英才调查

　　中国企业信息安全大调查

　　谁偷窥了你的商业秘密

　　策划•天下工作室

　　主笔•本刊记者 朱雪尘

　　大开篇

　　科技的进步让公司安全危机四伏，住友集团伦敦办事处险些被人通过网络搬空2亿英镑，约4000万VISA信用卡用户资料被盗，在台湾，16岁少年带领7000名网众，窃取你的隐私和机密。

　　除了科技手段，外面的诱惑也太多，李开复、叶伟伦、吴世雄从微软跳槽Google，跳槽，已经成为老板最为恼火的词汇。

　　哪里是你公司安全的“BUG”？你不找出来，就是给竞争对手留着后门，就是给盗贼可乘之机，放下手中的工作，打个补丁吧。

　　公司安全之开篇

　　提防公司“臭虫”

　　文•本刊记者 朱雪尘

　　 “BUG”名词意为“臭虫”，动词是讲“装置窃听器”，不管怎样，作为公司的老板，哪一样在你身边，你都不会安枕无忧。如果程序存在“BUG”，你还可以打补丁，一旦公司管理存在缺陷，损失却无法估量。

　　 如果你觉得你的公司安全有问题，为什么不早点动手防范呢？

　　“既然你知道灾难早晚要发生，为什么不提前做好准备，而心存侥幸？”美国凤凰科技亚太区副总裁及总经理杨钦铭对于美国最近的飓风灾害深有感触，“大家都知道预防是最好的，但就如同知道抽烟会得癌症，但还要抽，因为总觉得这种事情不会发生在我身上。”

　　作为信息安全专家，杨钦铭认为企业也同样必须未雨绸缪，建立自己的安全防范系统，否则今天不投入资金，一旦灾难发生，你就要花更多的钱来弥补损失。

　　虽然大家对公司安全都很程度，但是在所有被调查者中，只有20.3%的人认为自己从未发生泄密事件。而这一部分人中，信息泄密事件被蒙在鼓里的人，或许也还有之，但是只有五分之一的企业没有信息泄密的事实，却也让人心惊。

　　大家都晓得商场如战场，你的大本营也许时时刻刻就在别人的间谍卫星底下生存。在《英才》对123名企业高管所做调查中，有48.7%的人认为“影响公司安全最重要的职位是研发主管”，排在其次的分别为财务总监和信息系统主管或网管，重要程度分别为21.1%和20.3%，更有56.9%的人认为新产品的研发信息泄密是最致命的。看来商场如战场，你的秘密武器被别人抢先知道或抢先研制出来，后果会同广岛和长崎的两颗原子弹爆炸一样严重。

　　李开复从微软跳槽到GOOGLE，也如同飓风一样，在业内掀起渲染大波。而李开复效应也开始在微软中国蔓延，先后又有两名高管跳槽。调查中，有74.8%的人认为“建立制度及相关监督、约束机制”是保证公司信息安全最行之有效的措施。但是也有反对意见，书生公司董事长王东临认为：“这些技术手段、合同协议，只能防止最坏的结果，却不能保证出现最好的结果。”

　　同样，杨钦铭也认为必须把制度手段、技术手段与信任结合起来，建立立体的安全机制，才能有效解决安全问题的隐患。

　　在采访中，很多企业都签订了保密协议或竞业禁止协议，但是信任仍然很重要。蓝代斯克研发主管董红阳上任11个月以来，研发人员流失率降到了历史最低，他的秘诀是以兄长或朋友的身份与研发人员进行真诚、公平的交流，他告诉记者：“这样他们就会信任我。我得到最真实的想法和情况后，就可以采取最准确的方法来处理。如果员工不愿意说实话，我们的措施也就没有了针对性。”

