陳煜坤

【摘 要】隨著跨國企業(yè)海外業(yè)務(wù)的不斷增加，跨境電子信息安全問題日益突出。而電子信息跨境傳輸，保密方式有別于國內(nèi)，增大了電子信息安全管理的難度。本文主要從科學(xué)設(shè)計與組織管理角度，淺析各類跨國企業(yè)電子信息安全管理的特點(diǎn)，問題與解決方法。

【關(guān)鍵詞】跨國企業(yè)；電子信息；科學(xué)設(shè)計；信息安全；組織管理

一、跨國企業(yè)電子信息安全管理的意義

隨著我國“一帶一路”倡議的實(shí)施，經(jīng)濟(jì)全球化的深入發(fā)展和跨境電子商務(wù)的崛起，跨國企業(yè)電子信息安全管理的重要意義日益顯著。而頻繁發(fā)生的網(wǎng)絡(luò)安全事件讓跨國企業(yè)蒙受巨大損失，從科學(xué)設(shè)計與組織管理層面加強(qiáng)電子信息安全管理已刻不容緩。

1.有利于保護(hù)商業(yè)核心機(jī)密，提高企業(yè)競爭力

商業(yè)競爭的關(guān)鍵在于企業(yè)有獨(dú)特的競爭優(yōu)勢，能保障企業(yè)核心競爭力。這就是商業(yè)機(jī)密的重要性。防止這一包括設(shè)計資料，管理訣竅，生產(chǎn)技術(shù)，客戶名單和市場情報等的重要資料泄漏，可以使企業(yè)免受經(jīng)濟(jì)利益損失和不必要的法律問題。而對于電子信息形式的資料易拷貝，易修改和易破壞的特性，加強(qiáng)企業(yè)電子信息安全管理更為重要。

2.通過保障企業(yè)電子信息安全管理的運(yùn)行，有助于提升企業(yè)對全局的掌控能力和危機(jī)應(yīng)對能力

在信息時代誰能更準(zhǔn)確安全全面的把握電子信息，誰就能更好的掌握全局，贏得競爭。為防止企業(yè)內(nèi)部信息混亂，不準(zhǔn)確易泄露，遇到大規(guī)模電子信息安全事件不能管控?fù)p失，導(dǎo)致企業(yè)生存能力堪憂的情況。加強(qiáng)管理，保障電子信息安全，從而防止競爭對手黑客和外國政府的影響與破壞就是提升企業(yè)對全局的掌控能力和危機(jī)應(yīng)對能力的良策?？梢娖髽I(yè)根據(jù)自己的特點(diǎn)設(shè)計行電子信息安全管理機(jī)制，強(qiáng)化員工電子信息安全意識，制定行之有效的危機(jī)響應(yīng)計劃，從而保障企業(yè)電子信息安全運(yùn)行意義重大。

3.有利于保障客戶隱私與權(quán)益，樹立企業(yè)良好口碑

眾所周知，企業(yè)以誠信可靠為本。隨著信息交流的加快和網(wǎng)絡(luò)攻擊事件的頻發(fā)以及全球的個人隱私安全的關(guān)注與擔(dān)憂的加深。對包括客戶基本信息和特點(diǎn)的電子信息安全的保障，正是企業(yè)立足的關(guān)鍵。在個人信息泄露事件頻發(fā)的當(dāng)下，跨國企業(yè)加強(qiáng)電子信息安全管理以保障客戶隱私與權(quán)益更有其特殊意義。

二、跨國企業(yè)的突出特點(diǎn)及其面臨的電子信息安全管理問題

1.雇員數(shù)目龐大，母子公司間電子信息聯(lián)系緊密的特點(diǎn)

跨國企業(yè)，特別是大中型跨國企業(yè)常有不同國籍，能力層次和心理狀態(tài)的眾多雇員一起共事，企業(yè)不時根據(jù)效益做出人事調(diào)整。同時有許多子公司從事與母公司相關(guān)的行業(yè)和領(lǐng)域使得企業(yè)內(nèi)部電子信息聯(lián)系緊密。這一特點(diǎn)對企業(yè)信息安全管理是不小挑戰(zhàn)。

