蔣兵兵

[摘 要] 在當(dāng)前“互聯(lián)網(wǎng)+”的浪潮下，中小互聯(lián)網(wǎng)企業(yè)在激烈的市場競爭中，針對競爭對手進(jìn)行競爭情報收集和反收集已變得越發(fā)重要。本文結(jié)合OPSEC模型，結(jié)合中小IT企業(yè)發(fā)展特點，有針對性地提出反競爭情報系統(tǒng)方案。

[關(guān)鍵詞] 反競爭情報；情報系統(tǒng)；OPSEC模型

doi ： 10 . 3969 / j . issn . 1673 - 0194 . 2018. 05. 033

[中圖分類號] F272；F276.3 [文獻(xiàn)標(biāo)識碼] A [文章編號] 1673 - 0194（2018）05- 0077- 03

0 引 言

當(dāng)前社會正處在信息化時代，企業(yè)間的競爭日趨激烈，誰通過競爭情報的收集，掌握最前沿的信息動態(tài)，誰就在競爭中占據(jù)主動。在這種情報戰(zhàn)背景下，反競爭情報工作也就越發(fā)重要，保證企業(yè)的信息安全性也成為了在激烈競爭中企業(yè)存續(xù)的重要因素。企業(yè)競爭情報系統(tǒng)承擔(dān)著這一重任，該反競爭情報系統(tǒng)作用是保護(hù)自身的商業(yè)秘密、核心信息不被競爭對手或第三方機構(gòu)得到。

當(dāng)前“互聯(lián)網(wǎng)+”浪潮下誕生的企業(yè)，如滴滴、餓了么等，由原本的小企業(yè)發(fā)展壯大都極為迅速。而在這一短暫的過程中，企業(yè)的外部環(huán)境信息的獲取和內(nèi)部信息的保護(hù)起到了至關(guān)重要的作用，可以預(yù)見，在不久的未來，企業(yè)的競爭情報獲取和構(gòu)建反競爭情報系統(tǒng)會越來越成為其獲得競爭優(yōu)勢的關(guān)鍵。

1 反競爭情報的對象

反競爭情報工作的主要目標(biāo)就是保護(hù)企業(yè)重要的信息，而企業(yè)容易泄露信息的途徑，也正是反競爭情報工作的重點。

1.1 企業(yè)自身泄密

企業(yè)自身泄密包括三方面，企業(yè)活動泄露、員工泄露、企業(yè)信息系統(tǒng)泄露。

（1）企業(yè)活動泄密是指為企業(yè)在開展各種業(yè)務(wù)過程中，在與他人合作、向相關(guān)的行業(yè)協(xié)會和政府部門匯報以及廣告、公關(guān)等活動中泄露自身重要信息的情況。IT領(lǐng)域的中小企業(yè)都會利用當(dāng)前較為活躍的社交平臺，如微信、微博發(fā)布信息。但這些信息經(jīng)過競爭對手的綜合分析，也許就能探索出企業(yè)的重要信息。

（2）企業(yè)員工泄露是指企業(yè)員工無意或有意地 泄露企業(yè)重要信息，對企業(yè)造成危害。企業(yè)員工無意泄露可能是因為缺乏保密意識，有意可能是出于私人利益。中小IT企業(yè)的人員流動較為頻繁，如果企業(yè)核心技術(shù)人員出走，會給企業(yè)的核心信息安全帶來巨大的威脅。

（3）企業(yè)信息系統(tǒng)泄露既指企業(yè)的信息被黑客等不法分子竊取，也指企業(yè)硬件缺陷或軟件出錯給企業(yè)的信息安全帶來危害。IT企業(yè)的日常運營中各類信息系統(tǒng)工具必不可少，因而企業(yè)大量核心機密儲存在這些系統(tǒng)中。如果系統(tǒng)的信息安全出問題，不但影響日常業(yè)務(wù)，也會損害用戶利益。

