三、网络管理
(一)互联网商业秘密管理 在网络时代,很多人都享受着电脑的快速和便利。通过互联网,企业可以迅速地获取资料、交换信息,互联网是个快速传摇信息的通道。现在不少企业通过传真、电子邮件或者其他电子手段传送商业文件,不需数分钟就能传递到地球另一方的合作伙伴手上。不过,电子传递使得他人很容易在传递过程中顺手牵羊。 信息经过卫星或者光缆传递,电子传递信号满天飞,在中途截获 并非难事。 互联冈强调互通和信息共享,但这也往往成为引狼人室的后门。一些设立了网站的企业和单位很不注重网络信息安全,信息安全制度不完善、内联网和外联网不分,为不怀好意的黑客提供了畅通无阻的捷径,从而成为企业商业秘密快速泄密的渠道。 在互联网时代,企业商业秘密保护受到严峻挑战。因此,企业应在充分利用互利网带来的便利的同时,积极采取有效措施,防止网络泄密。 互联网信息系统是一个复杂的计算机系统,它本身在物理上、操作上和管理上的种种漏洞构成了 系统安全的脆弱性,尤其是多用户网络系统自身的复杂性、资源共享性使单纯的技术保护防不胜防。网络环境中的保密措施与传统商业秘密的保密措施相比,具有不同的一面。网络信息安全与保密,主要是指保护网络信息系统,是通过计算机、网络、密码技术和安全技术,保护在公用网络信息系统中传输、交换和储存的消息的秘密性、完整性、真实性、可靠性,使其没有危险,不受威胁。
(二)网络环境下商业秘密以数据电文形式存在,通过网络 侵犯商业秘密主要有以下几种情況
1.网络上公布共享软件之注册码 共享软件在试用期满后,其权利人会要求消费者进行注册 (或付费)后,才能继线使用。手是就有某些人破解该软件的注册码(屆商业秘密的一种),并公布在网络上,使其他人可免费下载。该种方式是将软件作为商业秘密进行保护的一种实务模式,对软件的实务保护作者在此不予展开。
2.特商业秘密置放于公共空间,使多数人得以任感下裁、转 载、读取 商业秘密经过公众大量阅读、传播之后,自然丧失了秘密性。
3.利用电子邮件窃取商业秘密 对一名黑客而言,人侵、查看、监视他人的 E-mail 并不是件太复杂的事情(有地址定位与“*马” 程序等多种方式)。因此,随着电子商务的普及应用,对一般公司用户,这样的麻烦是非常有可能過到的。
4.俊入公司内部数据库获取商业秘密 攻击者使用 “最易渗透原则”,必然对系统中最薄弱的地方进行攻击。因此,充分、全面、完整地对系统的安全漏洞和安全威胁进行分析、评估和检測(包括模拟攻击),是设计信息安全系统的必要前提,但是又不能影响系统的正常运行和合法用户的探作活动。这是网络环境中信息保密系统“有效性与实用性相结合”原则的必然要求。 通过互联网侵犯商业秘密最常用的技术方式是电子邮件,由手电子邮件在商业活动中的普避运用,企业和其员工通过电子邮件有意或无意侵害商业秘密的情况屡见不鲜。此外,以FTP传送文件、BBS、新阳组和远程登录等方式都可以造成泄鋸或窃取等对商业秘密的俊告。至于黑客人侵、破坏秘密信息类型的犯罪行为,更属商业秘密的大敌。
(三)保护商业秘密,防范以互联网侵犯公司信息的途径
1、在计算机化的工作场所。应考感各具休工作岗位需要何种信息 这样在设立信息系统的内部屏隊时,才能确保定员只接触其工作所锅的信思。中央控制服务系统分配给每个投权用户一个独特的衙码,这个密码由用户自己保护及保密,密码应该是难以破解的,并定期更换,不再投权使用时,应子删除。
2.严格染止所有庭员进入共他庭员的电子邮件或语音邮件,并且违反这一政策会导致严重的纪律处分
3.涉密计算机不上网 如今,黑客技术能够通过网络侦讯到联网计算机硬盘上的信息,因此,涉密计算机上网,会非常危险。所以,企业应将存储其具有核心竞争力的商业秘密及具有重要经济价值的商业秘密的计算机单独置放,不要连接互联网。
4. 安善安装摄像头 通过摄像头不但会将企业内部的经营活动全部暴露给竞争 对手,而且会造成载有商业秘密的文件泄密。
