蔣兵兵

[摘 要] 在當(dāng)前“互聯(lián)網(wǎng)+”的浪潮下，中小互聯(lián)網(wǎng)企業(yè)在激烈的市場(chǎng)競(jìng)爭(zhēng)中，針對(duì)競(jìng)爭(zhēng)對(duì)手進(jìn)行競(jìng)爭(zhēng)情報(bào)收集和反收集已變得越發(fā)重要。本文結(jié)合OPSEC模型，結(jié)合中小IT企業(yè)發(fā)展特點(diǎn)，有針對(duì)性地提出反競(jìng)爭(zhēng)情報(bào)系統(tǒng)方案。

[關(guān)鍵詞] 反競(jìng)爭(zhēng)情報(bào)；情報(bào)系統(tǒng)；OPSEC模型

doi ： 10 . 3969 / j . issn . 1673 - 0194 . 2018. 05. 033

[中圖分類(lèi)號(hào)] F272；F276.3 [文獻(xiàn)標(biāo)識(shí)碼] A [文章編號(hào)] 1673 - 0194（2018）05- 0077- 03

0 引 言

當(dāng)前社會(huì)正處在信息化時(shí)代，企業(yè)間的競(jìng)爭(zhēng)日趨激烈，誰(shuí)通過(guò)競(jìng)爭(zhēng)情報(bào)的收集，掌握最前沿的信息動(dòng)態(tài)，誰(shuí)就在競(jìng)爭(zhēng)中占據(jù)主動(dòng)。在這種情報(bào)戰(zhàn)背景下，反競(jìng)爭(zhēng)情報(bào)工作也就越發(fā)重要，保證企業(yè)的信息安全性也成為了在激烈競(jìng)爭(zhēng)中企業(yè)存續(xù)的重要因素。企業(yè)競(jìng)爭(zhēng)情報(bào)系統(tǒng)承擔(dān)著這一重任，該反競(jìng)爭(zhēng)情報(bào)系統(tǒng)作用是保護(hù)自身的商業(yè)秘密、核心信息不被競(jìng)爭(zhēng)對(duì)手或第三方機(jī)構(gòu)得到。

當(dāng)前“互聯(lián)網(wǎng)+”浪潮下誕生的企業(yè)，如滴滴、餓了么等，由原本的小企業(yè)發(fā)展壯大都極為迅速。而在這一短暫的過(guò)程中，企業(yè)的外部環(huán)境信息的獲取和內(nèi)部信息的保護(hù)起到了至關(guān)重要的作用，可以預(yù)見(jiàn)，在不久的未來(lái)，企業(yè)的競(jìng)爭(zhēng)情報(bào)獲取和構(gòu)建反競(jìng)爭(zhēng)情報(bào)系統(tǒng)會(huì)越來(lái)越成為其獲得競(jìng)爭(zhēng)優(yōu)勢(shì)的關(guān)鍵。

1 反競(jìng)爭(zhēng)情報(bào)的對(duì)象

反競(jìng)爭(zhēng)情報(bào)工作的主要目標(biāo)就是保護(hù)企業(yè)重要的信息，而企業(yè)容易泄露信息的途徑，也正是反競(jìng)爭(zhēng)情報(bào)工作的重點(diǎn)。

1.1 企業(yè)自身泄密

企業(yè)自身泄密包括三方面，企業(yè)活動(dòng)泄露、員工泄露、企業(yè)信息系統(tǒng)泄露。

（1）企業(yè)活動(dòng)泄密是指為企業(yè)在開(kāi)展各種業(yè)務(wù)過(guò)程中，在與他人合作、向相關(guān)的行業(yè)協(xié)會(huì)和政府部門(mén)匯報(bào)以及廣告、公關(guān)等活動(dòng)中泄露自身重要信息的情況。IT領(lǐng)域的中小企業(yè)都會(huì)利用當(dāng)前較為活躍的社交平臺(tái)，如微信、微博發(fā)布信息。但這些信息經(jīng)過(guò)競(jìng)爭(zhēng)對(duì)手的綜合分析，也許就能探索出企業(yè)的重要信息。