（1）對企業(yè)不滿的員工和被競爭對手收買或安插的企業(yè)雇員必然威脅企業(yè)電子信息安全，而這正是現(xiàn)今企業(yè)忽視和難以管理的重大問題，呈日益高發(fā)態(tài)勢。根據(jù)CSI和FBI2005年的“計算機(jī)犯罪和安全調(diào)查”，不滿的雇員是最易發(fā)起電子信息攻擊的人。

（2）子公司，尤其是自持大部分股份的子公司的電子信息安全管理比較困難，電子信息傳輸與共享頻繁且難以監(jiān)管，成為黑客攻擊公司內(nèi)網(wǎng)的跳板，一旦出現(xiàn)風(fēng)險損失極大。這樣的問題亟待解決。

2.大型網(wǎng)絡(luò)公司數(shù)據(jù)類型多數(shù)量大，內(nèi)外網(wǎng)之間電子信息交換頻繁的特點(diǎn)

跨國公司中以跨境電子商務(wù)公司和跨境網(wǎng)絡(luò)平臺為首的大型網(wǎng)絡(luò)公司因?yàn)橹鳡I業(yè)務(wù)在網(wǎng)上，為客戶和金融體系提供云平臺保存服務(wù)和快速便捷的金融數(shù)據(jù)信息的流動保存平臺，電子信息存在類型多數(shù)量大和內(nèi)外網(wǎng)間電子信息交換頻繁的特點(diǎn)。這些特點(diǎn)使企業(yè)外部安全挑戰(zhàn)增大。

（1）龐大的數(shù)據(jù)量和信息的流動性使企業(yè)篩查風(fēng)險的能力和效率大打折扣，應(yīng)對手段和花樣不斷翻新的網(wǎng)絡(luò)攻擊時無論從應(yīng)對方案還是人員角度都力不從心。

（2）內(nèi)外網(wǎng)頻繁的信息交流稍有不當(dāng)就會使內(nèi)網(wǎng)保密數(shù)據(jù)泄漏和遭受攻擊，很多企業(yè)不能用好內(nèi)外網(wǎng)隔離這最后屏障，導(dǎo)致企業(yè)內(nèi)部大規(guī)模癱瘓，問題也很突出。

3.國際組網(wǎng)的物理環(huán)境和硬件設(shè)備復(fù)雜，遠(yuǎn)距離電子信息傳輸容易解密的特點(diǎn)

跨國企業(yè)的經(jīng)營勢必要使用國際網(wǎng)絡(luò)的物理鏈路，因?yàn)樾畔⒔涣鞒尸F(xiàn)的遠(yuǎn)距離，快速度，高質(zhì)量和大容量等特點(diǎn)，且量子保密通信遠(yuǎn)未在國際商業(yè)上普及。現(xiàn)在最行之有效的仍是光纖傳輸，輔之以衛(wèi)星基站傳輸?shù)葻o線傳輸手段。

而在國外組網(wǎng)，難免采用國外電子信息硬件，其所采用的標(biāo)準(zhǔn)，安全可信度和國外信息傳輸協(xié)議與國內(nèi)有所不同。這些正是目前跨國企業(yè)電子信息傳輸和存儲的基礎(chǔ)硬件特點(diǎn)。

而隨著光纖信號竊聽技術(shù)的成熟與運(yùn)用，光纖網(wǎng)絡(luò)中傳輸?shù)钠髽I(yè)電子信息受到的威脅也逐漸加深。通過該技術(shù)，網(wǎng)絡(luò)攻擊者很容易竊取光纖鏈路中傳輸?shù)臄?shù)據(jù)，而且竊取行為的隱蔽性逐漸增強(qiáng)，成本逐漸降低。對企業(yè)的商業(yè)機(jī)密造成了極大的威脅。無線傳輸?shù)碾娮有畔⒁蚴褂脟H基站和直接接觸萬維網(wǎng)而泄密問題更難解決。

同時，使用了包含外國芯片等硬軟件的電子信息儲存設(shè)備，源代碼和網(wǎng)絡(luò)協(xié)議難以檢查。一但有已存在的惡意代碼或漏洞，企業(yè)自查困難重重。

