李 楠

（陜西能源職業(yè)技術(shù)學(xué)院，陜西咸陽 712000）

近幾年數(shù)據(jù)泄露事件越發(fā)普遍，企業(yè)需要承擔(dān)的泄露成本也越來越高，據(jù)IBM的年度數(shù)據(jù)泄露成本報告發(fā)現(xiàn)，數(shù)據(jù)泄露的平均總成本接近400 萬美元。隱私安全和數(shù)據(jù)保護成為了當(dāng)下企業(yè)不得不面對的嚴(yán)峻問題[1]。釀酒企業(yè)規(guī)模、產(chǎn)值巨大，每天產(chǎn)生的利潤十分可觀。在此背景下，對自身信息泄露風(fēng)險情況必須有一個準(zhǔn)確了解，這對于明確自身經(jīng)營發(fā)展?fàn)顩r、行業(yè)定位、制定正確的發(fā)展戰(zhàn)略具有重要的現(xiàn)實意義。

績效評價是依照公司或組織構(gòu)建的指標(biāo)評價體系，按照預(yù)先確定的標(biāo)準(zhǔn)和一定的評價程序定性、定量分析公司或組織整體經(jīng)營狀況的一種方法。而信息泄露風(fēng)險評價僅僅是針對企業(yè)財務(wù)狀況進行的評估，不代表企業(yè)的整體發(fā)展?fàn)顩r。目前績效評價主要有基于BP 神經(jīng)網(wǎng)絡(luò)的績效評估、基于灰色關(guān)聯(lián)的績效評估等幾種[2]。以上這些評價方法雖然能夠得到一定的評價結(jié)果，但是只對企業(yè)的短期財務(wù)評價狀況有效，評估結(jié)果具有一定的局限性。

針對上述情況，研究白酒企業(yè)信息泄露風(fēng)險與防范措施。

1 白酒企業(yè)信息泄露風(fēng)險

在白酒企業(yè)信息泄露風(fēng)險研究中，通過數(shù)值展現(xiàn)績效情況的途徑[3-4]。選擇層次分析法進行權(quán)重計算，選擇原因如下：應(yīng)用較多，有大量實踐經(jīng)驗可以借鑒，相對更為成熟；企業(yè)績效評價需要考慮多層次、多因素，層次分析法更契合[5]?？偨Y(jié)了以下6種常見的數(shù)據(jù)泄露事故。

1.1 黑客竊取數(shù)據(jù)

在日常生活中，數(shù)據(jù)泄露防不勝防，黑客能以各種我們意想不到的方式來攻擊網(wǎng)絡(luò)入侵服務(wù)器，竊取數(shù)據(jù)。據(jù)美國網(wǎng)絡(luò)安全公司RiskIQ 研究數(shù)據(jù)顯示，目前全球每分鐘就有1.5 家組織遭受勒索軟件攻擊，企業(yè)平均損失15221美元。

1.2 員工失誤

企業(yè)機構(gòu)更多的數(shù)據(jù)泄露事故常常是內(nèi)部人員疏忽和意外造成的。Shred-it 的一項研究發(fā)現(xiàn)，40%的高級管理人員和小企業(yè)主表示，疏忽和意外損失是他們最近一次安全事件的根本原因。

1.3 員工有意泄露

前雇員或在職人員，可能是造成數(shù)據(jù)泄露最大的出口。內(nèi)部員工尤其是肩負重要職位的涉密人員，通常是企業(yè)機構(gòu)最先得到及獲得最多數(shù)據(jù)的，他們會在各種可能下出賣或帶走數(shù)據(jù)。2017 年1月17 日，華為公司就曾內(nèi)部通報了已離職的6 名員工涉嫌侵犯知識產(chǎn)權(quán)，將公司商業(yè)機密泄露給競爭關(guān)系公司，涉嫌構(gòu)成侵權(quán)的專利估值高達300萬元。

1.4 通信風(fēng)險

通信是我們?nèi)粘９ぷ骱蜕钪袩o處不在的一部分，而通信工具的漏洞和風(fēng)險無處不在（包括常見的即時通訊工具）。最令人恐懼的是，大量員工使用個人設(shè)備或個人帳戶來傳送敏感信息，這些簡單的社交工具既無監(jiān)管又無防護措施很容易造成數(shù)據(jù)泄露。以醫(yī)療保健行業(yè)為例，近30 %的醫(yī)療保健團隊成員承認(rèn)使用個人設(shè)備或公共網(wǎng)絡(luò)來傳送患者私人的詳細信息。

1.5 網(wǎng)絡(luò)詐騙

微軟的一項分析發(fā)現(xiàn)，網(wǎng)絡(luò)釣魚詐騙今年增長了250%。電子郵件成為了釣魚詐騙的重災(zāi)區(qū)，公司收件箱垃圾郵件泛濫成災(zāi)，其中不乏混雜著各種詐騙郵件。同時，黑客擊破單個員工可能會泄露大量公司數(shù)據(jù)。