（2）企業(yè)員工泄露是指企業(yè)員工無(wú)意或有意地 泄露企業(yè)重要信息，對(duì)企業(yè)造成危害。企業(yè)員工無(wú)意泄露可能是因?yàn)槿狈ΡＣ芤庾R(shí)，有意可能是出于私人利益。中小IT企業(yè)的人員流動(dòng)較為頻繁，如果企業(yè)核心技術(shù)人員出走，會(huì)給企業(yè)的核心信息安全帶來(lái)巨大的威脅。

（3）企業(yè)信息系統(tǒng)泄露既指企業(yè)的信息被黑客等不法分子竊取，也指企業(yè)硬件缺陷或軟件出錯(cuò)給企業(yè)的信息安全帶來(lái)危害。IT企業(yè)的日常運(yùn)營(yíng)中各類(lèi)信息系統(tǒng)工具必不可少，因而企業(yè)大量核心機(jī)密儲(chǔ)存在這些系統(tǒng)中。如果系統(tǒng)的信息安全出問(wèn)題，不但影響日常業(yè)務(wù)，也會(huì)損害用戶利益。

1.2 競(jìng)爭(zhēng)對(duì)手探秘

競(jìng)爭(zhēng)對(duì)手為獲取有價(jià)值的企業(yè)信息可以利用合法的競(jìng)爭(zhēng)情報(bào)方法獲取信息，但也可能采用不正當(dāng)手段。合法競(jìng)爭(zhēng)情報(bào)方法，企業(yè)往往很難防范，但只要對(duì)發(fā)布信息進(jìn)行相應(yīng)審核，還是可以提高競(jìng)爭(zhēng)對(duì)手獲取信息的難度。而非法手段，如利用黑客竊取企業(yè)信息、賄賂公司員工等方式獲取有用情報(bào)，則需要企業(yè)采用技術(shù)和法律手段去維護(hù)信息安全。

1.3 第三方泄密

企業(yè)開(kāi)展自己的業(yè)務(wù)時(shí)避免不了第三方的參與，此時(shí)企業(yè)的一些信息就可能泄露。如企業(yè)的后勤業(yè)務(wù)中的物流企業(yè)，銷(xiāo)售業(yè)務(wù)中的廣告方或媒體，這些第三方如果無(wú)法保密，那相關(guān)信息就易被對(duì)手獲取。中小IT企業(yè)大多是輕資產(chǎn)企業(yè)，離不開(kāi)第三方業(yè)務(wù)。如小型的電商企業(yè)，銷(xiāo)售、宣傳、運(yùn)輸都需要借助第三方企業(yè)。因此，對(duì)于中小IT企業(yè)來(lái)說(shuō)，強(qiáng)化合作企業(yè)的信息保密工作是必不可少的。

2 反競(jìng)爭(zhēng)情報(bào)系統(tǒng)的實(shí)施

2.1 OPSEC方法簡(jiǎn)介

當(dāng)前西方國(guó)家保密工作普遍采用OPSEC方法，這是一種確定競(jìng)爭(zhēng)對(duì)手如何及時(shí)獲得有價(jià)值的關(guān)鍵信息的方法。其特點(diǎn)是以一種合理的、高效率、低成本的方式來(lái)避免風(fēng)險(xiǎn)，而不是不問(wèn)成本地去避免信息安全風(fēng)險(xiǎn)。處于發(fā)展初期的IT中小企業(yè)，初創(chuàng)時(shí)的資金壓力較大，對(duì)于信息安全的投入有限，本文介紹的OPSEC方法，就是適合這種狀況的信息安全保護(hù)策略，在解決信息安全問(wèn)題的同時(shí)也控制了成本。

2.2 OPSEC方法步驟

OPSEC方法通常有五個(gè)步驟，包括：識(shí)別關(guān)鍵信息、分析威脅、分析薄弱點(diǎn)、風(fēng)險(xiǎn)評(píng)估、采取對(duì)策。

