李 楠

（陜西能源職業(yè)技術(shù)學(xué)院，陜西咸陽 712000）

近幾年數(shù)據(jù)泄露事件越發(fā)普遍，企業(yè)需要承擔(dān)的泄露成本也越來越高，據(jù)IBM的年度數(shù)據(jù)泄露成本報(bào)告發(fā)現(xiàn)，數(shù)據(jù)泄露的平均總成本接近400 萬美元。隱私安全和數(shù)據(jù)保護(hù)成為了當(dāng)下企業(yè)不得不面對的嚴(yán)峻問題[1]。釀酒企業(yè)規(guī)模、產(chǎn)值巨大，每天產(chǎn)生的利潤十分可觀。在此背景下，對自身信息泄露風(fēng)險(xiǎn)情況必須有一個(gè)準(zhǔn)確了解，這對于明確自身經(jīng)營發(fā)展?fàn)顩r、行業(yè)定位、制定正確的發(fā)展戰(zhàn)略具有重要的現(xiàn)實(shí)意義。

績效評價(jià)是依照公司或組織構(gòu)建的指標(biāo)評價(jià)體系，按照預(yù)先確定的標(biāo)準(zhǔn)和一定的評價(jià)程序定性、定量分析公司或組織整體經(jīng)營狀況的一種方法。而信息泄露風(fēng)險(xiǎn)評價(jià)僅僅是針對企業(yè)財(cái)務(wù)狀況進(jìn)行的評估，不代表企業(yè)的整體發(fā)展?fàn)顩r。目前績效評價(jià)主要有基于BP 神經(jīng)網(wǎng)絡(luò)的績效評估、基于灰色關(guān)聯(lián)的績效評估等幾種[2]。以上這些評價(jià)方法雖然能夠得到一定的評價(jià)結(jié)果，但是只對企業(yè)的短期財(cái)務(wù)評價(jià)狀況有效，評估結(jié)果具有一定的局限性。

針對上述情況，研究白酒企業(yè)信息泄露風(fēng)險(xiǎn)與防范措施。

1 白酒企業(yè)信息泄露風(fēng)險(xiǎn)

在白酒企業(yè)信息泄露風(fēng)險(xiǎn)研究中，通過數(shù)值展現(xiàn)績效情況的途徑[3-4]。選擇層次分析法進(jìn)行權(quán)重計(jì)算，選擇原因如下：應(yīng)用較多，有大量實(shí)踐經(jīng)驗(yàn)可以借鑒，相對更為成熟；企業(yè)績效評價(jià)需要考慮多層次、多因素，層次分析法更契合[5]。總結(jié)了以下6種常見的數(shù)據(jù)泄露事故。

1.1 黑客竊取數(shù)據(jù)

在日常生活中，數(shù)據(jù)泄露防不勝防，黑客能以各種我們意想不到的方式來攻擊網(wǎng)絡(luò)入侵服務(wù)器，竊取數(shù)據(jù)。據(jù)美國網(wǎng)絡(luò)安全公司RiskIQ 研究數(shù)據(jù)顯示，目前全球每分鐘就有1.5 家組織遭受勒索軟件攻擊，企業(yè)平均損失15221美元。

1.2 員工失誤

企業(yè)機(jī)構(gòu)更多的數(shù)據(jù)泄露事故常常是內(nèi)部人員疏忽和意外造成的。Shred-it 的一項(xiàng)研究發(fā)現(xiàn)，40%的高級管理人員和小企業(yè)主表示，疏忽和意外損失是他們最近一次安全事件的根本原因。

1.3 員工有意泄露

前雇員或在職人員，可能是造成數(shù)據(jù)泄露最大的出口。內(nèi)部員工尤其是肩負(fù)重要職位的涉密人員，通常是企業(yè)機(jī)構(gòu)最先得到及獲得最多數(shù)據(jù)的，他們會在各種可能下出賣或帶走數(shù)據(jù)。2017 年1月17 日，華為公司就曾內(nèi)部通報(bào)了已離職的6 名員工涉嫌侵犯知識產(chǎn)權(quán)，將公司商業(yè)機(jī)密泄露給競爭關(guān)系公司，涉嫌構(gòu)成侵權(quán)的專利估值高達(dá)300萬元。

1.4 通信風(fēng)險(xiǎn)