1.6 電郵泄露（圖1）

圖1 白酒企業(yè)各金融業(yè)務(wù)風(fēng)險統(tǒng)計

通常，數(shù)據(jù)泄露或侵犯隱私只是越來越多的網(wǎng)絡(luò)犯罪中的第一滴血。安全公司Risk Based Security 的一份報告指出，電子郵件地址及密碼是在線數(shù)據(jù)中最受歡迎的，在所有數(shù)據(jù)泄露事件中有70%發(fā)生在電子郵件中。

1.7 核心技術(shù)被竊，業(yè)務(wù)中斷

數(shù)據(jù)被竊取破壞，會嚴(yán)重影響業(yè)務(wù)的開展，計劃、設(shè)計或其他知識產(chǎn)權(quán)被盜、從數(shù)據(jù)庫中泄露機密的客戶信息，這些都會導(dǎo)致銷售損失、市場份額損失、產(chǎn)生法律費用、增加勞動力成本等等。企業(yè)已經(jīng)離不開信息化應(yīng)用，網(wǎng)絡(luò)環(huán)境帶來的不確定因素正在與日俱增，信息安全問題所帶來的影響巨大。

1.8 用戶風(fēng)險

用戶對信息數(shù)據(jù)泄露帶來的推銷、詐騙以及各種騷擾已不厭其煩，如果企業(yè)對用戶的數(shù)據(jù)沒有盡到保護職責(zé)，用戶會對該企業(yè)的數(shù)據(jù)保護產(chǎn)生質(zhì)疑，從而對其不再信任，一旦某個企業(yè)被曝泄露用戶的信息數(shù)據(jù)，必將成為大眾嚴(yán)厲指責(zé)的對象，信譽大受打擊。

2 白酒企業(yè)信息泄露風(fēng)險防范措施

為進一步提升白酒企業(yè)抵御風(fēng)險的能力，使風(fēng)險防范工作更加有效地融入中心、服務(wù)中心、促進中心，在思想認(rèn)識、責(zé)任擔(dān)當(dāng)、方法措施[6-8]方面，白酒企業(yè)深入開展“五位一體”風(fēng)險防范體系運行工作，努力增強公司在轉(zhuǎn)型發(fā)展關(guān)鍵時期抵御風(fēng)險的能力，助推年度計劃預(yù)算完成，為實現(xiàn)“十三五”規(guī)劃保駕護航。

2.1 泄密風(fēng)險管理系統(tǒng)框架（圖2）

從制度、職責(zé)、流程、標(biāo)準(zhǔn)、考核5 個方面（“五位一體”），健全失泄密風(fēng)險管理體系[9-10]。

圖2 風(fēng)險管理系統(tǒng)框架，強化了全體干部職工時時、事事、人人防范風(fēng)險的意識，提升公司抵御風(fēng)險，將發(fā)生各類風(fēng)險的可能性降到最低，將發(fā)生風(fēng)險的危害程度降到最低，從而營造企業(yè)奮發(fā)向上的精神環(huán)境、扶正祛邪的輿論環(huán)境、健康和諧的人文環(huán)境，確保無人發(fā)生“四種形態(tài)”中的“第三種、第四種”形態(tài)，確保無百萬以上經(jīng)濟損失，確保無群體不穩(wěn)定事件發(fā)生，確保年度計劃預(yù)算完成。

2.2 風(fēng)險防范措施

企業(yè)應(yīng)盡快建立保密管理規(guī)章制度。企業(yè)可參照國家保密部門已經(jīng)頒布的一系列保守國家秘密的制度，結(jié)合商業(yè)秘密的不同特點，針對企業(yè)自身各種可能的泄密途徑，制定一整套有關(guān)企業(yè)秘密保護的制度。

商務(wù)密郵建議：規(guī)范企業(yè)管理制度，設(shè)置權(quán)限管理，加強防護工作。涉及個人重要信息、財產(chǎn)安全、機密資料的系統(tǒng)，使用獨特的登錄名和高強度的復(fù)雜密碼，且不能一套密碼登錄多個系統(tǒng)，必要時建議對數(shù)據(jù)進行加密，確保數(shù)據(jù)安全、財產(chǎn)安全。

對于企業(yè)、政府機構(gòu)的郵件安全而言，應(yīng)盡快部署：郵件防泄漏系統(tǒng)、郵件加解密系統(tǒng)、垃圾郵件過濾系統(tǒng)、郵件數(shù)據(jù)備份等系統(tǒng)。有必要使用獨立的郵件加密客戶端，從數(shù)據(jù)源頭在對郵件進行高強度加密的基礎(chǔ)上，商務(wù)密郵郵件防泄漏系統(tǒng)可針對郵件正文、附加文件、文檔、文本進行掃描，未經(jīng)授權(quán)時，任何涉密內(nèi)容發(fā)出將立刻進行阻斷，并上報進行審批，同時采取離職管控、郵件詳情跟蹤、禁止轉(zhuǎn)發(fā)、郵件水印、強制加密、閱后即焚、郵件復(fù)鎖等功能，全面防控郵件數(shù)據(jù)不泄露。