2.2.1 識(shí)別關(guān)鍵信息

企業(yè)的關(guān)鍵信息包括企業(yè)的戰(zhàn)略或戰(zhàn)術(shù)情報(bào)和企業(yè)科技研發(fā)情報(bào)等敏感信息，競(jìng)爭(zhēng)對(duì)手通過(guò)這些敏感信息可以了解本企業(yè)的活動(dòng)意圖和動(dòng)向、探索和模仿企業(yè)的核心產(chǎn)品和服務(wù)。對(duì)于IT企業(yè)而言，最為寶貴的信息包括技術(shù)方面專(zhuān)利或發(fā)明信息、企業(yè)的戰(zhàn)略和戰(zhàn)術(shù)信息。因此專(zhuān)利和發(fā)明類(lèi)的技術(shù)信息重點(diǎn)是管理好相關(guān)的技術(shù)人員；對(duì)于企業(yè)的戰(zhàn)略和戰(zhàn)術(shù)信息，應(yīng)當(dāng)設(shè)立專(zhuān)門(mén)的審核部門(mén)負(fù)責(zé)發(fā)布信息的審核。

2.2.2 分析威脅

這個(gè)步驟主要是明確對(duì)手或競(jìng)爭(zhēng)者能在多大程度上得到你的信息并對(duì)其加以利用，也就是競(jìng)爭(zhēng)對(duì)手知道了什么，什么時(shí)候知道的，他們會(huì)如何據(jù)此展開(kāi)對(duì)策，為何他們會(huì)如此開(kāi)展行動(dòng)，查找他們是如何得知這一切的。IT領(lǐng)域的競(jìng)爭(zhēng)對(duì)手必然是同行業(yè)領(lǐng)域的其他IT企業(yè)，競(jìng)爭(zhēng)對(duì)手會(huì)不斷打探本企業(yè)的戰(zhàn)略和戰(zhàn)術(shù)信息，查探企業(yè)核心的產(chǎn)品和服務(wù)并嘗試逆向工程模仿之。這些可能出現(xiàn)的狀況，都是企業(yè)應(yīng)該提前預(yù)估并做好相關(guān)預(yù)防工作的。

2.2.3 分析薄弱點(diǎn)

分析企業(yè)情報(bào)保密薄弱點(diǎn)，需要企業(yè)對(duì)自身業(yè)務(wù)流程的各個(gè)環(huán)節(jié)進(jìn)行監(jiān)督管理，及時(shí)發(fā)現(xiàn)企業(yè)容易泄露信息的途徑有哪些。對(duì)于IT企業(yè)來(lái)說(shuō)，自身信息系統(tǒng)的漏洞可能成為黑客攻擊的重點(diǎn)，同時(shí)需要密切關(guān)注的還有企業(yè)的員工管理方面，無(wú)論是員工有意無(wú)意地泄密還是員工辭職帶走企業(yè)機(jī)密等，都會(huì)對(duì)企業(yè)造成嚴(yán)重危害 。

2.2.4 風(fēng)險(xiǎn)評(píng)估

風(fēng)險(xiǎn)評(píng)估這一步驟是OPSEC安全運(yùn)作過(guò)程的決定性一步。該步驟中也要確定前述步驟間的相互關(guān)系（關(guān)鍵信息、威脅和弱點(diǎn)），這當(dāng)中包括了競(jìng)爭(zhēng)對(duì)手獲得信息會(huì)如何做，對(duì)本企業(yè)產(chǎn)生怎樣的影響，而本企業(yè)又會(huì)有怎樣的損失，以及對(duì)此應(yīng)該如何應(yīng)對(duì)。對(duì)于IT企業(yè)而言，風(fēng)險(xiǎn)評(píng)估后才可有計(jì)劃、有針對(duì)性地進(jìn)行信息安全領(lǐng)域的投資。同時(shí)，這一步之后也才可以對(duì)信息安全的重點(diǎn)進(jìn)行確認(rèn)，使得有限的資金發(fā)揮更好的作用。

2.2.5 采取對(duì)策

采取對(duì)策就是阻止對(duì)手或競(jìng)爭(zhēng)者獲得關(guān)鍵信息或提高其獲取這些信息難度的行動(dòng)?？梢圆扇〉膶?duì)策包括：首先管理好信息源，即管理好信息安全相關(guān)人或物。其次就是在發(fā)布信息時(shí)，注重審核，避免敏感信息泄露。再次就是設(shè)法使競(jìng)爭(zhēng)對(duì)手無(wú)法從收集到的信息中分析出有價(jià)值的準(zhǔn)確信息。當(dāng)前IT企業(yè)需要在各種社交媒介上發(fā)布信息，還需要和用戶建立方便的聯(lián)系渠道。這些信息發(fā)布時(shí)一定需審核后才可發(fā)出；同時(shí)在企業(yè)設(shè)立的網(wǎng)絡(luò)社區(qū)和論壇中，要對(duì)企業(yè)發(fā)布的信息進(jìn)行一定的引導(dǎo)。最后就是在與用戶交流的過(guò)程中，需提防競(jìng)爭(zhēng)對(duì)手可能假扮用戶來(lái)打探企業(yè)信息。