通信是我們?nèi)粘９ぷ骱蜕钪袩o處不在的一部分，而通信工具的漏洞和風(fēng)險(xiǎn)無處不在（包括常見的即時(shí)通訊工具）。最令人恐懼的是，大量員工使用個(gè)人設(shè)備或個(gè)人帳戶來傳送敏感信息，這些簡單的社交工具既無監(jiān)管又無防護(hù)措施很容易造成數(shù)據(jù)泄露。以醫(yī)療保健行業(yè)為例，近30 %的醫(yī)療保健團(tuán)隊(duì)成員承認(rèn)使用個(gè)人設(shè)備或公共網(wǎng)絡(luò)來傳送患者私人的詳細(xì)信息。

1.5 網(wǎng)絡(luò)詐騙

微軟的一項(xiàng)分析發(fā)現(xiàn)，網(wǎng)絡(luò)釣魚詐騙今年增長了250%。電子郵件成為了釣魚詐騙的重災(zāi)區(qū)，公司收件箱垃圾郵件泛濫成災(zāi)，其中不乏混雜著各種詐騙郵件。同時(shí)，黑客擊破單個(gè)員工可能會泄露大量公司數(shù)據(jù)。

1.6 電郵泄露（圖1）

圖1 白酒企業(yè)各金融業(yè)務(wù)風(fēng)險(xiǎn)統(tǒng)計(jì)

通常，數(shù)據(jù)泄露或侵犯隱私只是越來越多的網(wǎng)絡(luò)犯罪中的第一滴血。安全公司Risk Based Security 的一份報(bào)告指出，電子郵件地址及密碼是在線數(shù)據(jù)中最受歡迎的，在所有數(shù)據(jù)泄露事件中有70%發(fā)生在電子郵件中。

1.7 核心技術(shù)被竊，業(yè)務(wù)中斷

數(shù)據(jù)被竊取破壞，會嚴(yán)重影響業(yè)務(wù)的開展，計(jì)劃、設(shè)計(jì)或其他知識產(chǎn)權(quán)被盜、從數(shù)據(jù)庫中泄露機(jī)密的客戶信息，這些都會導(dǎo)致銷售損失、市場份額損失、產(chǎn)生法律費(fèi)用、增加勞動(dòng)力成本等等。企業(yè)已經(jīng)離不開信息化應(yīng)用，網(wǎng)絡(luò)環(huán)境帶來的不確定因素正在與日俱增，信息安全問題所帶來的影響巨大。

1.8 用戶風(fēng)險(xiǎn)

用戶對信息數(shù)據(jù)泄露帶來的推銷、詐騙以及各種騷擾已不厭其煩，如果企業(yè)對用戶的數(shù)據(jù)沒有盡到保護(hù)職責(zé)，用戶會對該企業(yè)的數(shù)據(jù)保護(hù)產(chǎn)生質(zhì)疑，從而對其不再信任，一旦某個(gè)企業(yè)被曝泄露用戶的信息數(shù)據(jù)，必將成為大眾嚴(yán)厲指責(zé)的對象，信譽(yù)大受打擊。

2 白酒企業(yè)信息泄露風(fēng)險(xiǎn)防范措施

為進(jìn)一步提升白酒企業(yè)抵御風(fēng)險(xiǎn)的能力，使風(fēng)險(xiǎn)防范工作更加有效地融入中心、服務(wù)中心、促進(jìn)中心，在思想認(rèn)識、責(zé)任擔(dān)當(dāng)、方法措施[6-8]方面，白酒企業(yè)深入開展“五位一體”風(fēng)險(xiǎn)防范體系運(yùn)行工作，努力增強(qiáng)公司在轉(zhuǎn)型發(fā)展關(guān)鍵時(shí)期抵御風(fēng)險(xiǎn)的能力，助推年度計(jì)劃預(yù)算完成，為實(shí)現(xiàn)“十三五”規(guī)劃保駕護(hù)航。