　　亡羊补牢，未为时晚。如卡特里娜一般的飓风还会再来，但愿已经意识到安全重要性的公司老总们，不会再眼看着灾难的发生。

　　一、 调查问卷

　　1． 你认为影响公司信息安全最重要的职位是什么？

　　A、 副总裁 12

　　B、 财务总监 26

　　C、 研发主管 60

　　D、 MIS（公司内部信息系统主管）或网管 25

　　E、 其他

　　2． 你认为以下哪种信息泄密是最致命的？

　　A． 资本操作层面的信息 25

　　B． 税务信息或其他财务信息 8

　　C． 新产品的研发信息 70

　　D． 客户信息 20

　　E． 其他

　　3． 贵公司曾出现哪方面的商业泄密？（可多选）

　　A． 资本操作层面的信息 12

　　B． 税务信息或其他财务信息 9

　　C． 新产品的研发信息 28

　　D． 客户信息 42

　　E． 其他 7

　　F． 从未出现过泄密现象 25

　　4． 你认为保证公司信息安全最行之有效的措施是什么？

　　A． 寻找有血缘或裙带关系者担任重要部门主管 3

　　B． 和重要部门主管建立信任关系 26

　　C． 建立制度及相关监督、约束机制 92

　　D． 其他 2

　　5． 你认为竞争对手窃取公司信息最常见手法是？

　　A． 请管理者吃喝、贿赂 22

　　B． 挖墙脚 34

　　C． 利用公司网络安全漏洞 13

　　D． 利用与公司有紧密联系的第三方 52

　　E． 其他 2

　　共计123张选票

　　公司安全大bug：企业领导人

　　内部提拔高管在王东临看来更为“安全”。

　　“我的高管没有背叛”

　　文•本刊记者 王颖

　　寂静的夜里，办公室里一台电脑忽然自动打开，密码很快被破解，屏幕上不断闪现着大量数据。在这个城市的某个角落里，另一台电脑正在接收着这些数据。

　　你可能认为这只是电影中的情节，但如果你不小心，终有一天会发生在你身上。

　　“事实上，有统计数据显示，80%以上的商业秘密外流是由内部员工引起的。”书生公司董事长王东临19岁就进入中关村，在软件业摸爬滚打了十几年，他很早就意识到这个问题。

　　“尤其是随着办公自动化的普及，电子文件比纸文件更容易被传播出去。”王东临笑称，“所以凡是重要的文件都回归原始，大家都不太敢把它变成电子文件。”

　　能不能将阅读与占有分开呢？2004年书生公司的电子文档安全管理系统（简称为SDP）正式应用于企业的信息系统。

　　“以前你只要能看到这个资料，就能拥有它”王东临说，现在文件变成只能读取，不能复制，删除的权限也会控制得很严格。

　　高管的权限往往较大，掌握的资料也较多。一个文档保护系统就能控制住商业秘密的外泄吗？

　　前一段时间，微软的副总裁李开复跳槽google，就引发了双方关于是否会泄露商业秘密的争论。“这些技术手段、合同协议，只能防止最坏的结果，却不能保证出现最好的结果。”

　　书生公司目前有一位总裁，三位副总裁，基本上都在公司工作了有五六年时间。他们进公司的时候，都是以普通员工的身份，再加上公司的章程也没有特别齐全，所以都没有签竞业禁止的协议。

　　随着他们在内部的一步步提升，这些制度也逐渐完备。保密协议、竞业禁止协议的具体条款，王东临都亲自过目。不过，“人是不可能用计算机程序严格控制住的。”

　　作为公司的高管，他们需要相当大的自主权。一些重要项目可能就是他们亲自去谈判的，甚至公司自己都没有存底。

　　“像公司的战略规划的商业价值是很大的，但它是在高管的脑袋里存着呢”，这些商业秘密就只能依靠平时的沟通、高管自身的道德素质来约束。

　　内部提拔高管在王东临看来更为“安全”。安全这个字眼不仅指公司商业机密，更是指由于他们与公司在文化等方面的相融性，降低了不胜任该工作的风险。

　　从1996年创业至今，书生公司还没有发生过高管泄密事件。离职的高管不论是去其他公司，还是自己创业，都没有与公司竞争的。

　　在王东临看来，这是协议规定、感情互动和舆论相互作用的结果。王东临觉得，其实像李开复这样的跳槽，在IT界并不多。“IT圈子就这么大，越是高管，金字塔尖的范围也越小。这个圈子里的舆论对他们名声的影响，对职业经理人们很重要。”

　　一不跟公司竞争，二不泄露公司秘密，三不带走公司的人。只要满足这三个条件，王东临觉得对公司的信息安全就不会造成什么危害。

　　“当他的心已经不在公司了，留住他也没有意义。”因为王东临坚信，高管最大的风险在于出工不出力。

　　所以，当你想要离开时，尽可以离开。当你想回来时，公司也为你敞开大门。这已经成为书生公司的一个文化。

　　公司安全大bug:高管

　　灾难早晚要发生，为什么不提前做好准备。

　　管理者的灰色地带

　　文•本刊记者 朱雪尘

　　在美国，“90% 的企业在去年遭受过黑客攻击；30% 的对等请求是下载色情内容；1/3 的公司网络上有间谍软件；45% 的 IT 经理曾经报告公司网络感染了病毒；70% 的因特网色情内容流量发生在上午九时到下午五时的工作时间。”