2.3 反競(jìng)爭(zhēng)情報(bào)系統(tǒng)具體運(yùn)行

在分析中小IT企業(yè)的反競(jìng)爭(zhēng)情報(bào)的基本狀況和條件后，本文給出具體的反競(jìng)爭(zhēng)情報(bào)系統(tǒng)運(yùn)行需求。

2.3.1 反競(jìng)爭(zhēng)情報(bào)的組織部門(mén)設(shè)計(jì)

反競(jìng)爭(zhēng)情報(bào)工作涉及公司的各個(gè)部門(mén)，不僅有負(fù)責(zé)產(chǎn)品開(kāi)發(fā)的技術(shù)部門(mén)，還有銷(xiāo)售和推廣的營(yíng)銷(xiāo)部，同時(shí)還有與第三方有密切往來(lái)的公關(guān)部門(mén)等。具體到中小IT企業(yè)，這個(gè)情報(bào)部門(mén)或工作小組可以由技術(shù)人員、宣傳人員以及其他相關(guān)人員組成，其工作結(jié)果直接送至企業(yè)最高領(lǐng)導(dǎo)。這些成員在完成原本職部分的工作的同時(shí)，作為情報(bào)部門(mén)和小組的成員，要監(jiān)督和匯報(bào)本部門(mén)的信息安全的工作情況。同時(shí)需要說(shuō)明，企業(yè)規(guī)模較小時(shí)，該情報(bào)部門(mén)或小組可以將競(jìng)爭(zhēng)情報(bào)獲取和反競(jìng)爭(zhēng)情報(bào)這兩個(gè)工作一起兼任。

2.3.2 反競(jìng)爭(zhēng)情報(bào)部門(mén)的工作內(nèi)容

反競(jìng)爭(zhēng)情報(bào)部門(mén)設(shè)立好后，就是明確其工作任務(wù)，主要工作對(duì)象分為企業(yè)內(nèi)外兩種情報(bào)源。

（1）內(nèi)部情報(bào)工作。情報(bào)部門(mén)的情報(bào)工作第一步就是制定相關(guān)的信息安全制度。制定一部可以具體實(shí)行的規(guī)則制度，企業(yè)相關(guān)職能部門(mén)才可以參考這些制度來(lái)做好反競(jìng)爭(zhēng)情報(bào)工作。在制定信息安全制度時(shí)需考慮到企業(yè)現(xiàn)行的運(yùn)作制度和企業(yè)文化，明確相應(yīng)的獎(jiǎng)勵(lì)制度和違反該制度后的懲戒標(biāo)準(zhǔn)，同時(shí)也要定期對(duì)信息安全問(wèn)題處理較好的部門(mén)或個(gè)人給予表?yè)P(yáng)和物質(zhì)獎(jiǎng)勵(lì)。發(fā)現(xiàn)制度缺陷時(shí)，及時(shí)地修改。同時(shí)企業(yè)的規(guī)章制度也需要符合當(dāng)前的法律制度。

制定好相關(guān)企業(yè)的信息安全制度后，要具體協(xié)助和監(jiān)督企業(yè)相關(guān)的職能部門(mén)去落實(shí)這些制度。具體到中小IT企業(yè)，首先要做好企業(yè)業(yè)務(wù)和活動(dòng)信息的審核與發(fā)布，如為宣傳和推廣新產(chǎn)品和服務(wù)時(shí)，相關(guān)頁(yè)面中產(chǎn)品和服務(wù)的具體信息既要能夠充分滿足企業(yè)用戶對(duì)于了解這些產(chǎn)品和服務(wù)的需要，也要警惕競(jìng)爭(zhēng)對(duì)手對(duì)于敏感內(nèi)容的打探。因而在相關(guān)的宣傳部分發(fā)布這些信息前，情報(bào)部門(mén)要積極參與，確保企業(yè)的敏感信息的安全。