4.面對的電子信息安全風(fēng)險不斷增大，網(wǎng)絡(luò)攻擊手段和程序加速翻新的特點(diǎn)

跨國企業(yè)，尤其是網(wǎng)絡(luò)服務(wù)型企業(yè)，近年來面對的電子信息安全形式加速變化，各種攻擊手段與程序加速翻新。據(jù)IBM統(tǒng)計，與2015年相比較，2016年全球發(fā)生的勒索軟件攻擊事件增長了驚人的60000%，大型跨國企業(yè)成為攻擊的重災(zāi)區(qū)。這還不包括2016年全球出現(xiàn)的7次大規(guī)模物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)驅(qū)動的DDOS攻擊。這種特點(diǎn)要求企業(yè)有完整且切實(shí)可行的電子信息安全管理體系，電子信息安全的預(yù)警機(jī)制，受到攻擊后迅速反應(yīng)的損失管控與數(shù)據(jù)恢復(fù)系統(tǒng)，以及對企業(yè)電子信息安全管理機(jī)制進(jìn)行不斷審查，修訂和監(jiān)督的機(jī)構(gòu)與制度。

然而很多企業(yè)重視技術(shù)而輕視組織管理和上述整體電子信息安全框架的構(gòu)建的要求。未能站在全局的，變化的角度重塑電子信息安全觀。各個系統(tǒng)無法統(tǒng)籌協(xié)調(diào)，導(dǎo)致事前無預(yù)警，事發(fā)無管控，事后無恢復(fù)，事過無評估的惡性循環(huán)嚴(yán)重影響企業(yè)競爭力和生存力。這正是上述所有問題的根本。

三、跨國企業(yè)電子信息安全管理的解決方法

1.設(shè)置嚴(yán)格的訪問瀏覽權(quán)限

針對企業(yè)內(nèi)部雇員發(fā)起的攻擊，泄密問題。就必須對企業(yè)內(nèi)網(wǎng)和內(nèi)部服務(wù)器設(shè)置嚴(yán)格的訪問瀏覽權(quán)限。限制閱讀，拷貝，修改和上傳電子信息形式的商業(yè)機(jī)密的人員級別，并定期和根據(jù)人員變動，對權(quán)限進(jìn)行調(diào)整，這樣能很好阻斷雇員泄密，攻擊的可能性，減少損失。

2.設(shè)計內(nèi)外網(wǎng)交換方便又互不影響的內(nèi)外網(wǎng)互聯(lián)安全設(shè)備

針對內(nèi)外網(wǎng)數(shù)據(jù)交換頻繁的跨國企業(yè)，有必要在內(nèi)外網(wǎng)之間建立以網(wǎng)閘為基礎(chǔ)的安全區(qū)，實(shí)施嚴(yán)格的安全隔離審查。首先，絕不允許任何非內(nèi)部網(wǎng)絡(luò)協(xié)議穿越網(wǎng)閘，通過自有程序?qū)⒁呀?jīng)安全審查的電子信息進(jìn)行中繼。其次，以網(wǎng)閘為中心，在安全區(qū)布置隔離防火墻，數(shù)據(jù)安全掃描系統(tǒng)等設(shè)備，并定期根據(jù)網(wǎng)絡(luò)安全最新動向進(jìn)行更新，防止內(nèi)部電子信息外泄和來自外部的入侵。

3.對跨國傳輸?shù)碾娮有畔⑦M(jìn)行加密，建立國際網(wǎng)絡(luò)專線

針對信息國際傳輸鏈路安全難以保證問題，首先通過網(wǎng)絡(luò)加密機(jī)對信息進(jìn)行加密，當(dāng)然加密設(shè)備必須可信賴，最好是本國產(chǎn)品。其次可以在網(wǎng)絡(luò)中建立企業(yè)自有的臨時網(wǎng)絡(luò)專線，通過防火墻，攻擊感知和預(yù)警系統(tǒng)進(jìn)行防備，也可以獨(dú)自建立專屬的物理鏈路。當(dāng)然后者成本和法律上較困難，在天地量子保密傳輸還未商用時前者更實(shí)際。