　　看了著名网络安全公司Websense在美国所统计的数字，你会怎么想？

　　Websense大中国区市场经理林晓汶认为，国内公司虽然在网络方面不如美国普及，但是存在的安全隐患仍然不可忽视。

　　林晓汶告诉记者：“不久前，香港美林证券前董事总经理被谋杀，警方便根据被害者在其妻子电脑上所安装的间谍程序，获得线索，而怀疑到嫌疑人。同时，现在一个普通高中生，都可以用下载的木马程式，盗取别人的游戏账号。所以发生信息安全问题，早已不是几年前只有计算机高手才能做的事情了。”

　　作为企业中高层管理者，林晓汶认为信任是制止公司机密信息泄露的重要方面，但是“必须通过工具手段，将不透明的网路管理透明化，消除管理者并不很清楚的灰色地带，才能建立信任。”

　　同样，美国凤凰科技有限公司亚太区副总裁及总经理杨钦铭也认为必须要有制度才能建立信任：“不是我告诉你怎么做，我就能相信你，必须要用工具来让我相信你。你到海关，你不敢拿出假的护照，为什么？因为知道你不敢嘛。没有监控，就谈不到信任。”

　　占有BIOS市场70%市场份额的凤凰科技，现在也是越来越关注企业安全领域的市场，为此开始研发出基于单机安全的终端安全系统。

　　但是，林晓汶认为，尊重是建立信任很好的方式。“Websense全球总裁到中国开会，或者接受记者采访时，他都会主动问我的建议，我觉得有种被尊重的感觉。”

　　作为公司中高层管理者，林晓汶非常看重老板信任和尊重的态度，她喜欢平等的管理模式，不喜欢简单的被雇用的感觉。而这种信任，才能令掌握大量公司机密信息的高层管理者，在跳槽后也保持忠诚。

　　而杨钦铭认为：“信任虽然有用，但是没有技术和制度的全方位管理，信任也无从谈起，如果给一位高级经理更高的薪水，很难让他不会心动。”因此，某些高级技术人员或高管跳槽很难从个人约束手段让他们不带走公司机密信息。

　　“既然你知道灾难早晚要发生，为什么不提前做好准备，而心存侥幸心理？”杨钦铭对于美国最近的飓风灾害深有感触，“一个在海平面以下的城市，今天的灾难是早就预知的，大家都知道预防是最好的，就如同知道抽烟会得癌症，但还要抽，因为总觉得这种事情不会发生在我身上。”

　　公司安全大bug：研发总监

　　小心自己培养竞争对手

　　文•本刊记者 李占舟

　　华为3名技术人员离职，造成1.8亿元损失。5月，缠斗近3年的“沪科案”落下帷幕：深圳市南山区法院判定3人共赔偿13万元，其中2主犯判处有期徒刑3年，1从犯判处有期徒刑2年。

　　一波方平，一波又起。9月，华为诉“小华为”港湾网络侵犯其知识产权。港湾则称，一旦诉诸法律程序，对双方对有伤害。

　　技术成为高科技企业重要竞争力的当下，研发人员急剧流动带来的商业泄密事件此起彼伏，“犹大”们游荡在公司的角落里，寻求时机为公司制造竞争对手。就广东省而言，2004年1至8月立案侦办的侵犯商业（技术）秘密犯罪案就达14宗，而其中80％的商业（技术）秘密是在职工跳槽时带走的。

　　泄密已经不是什么奇怪的事情。似乎真正奇怪的是，有些企业能够留住研发人员的心，将商业泄密事件降到最低。

　　蓝代斯克（中国）研发中心技术总监董红阳就致力于这种“奇怪”的事。自从去年11月他任职以来，研发人员情绪稳定了许多，流失率降到最低点。如何防止研发人员商业泄密？董红阳说：“如果能找到技术人员利益和公司利益的结合点，唤起他们的工作激情，他们自然会对公司产生信任。通过安全软件来防止泄密不能得到绝对的保证，因为越安全的越复杂，最安全的也存在漏洞，关键是漏洞大小。信任是最好的办法。”

　　由于能掌握更多信息，研发主管的离职对公司冲击可能更大。2004年12月，台北某高科技公司离职研发主管参与窃取研发资料，外泄至竞争对手，导致新台币1.2亿元的损失。