1.2 競爭對手探秘

競爭對手為獲取有價值的企業(yè)信息可以利用合法的競爭情報方法獲取信息，但也可能采用不正當(dāng)手段。合法競爭情報方法，企業(yè)往往很難防范，但只要對發(fā)布信息進(jìn)行相應(yīng)審核，還是可以提高競爭對手獲取信息的難度。而非法手段，如利用黑客竊取企業(yè)信息、賄賂公司員工等方式獲取有用情報，則需要企業(yè)采用技術(shù)和法律手段去維護(hù)信息安全。

1.3 第三方泄密

企業(yè)開展自己的業(yè)務(wù)時避免不了第三方的參與，此時企業(yè)的一些信息就可能泄露。如企業(yè)的后勤業(yè)務(wù)中的物流企業(yè)，銷售業(yè)務(wù)中的廣告方或媒體，這些第三方如果無法保密，那相關(guān)信息就易被對手獲取。中小IT企業(yè)大多是輕資產(chǎn)企業(yè)，離不開第三方業(yè)務(wù)。如小型的電商企業(yè)，銷售、宣傳、運輸都需要借助第三方企業(yè)。因此，對于中小IT企業(yè)來說，強化合作企業(yè)的信息保密工作是必不可少的。

2 反競爭情報系統(tǒng)的實施

2.1 OPSEC方法簡介

當(dāng)前西方國家保密工作普遍采用OPSEC方法，這是一種確定競爭對手如何及時獲得有價值的關(guān)鍵信息的方法。其特點是以一種合理的、高效率、低成本的方式來避免風(fēng)險，而不是不問成本地去避免信息安全風(fēng)險。處于發(fā)展初期的IT中小企業(yè)，初創(chuàng)時的資金壓力較大，對于信息安全的投入有限，本文介紹的OPSEC方法，就是適合這種狀況的信息安全保護(hù)策略，在解決信息安全問題的同時也控制了成本。

2.2 OPSEC方法步驟

OPSEC方法通常有五個步驟，包括：識別關(guān)鍵信息、分析威脅、分析薄弱點、風(fēng)險評估、采取對策。

2.2.1 識別關(guān)鍵信息

企業(yè)的關(guān)鍵信息包括企業(yè)的戰(zhàn)略或戰(zhàn)術(shù)情報和企業(yè)科技研發(fā)情報等敏感信息，競爭對手通過這些敏感信息可以了解本企業(yè)的活動意圖和動向、探索和模仿企業(yè)的核心產(chǎn)品和服務(wù)。對于IT企業(yè)而言，最為寶貴的信息包括技術(shù)方面專利或發(fā)明信息、企業(yè)的戰(zhàn)略和戰(zhàn)術(shù)信息。因此專利和發(fā)明類的技術(shù)信息重點是管理好相關(guān)的技術(shù)人員；對于企業(yè)的戰(zhàn)略和戰(zhàn)術(shù)信息，應(yīng)當(dāng)設(shè)立專門的審核部門負(fù)責(zé)發(fā)布信息的審核。

2.2.2 分析威脅

這個步驟主要是明確對手或競爭者能在多大程度上得到你的信息并對其加以利用，也就是競爭對手知道了什么，什么時候知道的，他們會如何據(jù)此展開對策，為何他們會如此開展行動，查找他們是如何得知這一切的。IT領(lǐng)域的競爭對手必然是同行業(yè)領(lǐng)域的其他IT企業(yè)，競爭對手會不斷打探本企業(yè)的戰(zhàn)略和戰(zhàn)術(shù)信息，查探企業(yè)核心的產(chǎn)品和服務(wù)并嘗試逆向工程模仿之。這些可能出現(xiàn)的狀況，都是企業(yè)應(yīng)該提前預(yù)估并做好相關(guān)預(yù)防工作的。