（2）外部情報(bào)工作。相比于企業(yè)內(nèi)部的信息安全工作中重在查找企業(yè)制度漏洞，外部情報(bào)工作的重心在于處理好第三方企業(yè)合作和預(yù)防競(jìng)爭(zhēng)對(duì)手打探己方企業(yè)信息。

當(dāng)前中小IT企業(yè)普遍是輕資產(chǎn)狀態(tài)，在開(kāi)展業(yè)務(wù)時(shí)普遍要借助第三方企業(yè)，因此在開(kāi)展合作前，就需要簽署相關(guān)的商業(yè)保密協(xié)議。一方面，可以使合作方可以重視本企業(yè)的信息安全，對(duì)其可能的泄密行為進(jìn)行約束；另一方面，如果發(fā)生泄密造成本企業(yè)損失的，也可以依照簽署的協(xié)議要求賠償以彌補(bǔ)損失。當(dāng)然，最佳的方案依舊是與合作方協(xié)作，共同確保企業(yè)機(jī)密信息的安全，避免出現(xiàn)信息安全事故。

針對(duì)競(jìng)爭(zhēng)對(duì)手的情報(bào)打探行動(dòng)，情報(bào)部門(mén)需要提前做好相關(guān)預(yù)案。首先要確認(rèn)好企業(yè)的競(jìng)爭(zhēng)對(duì)手都有哪些，他們的實(shí)力如何，他們會(huì)采用怎樣的方法打探本企業(yè)的信息等等。

當(dāng)前“互聯(lián)網(wǎng)+”浪潮下，IT領(lǐng)域的競(jìng)爭(zhēng)日趨激烈，競(jìng)爭(zhēng)對(duì)手可能是實(shí)力相當(dāng)?shù)膬蓚€(gè)企業(yè)，也可能是綜合實(shí)力懸殊的兩方，也可能是潛伏起來(lái)企圖通過(guò)模仿行業(yè)領(lǐng)導(dǎo)者的跨領(lǐng)域?qū)κ??？傊?，IT行業(yè)的門(mén)檻并不是太高，對(duì)于本企業(yè)而言，不僅要看到當(dāng)前的那些競(jìng)爭(zhēng)對(duì)手，還要對(duì)未來(lái)的新進(jìn)入者做好準(zhǔn)備。對(duì)于潛在競(jìng)爭(zhēng)者，比較好的查詢方法是通過(guò)專(zhuān)利調(diào)查法，利用此法調(diào)查本行業(yè)相關(guān)的技術(shù)專(zhuān)利中是否有新的企業(yè)。

3 結(jié) 語(yǔ)

自古以來(lái)，商場(chǎng)如戰(zhàn)場(chǎng)，而隨著這種現(xiàn)代商業(yè)情報(bào)戰(zhàn)的不斷發(fā)展，反競(jìng)爭(zhēng)情報(bào)系統(tǒng)的重要性也會(huì)越來(lái)越顯著。本文立足中小企業(yè)特色，提出的相關(guān)反競(jìng)爭(zhēng)情報(bào)系統(tǒng)的相關(guān)內(nèi)容，希望可以對(duì)相關(guān)領(lǐng)域起到一定的補(bǔ)充作用。

主要參考文獻(xiàn)

[1]包昌火，趙剛，李艷，等.競(jìng)爭(zhēng)情報(bào)的崛起——為紀(jì)念中國(guó)競(jìng)爭(zhēng)情報(bào)專(zhuān)業(yè)組織成立10周年而用[J].情報(bào)學(xué)報(bào)，2005，24（1）：3-19.

[2]朱禮龍.企業(yè)反競(jìng)爭(zhēng)情報(bào)能力研究[J].情報(bào)理論與實(shí)踐，2009，32（5）：16-19.

[3]王宏，張素芳. 企業(yè)反競(jìng)爭(zhēng)情報(bào)能力的影響因素及其構(gòu)成研究[J]. 情報(bào)雜志，2011，30（11）：5-9.