5. 染止擅自下我、安装与工作无关的程序 由于有些程序会带有间谍软件,若撞自下载,很可能不经意间就被安装了间谍软件,所以,为保护商业秘密,员工不得下载与工作无关的程序。
6.存储在计算机硬盘和安全的中央系统或网络服务器这类介 质上的文件,应该包含一个提示 当用户试图打开某文件时,该提示随即出现并指出试图打开的文件中含有具有南业价值的机密或秘密信息或数据。
7. 公司高层管理者对员工使用至联网行为进行监視 在监视之前应明确告知员 工,工作时间禁止使用公司设各从 李私人活动,公司将监视每一位员工网络中传输的信息,包括使用办公计算机设备传送的私人电子邮件,采用多种方式的网络监督手段,包括拦截传输中的电子邮件、中断电子邮件的传输、追回己删除的电子邮件等。
8.对于员工使用网络传输沙及商业秘密的文件、信息时,可以使用加密计算机程序 取得解密 “钥匙”,信息的被送达人享有该钥起,进行解售取得信息。这种措施对于送达文件、信息途中的场取、窃听,以及员工按错送达对象按钮的情况,可以有效保守秘密。但也要注意员工滥用、钥匙丢失等情況发生。
9.在计算机安全上,来取技术措施 这些技术措施包括:设立识别码和密码认证、防火墙、档案 加密等,保证网络使用的安全。
10.公司确保用合同约束提供外部虚拟主机的网站服务公司,以保证存储在共网沾的数据得到充分的保护
(四)公司内部局城网商业秘密管理 局城网多是将员工的计算机物理连接起来组成的一个网络。只要是物理连接,理论上讲,其中的任意一台计算机都可以访问其他 连在这个网络上正在工作的计算机。有统计表明,50% 的电脑泄密来自于公司内部局城网。因此,加强局域网商业秘密管理非常重要。
(五)局城网网络边界管理 局城网内的安全威胁不同于网络边界的威胁。网络边界安全 技术防范来自 Intemet 上的攻击,主要是防范来自公共的网络服务器如 HTTP 或 SMTP 的攻击。网络边界防范缩成了资深黑客仅仅只需接人互联网、写程序就可访问公司局城网的概率。 局城网内的安全威胁主要源于公司内部。恶性的黑客攻击事件一般都会先控制局城网络内部的一台 Server,然后以此为基地,对 Ineret 上其他主机发起恶性攻击。因此,应在边界咫开黑容 防护措施,同时建立并加强局城网内的防范策略。
1、限制VPN 用户 VPN(虚拟专用网)用户的访问对局城网的安全造成了巨大威胁,因为它们将弱化的桌面探作系统置于企业防火墙的防护之外。 在允许 VPN用户访问公司局城网的同时,避免给每一位 VPN 用户访问内网的全部权限。这样可以利用登录控制权限列表,限制VPN 用户登录权限的级别。即只需赋子他们所需要的访问权限级别即可,如仅赋子其访问邮件服务器或其他可选择的网络资源的权限。
2. 通过单机管理维护局域网安全 在构建内控安全系统方面,防护网络中最薄弱的环节 —桌 面终竭是重中之重。系统应该结合桌面监控审计技术与企业原有部署的网络安全技术,形成技术的整体防范能力;并在企业现有的保密制度基础之上,结合监控車计系统,制定相应的管理措施,增强各级人员安全意识,建立健全保密制度,同时,加强信息安全人员的队伍建设,加强培训,将各项保密工作落到实处,确保各项管理措施得到贯彻执行。 现有的安全系统对桌面终端的日常操作及攻击缺三有效的监控.防护手段,由于网络可以方便地进行资源共享,信息在网络上传物不妥监控,对涉密信息没有采取传输范围和传输前密码授权控制,使得一些涉者信息极有可能通过网络,从一些开放的终 蟠传出去,丽不留痕迹。 对涉谷信息没有进行加密处理或者保护处理,将涉俗信息 通过各种出口,如 USB 接口,串口等方式考贝出去,缺乏必要的监控和年计。电子产品日新月异,小巧易带的软然、光然、U 無,移动硬然,笔记本电脑甚至MP3等可移动存储的磁介质越米趣小,装我的信息量越来越大。公司在计算机上储存的各种商业秘名都可能被泄饼出去。 有的企业没有配各专门的计算机维护管理人员,或者机房管理不严格,无关人员可以随意进出机房。 当机器发生教陈时,随煮叫自己的朋友或非专业公司的人员 进人机房维修,政将发生放隊的计算机送修前不做消酸处理,或不步排少人临修,都会天失沙街数据。