2.2.3 分析薄弱點

分析企業(yè)情報保密薄弱點，需要企業(yè)對自身業(yè)務(wù)流程的各個環(huán)節(jié)進(jìn)行監(jiān)督管理，及時發(fā)現(xiàn)企業(yè)容易泄露信息的途徑有哪些。對于IT企業(yè)來說，自身信息系統(tǒng)的漏洞可能成為黑客攻擊的重點，同時需要密切關(guān)注的還有企業(yè)的員工管理方面，無論是員工有意無意地泄密還是員工辭職帶走企業(yè)機密等，都會對企業(yè)造成嚴(yán)重危害 。

2.2.4 風(fēng)險評估

風(fēng)險評估這一步驟是OPSEC安全運作過程的決定性一步。該步驟中也要確定前述步驟間的相互關(guān)系（關(guān)鍵信息、威脅和弱點），這當(dāng)中包括了競爭對手獲得信息會如何做，對本企業(yè)產(chǎn)生怎樣的影響，而本企業(yè)又會有怎樣的損失，以及對此應(yīng)該如何應(yīng)對。對于IT企業(yè)而言，風(fēng)險評估后才可有計劃、有針對性地進(jìn)行信息安全領(lǐng)域的投資。同時，這一步之后也才可以對信息安全的重點進(jìn)行確認(rèn)，使得有限的資金發(fā)揮更好的作用。

2.2.5 采取對策

采取對策就是阻止對手或競爭者獲得關(guān)鍵信息或提高其獲取這些信息難度的行動?？梢圆扇〉膶Σ甙ǎ菏紫裙芾砗眯畔⒃?，即管理好信息安全相關(guān)人或物。其次就是在發(fā)布信息時，注重審核，避免敏感信息泄露。再次就是設(shè)法使競爭對手無法從收集到的信息中分析出有價值的準(zhǔn)確信息。當(dāng)前IT企業(yè)需要在各種社交媒介上發(fā)布信息，還需要和用戶建立方便的聯(lián)系渠道。這些信息發(fā)布時一定需審核后才可發(fā)出；同時在企業(yè)設(shè)立的網(wǎng)絡(luò)社區(qū)和論壇中，要對企業(yè)發(fā)布的信息進(jìn)行一定的引導(dǎo)。最后就是在與用戶交流的過程中，需提防競爭對手可能假扮用戶來打探企業(yè)信息。

2.3 反競爭情報系統(tǒng)具體運行

在分析中小IT企業(yè)的反競爭情報的基本狀況和條件后，本文給出具體的反競爭情報系統(tǒng)運行需求。

2.3.1 反競爭情報的組織部門設(shè)計

反競爭情報工作涉及公司的各個部門，不僅有負(fù)責(zé)產(chǎn)品開發(fā)的技術(shù)部門，還有銷售和推廣的營銷部，同時還有與第三方有密切往來的公關(guān)部門等。具體到中小IT企業(yè)，這個情報部門或工作小組可以由技術(shù)人員、宣傳人員以及其他相關(guān)人員組成，其工作結(jié)果直接送至企業(yè)最高領(lǐng)導(dǎo)。這些成員在完成原本職部分的工作的同時，作為情報部門和小組的成員，要監(jiān)督和匯報本部門的信息安全的工作情況。同時需要說明，企業(yè)規(guī)模較小時，該情報部門或小組可以將競爭情報獲取和反競爭情報這兩個工作一起兼任。

2.3.2 反競爭情報部門的工作內(nèi)容

反競爭情報部門設(shè)立好后，就是明確其工作任務(wù)，主要工作對象分為企業(yè)內(nèi)外兩種情報源。

（1）內(nèi)部情報工作。情報部門的情報工作第一步就是制定相關(guān)的信息安全制度。制定一部可以具體實行的規(guī)則制度，企業(yè)相關(guān)職能部門才可以參考這些制度來做好反競爭情報工作。在制定信息安全制度時需考慮到企業(yè)現(xiàn)行的運作制度和企業(yè)文化，明確相應(yīng)的獎勵制度和違反該制度后的懲戒標(biāo)準(zhǔn)，同時也要定期對信息安全問題處理較好的部門或個人給予表揚和物質(zhì)獎勵。發(fā)現(xiàn)制度缺陷時，及時地修改。同時企業(yè)的規(guī)章制度也需要符合當(dāng)前的法律制度。