　　留住研发主管的心，要从招聘选人开始。招聘研发中心技术总监时，蓝代斯克CEO王茁亲自面试，问董红阳有什么优点缺点，对行业的理解，对技术发展的看法。他更看重的是董红阳此前在一家公司做了8年，在IT业，这种忠诚度很难得。

　　对于研发人员，董红阳则喜欢以兄长的身份，或朋友的身份沟通。研发中心70名员工，董红阳能够准确说出每个人住在哪里，家里情况怎么样。“这样，他们就会信任我。我得到最真实的想法和情况后，就可以采取最准确的方法来处理。如果员工不愿意说实话，我们的措施也就没有了针对性。”

　　制度、管理上的规范是防止泄密的保证。在蓝代斯克，公司和所有技术员工签订保密协议和竞业禁止条款。大部分涉及知识产权的内容都放在服务器里，通常员工不会掌握公司核心竞争力的部分。由此，可以降低员工离职造成的损失。

　　公司安全大bug：财务总监

　　再好的制度也可能被人有意无意的打破。

　　大公司选择信息屏蔽

　　文•本刊记者 戴璐

　　为了得到一家零售业公司，一家民营企业的老总和他的幕僚挑灯夜谈，为的就是能在收购谈判中掌握更多话语权。但是，意想不到的事发生了，这家民营企业突然遭到税务局的调查。

　　事后，这家企业的老总才得知，他们自以为很秘密的收购谈判，其实早已被对手、一家合资企业知道了，结果对方散布谣言导致税务局的突然检查，使其失去了收购机会。

　　这是中瑞华恒信会计师事务所合伙人张连起最近遇到的一个真实事件。企业在重大的商业活动中，一些高度机密的行动计划或数据被泄漏出去，的确会错失很多商机。

　　不仅在关键的商业活动期间，企业日常经营活动中的泄密事件也会令企业付出代价。张连起曾为某大型国企集团做过咨询服务，该企业的产品实行上网竞价，细分成本数据对其价格策略至关重要。

　　然而，令其备受困扰的是，竞争对手总能报出比他们的底线价格更低的价格。后来检查发现，问题的关键在于这家企业的ERP系统对接触信息的人员和权限控制不严，很多重要的财务数据可以为一般的财会人员看到，这就造成了公司关键产品成本的详细信息外泄，所以才总被对手占得先机。

　　不过，企业保密甚至高度机密信息外泄，并非总是商业间谍或得内鬼所为。在摩托罗拉、佳能等多家跨国公司工作过的财务经理胡明认为，企业重要的商业信息外流，有很多原因。

　　“IT从业人员的流动性很强，跳槽员工会将积累的知识经验全部带走，与原来的同事保持联络，说者无意，听者有心，会造成信息泄露。”

　　很多大型跨国公司还是有一些比较健全的制度来保护其信息安全，胡明工作过的两家跨国公司就有所不同。

　　在摩托罗拉，有专门的信息安全官，而且推行了POPI项目，翻译成中文的意思就是保护公司专有信息。信息都要确定保密级别，明确公开范围，并定期抽调各部门的人员组成小组检查，违规员工将被警告甚至通报批评，多次犯错会影响绩效考评。

　　胡明认为，这套制度会让大家脑中绷紧一根弦，意识到涉及保密级别的信息不能轻易对外披露或吐露。

　　而佳能中国则走了另外一条信息防漏路线。在佳能，外面的客人必须要在与办公区域相对隔离的会议室接待，而公司内部的会议则必须要在办公区内举行。

　　不过，多年的从业经验让胡明感觉，再好的制度也可能被人有意无意的打破。

　　“人不是流水线上的产品，虽然控制，但是岗位轮换和员工私下里的讨论就会引起信息共享程度超过了组织的控制，”胡明说，“一般，公司的老员工都会对全盘性的信息多少有些掌握，这是无法避免和阻止的。”

　　不过，为了防止保密级别高的信息在各部门之间私下流动，一些大公司选择了信息屏蔽的做法。比如，上市公司业绩只是公开一个笼统的数据，真正敏感的、具体详细的财务信息只有很少人能够确切掌握。有些具体项目的信息还会采用不同会计口径公布。