數(shù)據(jù)保護需要從數(shù)據(jù)根源出發(fā)，不僅需要對數(shù)據(jù)的存儲進行保護，對涉及數(shù)據(jù)的各類應(yīng)用也需要做到全面管控，還有終端網(wǎng)絡(luò)應(yīng)用以及接入終端的各類設(shè)備也需要得到針對性管理。在這方面，IPguard 一體化終端安全管控系統(tǒng)就可以幫助企業(yè)對信息數(shù)據(jù)進行全面保護，讓企業(yè)在變化無常的網(wǎng)絡(luò)中也可以實現(xiàn)可控透明化的終端管理。

圖2 泄密風(fēng)險管理系統(tǒng)框架

（1）文檔加密：幫助企業(yè)對重要數(shù)據(jù)進行加密保護管理，保護數(shù)據(jù)安全，防止被隨意篡改、刪除。

（2）敏感內(nèi)容重點保護：通過敏感內(nèi)容識別技術(shù)，幫助企業(yè)智能識別各個位置的敏感內(nèi)容，并對該敏感內(nèi)容的操作和流轉(zhuǎn)行為進行記錄和審計。

（3）終端操作管控：幫助對終端文檔操作、打印、移動設(shè)備、U 盤、應(yīng)用程序、網(wǎng)頁瀏覽、即時通訊、郵件等各種應(yīng)用進行規(guī)范，減少泄密風(fēng)險。

（4）審計操作行為：幫助統(tǒng)計分析用戶操作行為，及時發(fā)現(xiàn)潛在泄密風(fēng)險，發(fā)生泄密時還可快速追溯泄密全過程。

（5）重要文檔備份：將文檔存儲到特定的備份服務(wù)器進行管理保護，當(dāng)出現(xiàn)誤刪、感染勒索病毒或硬盤損壞等導(dǎo)致文件被損壞，都可從備份服務(wù)器將文件恢復(fù)到終端。

（6）終端準(zhǔn)入管理：防止非授權(quán)計算機對指定網(wǎng)絡(luò)進行非法訪問，計算機設(shè)備接入企業(yè)內(nèi)部網(wǎng)絡(luò)對服務(wù)器、互聯(lián)網(wǎng)等訪問時，需要經(jīng)過準(zhǔn)入網(wǎng)關(guān)嚴(yán)格的審核。

（7）IT 運維管理：單一控制臺即可對所有終端計算機實行統(tǒng)一管理和維護，自動對系統(tǒng)漏洞進行掃描并根據(jù)需要修補，遠程處理故障問題。

3 結(jié)束語

白酒作為中國歷史最為悠久的飲品之一，在飲食行業(yè)具有重要地位，白酒企業(yè)極具規(guī)模，在白酒企業(yè)發(fā)展過程中，信息泄露風(fēng)險評估成為穩(wěn)定企業(yè)發(fā)展的關(guān)鍵要素，它是企業(yè)進行戰(zhàn)略決策的基礎(chǔ)和支撐。先進的設(shè)備、先進的計算機安全防范技術(shù)，只能阻止網(wǎng)上“黑客”的有意破壞，但對內(nèi)部工作人員的非法活動卻很難控制。因此，人員的管理也是金融信息防范工作的一個重要環(huán)節(jié)。

（1）重視人才的選拔和競爭機制。在當(dāng)時的金融環(huán)境下，各金融機構(gòu)掀起了一波引進高素質(zhì)和高技術(shù)人才的浪潮，不過，隨著時間的推移，一味的引進人才不僅成本高，而且對金融企業(yè)本身不一定達到百分之百的忠誠，如果引進的人才再次跳槽，就有可能對原企業(yè)金融信息造成泄露，尤其是近些年來，金融信息對于企業(yè)的重要性越來越突顯，因此，金融企業(yè)內(nèi)部更愿意自己培養(yǎng)高素質(zhì)、高技術(shù)的信息技術(shù)專業(yè)人才，這些人才對企業(yè)的忠誠度普遍偏高，而且熟悉企業(yè)的管理模式，能快速適應(yīng)環(huán)境，更利于對金融信息風(fēng)險的防控。

（2）建立和完善信息風(fēng)險防范問責(zé)機制。金融企業(yè)內(nèi)部對金融信息防范的規(guī)章制度再完善，也需要員工和管理人員共同遵守才能達到良好的預(yù)期和效果，因此，金融企業(yè)在金融信息風(fēng)險的防控問題上需要明確責(zé)任分工，完善問責(zé)機制，對金融信息內(nèi)部人員泄漏問題進行約束。

（3）提高風(fēng)險管控和內(nèi)部控制法律意識。不斷建立強化內(nèi)控機制對金融信息風(fēng)險防范的重要作用的意識，讓金融企業(yè)管理人員做好內(nèi)控工作，上行下效，潛移默化地把內(nèi)控意識傳輸給下一級員工，使內(nèi)控機制的氛圍鋪展開來，與此同時，金融企業(yè)內(nèi)部還要開展有關(guān)內(nèi)控機制的演講，使員工們逐漸受到影響，不斷的提高意識和認(rèn)識，把金融信息風(fēng)險的苗頭扼殺在企業(yè)的內(nèi)部。