制定好相關(guān)企業(yè)的信息安全制度后，要具體協(xié)助和監(jiān)督企業(yè)相關(guān)的職能部門去落實這些制度。具體到中小IT企業(yè)，首先要做好企業(yè)業(yè)務(wù)和活動信息的審核與發(fā)布，如為宣傳和推廣新產(chǎn)品和服務(wù)時，相關(guān)頁面中產(chǎn)品和服務(wù)的具體信息既要能夠充分滿足企業(yè)用戶對于了解這些產(chǎn)品和服務(wù)的需要，也要警惕競爭對手對于敏感內(nèi)容的打探。因而在相關(guān)的宣傳部分發(fā)布這些信息前，情報部門要積極參與，確保企業(yè)的敏感信息的安全。

（2）外部情報工作。相比于企業(yè)內(nèi)部的信息安全工作中重在查找企業(yè)制度漏洞，外部情報工作的重心在于處理好第三方企業(yè)合作和預(yù)防競爭對手打探己方企業(yè)信息。

當(dāng)前中小IT企業(yè)普遍是輕資產(chǎn)狀態(tài)，在開展業(yè)務(wù)時普遍要借助第三方企業(yè)，因此在開展合作前，就需要簽署相關(guān)的商業(yè)保密協(xié)議。一方面，可以使合作方可以重視本企業(yè)的信息安全，對其可能的泄密行為進(jìn)行約束；另一方面，如果發(fā)生泄密造成本企業(yè)損失的，也可以依照簽署的協(xié)議要求賠償以彌補損失。當(dāng)然，最佳的方案依舊是與合作方協(xié)作，共同確保企業(yè)機密信息的安全，避免出現(xiàn)信息安全事故。

針對競爭對手的情報打探行動，情報部門需要提前做好相關(guān)預(yù)案。首先要確認(rèn)好企業(yè)的競爭對手都有哪些，他們的實力如何，他們會采用怎樣的方法打探本企業(yè)的信息等等。

當(dāng)前“互聯(lián)網(wǎng)+”浪潮下，IT領(lǐng)域的競爭日趨激烈，競爭對手可能是實力相當(dāng)?shù)膬蓚€企業(yè)，也可能是綜合實力懸殊的兩方，也可能是潛伏起來企圖通過模仿行業(yè)領(lǐng)導(dǎo)者的跨領(lǐng)域?qū)κ??？傊?，IT行業(yè)的門檻并不是太高，對于本企業(yè)而言，不僅要看到當(dāng)前的那些競爭對手，還要對未來的新進(jìn)入者做好準(zhǔn)備。對于潛在競爭者，比較好的查詢方法是通過專利調(diào)查法，利用此法調(diào)查本行業(yè)相關(guān)的技術(shù)專利中是否有新的企業(yè)。

3 結(jié) 語

自古以來，商場如戰(zhàn)場，而隨著這種現(xiàn)代商業(yè)情報戰(zhàn)的不斷發(fā)展，反競爭情報系統(tǒng)的重要性也會越來越顯著。本文立足中小企業(yè)特色，提出的相關(guān)反競爭情報系統(tǒng)的相關(guān)內(nèi)容，希望可以對相關(guān)領(lǐng)域起到一定的補充作用。

主要參考文獻(xiàn)

[1]包昌火，趙剛，李艷，等.競爭情報的崛起——為紀(jì)念中國競爭情報專業(yè)組織成立10周年而用[J].情報學(xué)報，2005，24（1）：3-19.

[2]朱禮龍.企業(yè)反競爭情報能力研究[J].情報理論與實踐，2009，32（5）：16-19.

[3]王宏，張素芳. 企業(yè)反競爭情報能力的影響因素及其構(gòu)成研究[J]. 情報雜志，2011，30（11）：5-9.