　　但胡明认为，由于公司业绩同员工个人福利、收入增加等切身利益关系密切，公司披露给他们一些总体的财务情况是必要的，但只提供非精确的信息又可以保护公司的利益。

　　而这种做法通常用来防范财务信息向会计或财务以外的部门不当传递，对至少掌握部分确切信息的财会人员，就未必能奏效。

　　所以，胡明觉得任何一种控制都不是绝对有效的，而过度控制和缺乏控制一样是有害的。很多时候，让员工有信息安全的意识和获得信任关系的激励胜过任何一种制度防范。

　　公司安全大bug：网管

　　网络管理员，MIS人员，企业领导人往往会挑选一些经过熟人推荐的人选。

　　谁在窥视老板的邮件

　　文•本刊记者 肖鸿扬

　　“公司的邮件，进出都有备份，但我可没这么多闲功夫天天看。”这位网上绰号“汤包”的年轻人抱怨说。他是一家台湾企业的MIS人员，也就是负责管理公司信息系统的人。

　　如今的企业里，像“汤包”这样的技术人员经常都要面临诸如此类的日常工作——比如进行公司资料管理、信息安全政策的拟定，协调公司内部的信息沟通等。而对员工的电脑、邮件（也包括老板的）的检查同样是网管及MIS人员的职责范围。

　　这时，关键点出现了——网管及MIS人员，成了对企业信息安全最为重要的环节。窥视老板的邮件、拷贝关键文件……掌握少数几位高管才能知道的商业机密，似乎在“汤包”们来说，仅仅是手到擒来，小菜一碟的事情。

　　“疑人不用，用人不疑，因为不管换任何一位MIS都有可能会泄密。”“汤包”认为除非公司真的花大钱做一套很严密的保密系统，但这样一定会对企业运作带来许多不便。

　　而按照网管、MIS人员的职责分，他们本来就有权利去检查和监控使用者的电脑、甚至是邮件。这正应了那句信息安全领域里流传的格言——“安全是相对的，不安全是绝对的。”也就是说，安全就好像上保险，上了保险也不能阻止意外的发生。

　　台湾盈晟科技的总经理许之坚多年来一直活跃在IT业界，可谓是资深人士，他对企业信息安全管理更有切身体会，“信息安全的风险无处不在，而且无法预期。有可能一个操作员在无意间就把公司重要讯息发出去并且造成公司致命的危机。”

　　而潜在的隐患到底在哪里？“在于企业各阶层的操作人员及主管对信息安全的认识有不同程度上的差异所致。”许之坚认为在目前亚洲的企业当中，高管对信息安全的认识还非常有限，在这样差异明显的信息流通中，风险便变得无可避免了，“关键在于老板对整个讯息安全的认知有多少。”

　　搜狐网的网络安全顾问周霖也不同意安全隐患的责任主要担负在网管和MIS人员身上，“他们不是天生有权可以看任何资料的，包括EMAIL，相反，同样要经过公司授权或是高层授权才可以。”他认为对企业内部电脑及网络进行监控，是技术人员正常的作业范围，至于保密，有聘用合同可以对技术人员进行约束。

　　确实，网管与MIS人员是企业信息安全中极为关键的人物，而且遍查国内外案例，因泄露公司机密被公开曝光的犯案者也寥寥无几，看来，公司的电脑网络技术人员并非泄密的高发人群？

　　来自台湾的许之坚就说，在商业竞争中，对手窃取公司信息最常见手法便是从买通中层主管、信息管理人员下手。

　　一语道破天机，之所以被曝光的网管泄密案件不多，或许仅仅因为他们的职位相对较低，而且涉案时往往犯案的中高层人员是媒体关注的焦点，记者在查阅相关资料时，便在网上某论坛上发现一些关于MIS人员职责的讨论……

　　“说句真话啦，如果真的有权去看某些重要的资料，比如机密EMAIL之类的，我倒是没见有哪个MIS不会将这种重要信件转一份到自己信箱去的。”——Overcertified

　　“做网管也得认清自己的本分，把好自己的分寸，不然私自看这些资料久了，不定哪天就惹祸上身。”——Huckly

　　……

　　不知道作为企业的高层，了解到这些公司的技术人员如此行为，会作何感想？

　　因而就有了在招聘某些能接触到企业机密信息的职位时，比如网络管理员，MIS人员……企业主往往会挑选一些经过熟人推荐的人选，以求可靠和安全。

　　“就像财务、研发、市场都会是老板的自己人一样，在台湾，这种现象也非常普遍。”许之坚说，“不过，能力还是要列为重点的考量标准，只是在人情和能力之间，该如何平衡，就成为了选人的关键。”

(责任编辑：李淑琴)