2.1 泄密風(fēng)險(xiǎn)管理系統(tǒng)框架（圖2）

從制度、職責(zé)、流程、標(biāo)準(zhǔn)、考核5 個(gè)方面（“五位一體”），健全失泄密風(fēng)險(xiǎn)管理體系[9-10]。

圖2 風(fēng)險(xiǎn)管理系統(tǒng)框架，強(qiáng)化了全體干部職工時(shí)時(shí)、事事、人人防范風(fēng)險(xiǎn)的意識，提升公司抵御風(fēng)險(xiǎn)，將發(fā)生各類風(fēng)險(xiǎn)的可能性降到最低，將發(fā)生風(fēng)險(xiǎn)的危害程度降到最低，從而營造企業(yè)奮發(fā)向上的精神環(huán)境、扶正祛邪的輿論環(huán)境、健康和諧的人文環(huán)境，確保無人發(fā)生“四種形態(tài)”中的“第三種、第四種”形態(tài)，確保無百萬以上經(jīng)濟(jì)損失，確保無群體不穩(wěn)定事件發(fā)生，確保年度計(jì)劃預(yù)算完成。

2.2 風(fēng)險(xiǎn)防范措施

企業(yè)應(yīng)盡快建立保密管理規(guī)章制度。企業(yè)可參照國家保密部門已經(jīng)頒布的一系列保守國家秘密的制度，結(jié)合商業(yè)秘密的不同特點(diǎn)，針對企業(yè)自身各種可能的泄密途徑，制定一整套有關(guān)企業(yè)秘密保護(hù)的制度。

商務(wù)密郵建議：規(guī)范企業(yè)管理制度，設(shè)置權(quán)限管理，加強(qiáng)防護(hù)工作。涉及個(gè)人重要信息、財(cái)產(chǎn)安全、機(jī)密資料的系統(tǒng)，使用獨(dú)特的登錄名和高強(qiáng)度的復(fù)雜密碼，且不能一套密碼登錄多個(gè)系統(tǒng)，必要時(shí)建議對數(shù)據(jù)進(jìn)行加密，確保數(shù)據(jù)安全、財(cái)產(chǎn)安全。

對于企業(yè)、政府機(jī)構(gòu)的郵件安全而言，應(yīng)盡快部署：郵件防泄漏系統(tǒng)、郵件加解密系統(tǒng)、垃圾郵件過濾系統(tǒng)、郵件數(shù)據(jù)備份等系統(tǒng)。有必要使用獨(dú)立的郵件加密客戶端，從數(shù)據(jù)源頭在對郵件進(jìn)行高強(qiáng)度加密的基礎(chǔ)上，商務(wù)密郵郵件防泄漏系統(tǒng)可針對郵件正文、附加文件、文檔、文本進(jìn)行掃描，未經(jīng)授權(quán)時(shí)，任何涉密內(nèi)容發(fā)出將立刻進(jìn)行阻斷，并上報(bào)進(jìn)行審批，同時(shí)采取離職管控、郵件詳情跟蹤、禁止轉(zhuǎn)發(fā)、郵件水印、強(qiáng)制加密、閱后即焚、郵件復(fù)鎖等功能，全面防控郵件數(shù)據(jù)不泄露。

數(shù)據(jù)保護(hù)需要從數(shù)據(jù)根源出發(fā)，不僅需要對數(shù)據(jù)的存儲進(jìn)行保護(hù)，對涉及數(shù)據(jù)的各類應(yīng)用也需要做到全面管控，還有終端網(wǎng)絡(luò)應(yīng)用以及接入終端的各類設(shè)備也需要得到針對性管理。在這方面，IPguard 一體化終端安全管控系統(tǒng)就可以幫助企業(yè)對信息數(shù)據(jù)進(jìn)行全面保護(hù)，讓企業(yè)在變化無常的網(wǎng)絡(luò)中也可以實(shí)現(xiàn)可控透明化的終端管理。

圖2 泄密風(fēng)險(xiǎn)管理系統(tǒng)框架

（1）文檔加密：幫助企業(yè)對重要數(shù)據(jù)進(jìn)行加密保護(hù)管理，保護(hù)數(shù)據(jù)安全，防止被隨意篡改、刪除。

（2）敏感內(nèi)容重點(diǎn)保護(hù)：通過敏感內(nèi)容識別技術(shù)，幫助企業(yè)智能識別各個(gè)位置的敏感內(nèi)容，并對該敏感內(nèi)容的操作和流轉(zhuǎn)行為進(jìn)行記錄和審計(jì)。

（3）終端操作管控：幫助對終端文檔操作、打印、移動(dòng)設(shè)備、U 盤、應(yīng)用程序、網(wǎng)頁瀏覽、即時(shí)通訊、郵件等各種應(yīng)用進(jìn)行規(guī)范，減少泄密風(fēng)險(xiǎn)。

