間不能到競(jìng)爭(zhēng)對(duì)手公司上班），也是企業(yè)整體數(shù)據(jù)安全的重要一環(huán)。

1.2 主機(jī)安全

全體員工的個(gè)人電腦都應(yīng)該要求設(shè)置開機(jī)密碼（BIOS密碼），這樣員工不在辦公室時(shí)別人不可能輕易打開電腦讀取其中的文件?？赡艿那闆r下可設(shè)置硬盤密碼，即使硬盤被人盜走，其上的數(shù)據(jù)也不可能被讀出。必須設(shè)置屏保密碼，這樣當(dāng)臨時(shí)出門時(shí)，不會(huì)有人去偷看上面正在編輯的文件。密碼還必須有一定的復(fù)雜度，不能被輕易猜中。雖然密碼不能絕對(duì)保證安全，但有密碼和沒有密碼的安全程度差別還是非常大的。另外，所以員工電腦必須強(qiáng)制安裝正版防病毒軟件，并根據(jù)統(tǒng)一策略定期更新和查殺。

1.3 郵件安全

建議員工統(tǒng)一使用outlook/exchange方式收發(fā)郵件，盡量不使用POP/SMTP的郵件客戶端，同時(shí)重要郵件使用公司賬號(hào)發(fā)送和接收，并可考慮發(fā)送時(shí)對(duì)郵件進(jìn)行加密傳送。事實(shí)上，很多商業(yè)伙伴也只接受從公司郵箱賬號(hào)發(fā)出的郵件。

對(duì)于公司的郵件群發(fā)賬號(hào)，也必須進(jìn)行授權(quán)管理，例如只有指定的人才能使用全體員工的群發(fā)賬號(hào)發(fā)送通知，這可以有效的防止郵件釣魚軟件或者通過郵件擴(kuò)散的病毒的影響范圍。當(dāng)然，這也可以防止心懷不滿的內(nèi)部員工在全公司范圍內(nèi)制造輿論或者其他麻煩。

1.4 移動(dòng)介質(zhì)

U盤和移動(dòng)硬盤是現(xiàn)在非常流行的數(shù)據(jù)傳遞工具，但是其中的安全隱患不可不知。當(dāng)我們用自己的U盤插入別人的電腦拷貝文件時(shí)，就可能感染別人電腦上的病毒。而當(dāng)別人使用U盤插到我們的電腦上拷貝文件，“別有用心”的U盤就可能自動(dòng)掃描并悄悄拷走我們電腦上的敏感資料。難怪有些公司（例如沙特阿美公司）辦公室的電腦主機(jī)上一概禁止使用U盤。

1.5 網(wǎng)絡(luò)欺詐

釣魚網(wǎng)站、欺詐郵件、網(wǎng)絡(luò)色情陷阱等等都是騙取用戶賬號(hào)或密碼的手段。或者通過QQ等聊天工具，在傳送的文件中植入木馬，用于盜取資料。還有通過分析背景、家庭、職業(yè)等個(gè)人信息，或者QQ聊天或社會(huì)交往等等獲取信息，再根據(jù)這些信息猜口令，并進(jìn)一步獲取敏感資料。

1.6 WiFi安全

很多場(chǎng)所都提供無線WiFi服務(wù)，但是有些免費(fèi)的WiFi可能就是別有用心的人坐等你上鉤的陷阱。如果通過這種惡意WiFi上網(wǎng)，各種賬號(hào)和密碼信息都均可暴露于風(fēng)險(xiǎn)之中。另外，對(duì)于很多企業(yè)來說，如果辦公室的無線WiFi信號(hào)過強(qiáng)，圍墻外的人甚至都可以接入你的網(wǎng)絡(luò)的話，那么就直接給別人進(jìn)入企業(yè)內(nèi)網(wǎng)提供了天然的便利。

1.7 物理防護(hù)

企業(yè)應(yīng)設(shè)置門禁系統(tǒng)，不讓不該進(jìn)入的人員隨意進(jìn)出，減少風(fēng)險(xiǎn)暴露。另外，在辦公場(chǎng)所應(yīng)安裝視頻監(jiān)控，萬一有事情發(fā)生時(shí)也可以發(fā)現(xiàn)線索。對(duì)于重要文字檔案，必須存放于上鎖的房間。員工下班時(shí)，敏感資料不應(yīng)隨意放置于桌面上，而是應(yīng)該放入抽屜并上鎖。對(duì)于辦公室的筆記本電腦，也最好配備電腦防盜鎖鏈，這樣就不會(huì)被輕易盜走。員工的私人朋友不宜帶進(jìn)工作區(qū)，會(huì)客區(qū)和主工作區(qū)分離，訪客必須有被訪者的陪同，不能單獨(dú)留在辦公室。

1.8 網(wǎng)絡(luò)層的安全

網(wǎng)絡(luò)邊界必須放置防火墻，并做好必要的策略配置。企業(yè)內(nèi)網(wǎng)里，對(duì)于敏感的部門（例如財(cái)務(wù)部，總經(jīng)理辦公室）等，可以在不同VLAN間設(shè)置訪問控制，只對(duì)授權(quán)用戶在網(wǎng)絡(luò)層給予準(zhǔn)許。對(duì)于在現(xiàn)場(chǎng)的臨時(shí)辦公室，員工可以通過VPN接入辦公室網(wǎng)絡(luò)，保證數(shù)據(jù)傳輸通道的安全。

1.9 手機(jī)終端

現(xiàn)在的智能手機(jī)功能強(qiáng)大，雖然其體積小、重量輕、便于攜帶，但其運(yùn)算能力并不亞于一臺(tái)個(gè)人電腦，很多企業(yè)應(yīng)用（例如公司郵件，財(cái)務(wù)、OA軟件）就運(yùn)行在手機(jī)終端上。手機(jī)的安全有兩方面，一是保護(hù)自己的手機(jī)不被非法使用，這要求員工在手機(jī)上設(shè)置開機(jī)密碼，包括SIM卡的PIN碼和PUK碼。二是防止別人利用手機(jī)偷錄或者竊聽，因此在重要會(huì)議或現(xiàn)場(chǎng)，有必要要求到場(chǎng)人員將手機(jī)臨時(shí)放在在門口統(tǒng)一管理。

1.10 數(shù)據(jù)備份

定期數(shù)據(jù)備份是數(shù)據(jù)安全保護(hù)的有力手段，對(duì)重要的數(shù)據(jù)，還要做到異地備份。這樣萬一發(fā)生災(zāi)難（例如機(jī)房失火）的時(shí)候，可以保證企業(yè)的生產(chǎn)和業(yè)務(wù)數(shù)據(jù)還是安全的。

1.11 安全事故報(bào)告

如果發(fā)生數(shù)據(jù)安全事件，例如電腦丟失、病毒入侵、密碼被盜等等，必須要求員工將事件立即報(bào)告給公司相關(guān)人員，并由專人評(píng)估可能造成的影響和損失，需要的話采取適當(dāng)?shù)氖潞蟠胧﹣頊p少損失。

2 總結(jié)

雖然說沒有絕對(duì)的安全，但采用上述安全措施后，配合員工的安全意識(shí)，加上企業(yè)的制度化保證，整體上必然會(huì)減少企業(yè)發(fā)生重大數(shù)據(jù)安全事件的概率。

[1]張營(yíng)海.淺論企業(yè)信息系統(tǒng)的數(shù)據(jù)安全[J].齊魯石油化工，2003.

[2]肖勁.企業(yè)網(wǎng)絡(luò)安全問題探討[J].計(jì)算機(jī)光盤軟件與應(yīng)用，2013.