4.對不可移動設(shè)備的定期檢查和移動硬件的管理

針對國外不可移動設(shè)備的可靠性和極易泄密的移動儲存設(shè)備，特別是跨國時使用的移動儲存介質(zhì)的問題。首先要將操作系統(tǒng)正版化，盡可能的將內(nèi)部網(wǎng)絡(luò)協(xié)議自有化，軟件程序要可靠，盡可能使用本國的系統(tǒng)。在使用前檢查修補(bǔ)，使用中定期檢查使用后用可靠數(shù)據(jù)清除設(shè)備將電子信息抹去。

對于跨國和平時的移動設(shè)備，進(jìn)行高度加密，限制可用范圍為公司內(nèi)部相同協(xié)議設(shè)備，一但發(fā)現(xiàn)非法處理和拷貝信息立即自動銷毀信息。在使用管理上實(shí)行統(tǒng)一管理，實(shí)名取用，用后嚴(yán)格檢查有無儲存和非法拷貝。對跨國的設(shè)備更是要抹去不必要的數(shù)據(jù)，實(shí)施權(quán)限管理。

5.建立健全企業(yè)總體信息安全管理系統(tǒng)的框架和調(diào)整修訂計劃

針對企業(yè)在電子信息安全管理領(lǐng)域重技術(shù)輕管理，各自為戰(zhàn)效率不高的問題，有必要建立一個能協(xié)調(diào)配合，發(fā)揮優(yōu)勢并可以自主根據(jù)電子信息安全形勢進(jìn)行調(diào)整修正的安全管理體系，這是治本之策。

（1）安全響應(yīng)體系。由于對信息安全狀況的感知和預(yù)知手段與技術(shù)快速發(fā)展，對危機(jī)的預(yù)警成為可能。預(yù)警之后就按照企業(yè)預(yù)設(shè)的安防機(jī)制進(jìn)行防范。遭到攻擊后立即對攻擊的特點(diǎn)進(jìn)行確定和防衛(wèi)，對內(nèi)部鏈路進(jìn)行分隔保護(hù)。之后迅速對損失數(shù)據(jù)和遭破壞體系進(jìn)行修復(fù)。事件結(jié)束后應(yīng)從損失情況，危機(jī)的新變化，應(yīng)急響應(yīng)的效果等層面進(jìn)行綜合評估與分析。最后依據(jù)分析結(jié)果對企業(yè)安全策略，安防系統(tǒng)乃至電子信息傳輸體系進(jìn)行調(diào)整。

（2）為保障該體系而建立的組織系統(tǒng)，硬件保障系統(tǒng)和技術(shù)支持系統(tǒng)。他們統(tǒng)一在該安全體系下，體系對他們起統(tǒng)一領(lǐng)導(dǎo)作用，互相間是相容的互促關(guān)系，對體系產(chǎn)生執(zhí)行和調(diào)整作用。為完成這一自我調(diào)整自我循環(huán)過程，下設(shè)合理有力的機(jī)構(gòu)和保障制度，這不必詳述。

四、結(jié)語

電子信息安全是跨國企業(yè)“走出去”的一大挑戰(zhàn)。它涉及企業(yè)的核心機(jī)密，關(guān)系到企業(yè)的核心競爭力和口碑，對企業(yè)掌控全局意義重大，故實(shí)施電子信息安全管理勢在必行。為達(dá)到目的，按安全響應(yīng)體系設(shè)計的組織系統(tǒng)，硬件保障系統(tǒng)和技術(shù)支持系統(tǒng)三足鼎立形成信息安全管理框架。在這之下對物理鏈路，軟件，內(nèi)外網(wǎng)和跨境傳輸，以及人員權(quán)限儲存硬件等進(jìn)行強(qiáng)化管理。只有多管齊下多措并舉的從科學(xué)設(shè)計與組織管理角度對企業(yè)電子信息予以保障，跨國企業(yè)發(fā)展的動力，效應(yīng)和前景才能更加明朗。

參考文獻(xiàn)：

[1]CSI/FBI“2005年計算機(jī)犯罪和安全調(diào)查”.

[2]IBM X-Force“2016垃圾郵件趨勢跟蹤研究”.