（4）審計(jì)操作行為：幫助統(tǒng)計(jì)分析用戶操作行為，及時(shí)發(fā)現(xiàn)潛在泄密風(fēng)險(xiǎn)，發(fā)生泄密時(shí)還可快速追溯泄密全過程。

（5）重要文檔備份：將文檔存儲到特定的備份服務(wù)器進(jìn)行管理保護(hù)，當(dāng)出現(xiàn)誤刪、感染勒索病毒或硬盤損壞等導(dǎo)致文件被損壞，都可從備份服務(wù)器將文件恢復(fù)到終端。

（6）終端準(zhǔn)入管理：防止非授權(quán)計(jì)算機(jī)對指定網(wǎng)絡(luò)進(jìn)行非法訪問，計(jì)算機(jī)設(shè)備接入企業(yè)內(nèi)部網(wǎng)絡(luò)對服務(wù)器、互聯(lián)網(wǎng)等訪問時(shí)，需要經(jīng)過準(zhǔn)入網(wǎng)關(guān)嚴(yán)格的審核。

（7）IT 運(yùn)維管理：單一控制臺即可對所有終端計(jì)算機(jī)實(shí)行統(tǒng)一管理和維護(hù)，自動(dòng)對系統(tǒng)漏洞進(jìn)行掃描并根據(jù)需要修補(bǔ)，遠(yuǎn)程處理故障問題。

3 結(jié)束語

白酒作為中國歷史最為悠久的飲品之一，在飲食行業(yè)具有重要地位，白酒企業(yè)極具規(guī)模，在白酒企業(yè)發(fā)展過程中，信息泄露風(fēng)險(xiǎn)評估成為穩(wěn)定企業(yè)發(fā)展的關(guān)鍵要素，它是企業(yè)進(jìn)行戰(zhàn)略決策的基礎(chǔ)和支撐。先進(jìn)的設(shè)備、先進(jìn)的計(jì)算機(jī)安全防范技術(shù)，只能阻止網(wǎng)上“黑客”的有意破壞，但對內(nèi)部工作人員的非法活動(dòng)卻很難控制。因此，人員的管理也是金融信息防范工作的一個(gè)重要環(huán)節(jié)。

（1）重視人才的選拔和競爭機(jī)制。在當(dāng)時(shí)的金融環(huán)境下，各金融機(jī)構(gòu)掀起了一波引進(jìn)高素質(zhì)和高技術(shù)人才的浪潮，不過，隨著時(shí)間的推移，一味的引進(jìn)人才不僅成本高，而且對金融企業(yè)本身不一定達(dá)到百分之百的忠誠，如果引進(jìn)的人才再次跳槽，就有可能對原企業(yè)金融信息造成泄露，尤其是近些年來，金融信息對于企業(yè)的重要性越來越突顯，因此，金融企業(yè)內(nèi)部更愿意自己培養(yǎng)高素質(zhì)、高技術(shù)的信息技術(shù)專業(yè)人才，這些人才對企業(yè)的忠誠度普遍偏高，而且熟悉企業(yè)的管理模式，能快速適應(yīng)環(huán)境，更利于對金融信息風(fēng)險(xiǎn)的防控。

（2）建立和完善信息風(fēng)險(xiǎn)防范問責(zé)機(jī)制。金融企業(yè)內(nèi)部對金融信息防范的規(guī)章制度再完善，也需要員工和管理人員共同遵守才能達(dá)到良好的預(yù)期和效果，因此，金融企業(yè)在金融信息風(fēng)險(xiǎn)的防控問題上需要明確責(zé)任分工，完善問責(zé)機(jī)制，對金融信息內(nèi)部人員泄漏問題進(jìn)行約束。

（3）提高風(fēng)險(xiǎn)管控和內(nèi)部控制法律意識。不斷建立強(qiáng)化內(nèi)控機(jī)制對金融信息風(fēng)險(xiǎn)防范的重要作用的意識，讓金融企業(yè)管理人員做好內(nèi)控工作，上行下效，潛移默化地把內(nèi)控意識傳輸給下一級員工，使內(nèi)控機(jī)制的氛圍鋪展開來，與此同時(shí)，金融企業(yè)內(nèi)部還要開展有關(guān)內(nèi)控機(jī)制的演講，使員工們逐漸受到影響，不斷的提高意識和認(rèn)識，把金融信息風(fēng)險(xiǎn)的苗頭扼殺在企業(yè)的內(nèi)部。