3,限制合作网访问空间 合作作业网也是造成内网安全问题的一大原因。呒然不能控 街台作者的网络安全华略和活动,那么就应该为每一个合作企业创建一个DMZ",并将他们所需要访问的资源放置在相应的 DMZ 中,不允许他们对局城网其他资源访问。
4.时时安全跟踪策咯 商业活动的现状需要企业利用一种自动检測方法来探测商业活动中的各种变化,因此,安全策路也必领与其相适应。例如,实时跟踪企业员工的雇佣和解庭,实时跟踪网络利用情况,并记录与该计算机对话的文件服务器。智能自动执行实时跟踪的安全 策路足有效实现网络安全实践的关键,它带来了商业活动中一大改革,极大地超越了手动安全策路的功效。
5.服务器管理 大型企业网可能同时支持多个服务器传送 E-mail,有的企业网还会出现几十个甚至更多其他服务器监视 SMTP 端口的情况。 这些主机中很可能有潜在的邮件服务器的政击点。因此,要逐个中断网络服务器来进行审查。若一个程序(或程序中的逻辑单元)作为一个Window 文件服务器在运行,但又不具有文件服务器作用,应关掉该文件的共享协议。 若一个局城网上连了千万台主机,首先要对服务器作效益分析评估,然后对局城网的每一台网络服务器进行检查、分类、修补和强化工作,找出重要的网络服务器,并对它们进行限制 管理。
6. 局城网外访问管理 对于过客,不必给子其公开访问局城网的权限。许多安全技术人员执行的“内部无 inlemnet 访问”的饭路,使得员工给客户一些非法的访问权限,导致局城网实时跟踪的困难。因此,须在边界防火墙之外建立过客访问网络块。 排除无意义的无线访问点,确保无线网络访问的强制性和可利用性,并提供安全的无线访问接口。 将访问点置于边界防火墙之外,并允许用户通过 VPN(虚拟专用网)技术进行访问。
(六)电子邮件窃密常用方式与检查技巧 窃密者利用电子邮件盗窃商业秘密,通常有以下几种方法:
(1) 更改企业主页上的邮箱链接,将地址设成自己的。
(2)更改企业局域网服务器上邮件管理器的配置,添加自己的邮箱地址,或者直接改成自己的地址。
(3)通过远程管理程序,阅读、操作目标计算机上的邮件。
(4)在邮件传送过程中,通过分析底层协议,截收、纷听 邮件。 目前,在应用电子邮件进行侵犯商业秘密的案件中,主要使用的是第 (1)、(2) 种方法。对应用这两种方法的分密,我们应重视对网络技术手段的运用,具体来说,在进行检查的过程中,以单机——局域网——互联网为顺序从下面几点进行:
(1)检查目标计算机,尤其应当注重查看邮件管理软件的操作情况,包括是否有删除、修改、持贝等操作记录。
(2) 检查企业主页上电子邮件链接是否被修改,是否被换成其他地址。防止出现计算机页面上一切如常,但邮件的链接己经被更改的情况。
(3) 检查企业局城网服务器上邮件管理器的配置,是否被更改了邮箱地址或设置了并行地址。在操作记录销毀、饮复原米配置的情况下,从单机上无法发现异常。在这种情况下,可以查看服务器的日志文件,从日志文件的操作记录中进行查找,获得该操作发生时间、结束时间等信息。
(4)如果在企业局城网中也未能查到相关、足够的信息,还可以到上级服务器查看近烟邮件信息。一般来说,网络服务提供者都有合理的保存项目,如发送时间、发送结束时间以及合理的保存期限。
(七)信息加密 数据加密能够保护数据在传输过程中不被泄錢,也能防止存储设备丢失后不会轻易泄露其中的秘密数据。有两种基本方法可用来加密数据。 一种是使用不对称 PKI(公共密钥架构)加密。 PKI 密码术基于一对密钥:其中一个仅供私人使用,且只有用户知道,另一个是公共密钥,是交易中供对方使用的。 PKI 技术为隐私、访问控制、文件传输证明以及文件存档和检岽等提供了支特。虽然目前大多数安全厂商都将某些 PKI 技术 融人自己的软件中,但是其设计与部署上的差异有碍于产品间实现互用性。 另一种加密数据的方法是对称密钥保护法,也可称之为密钥加密。通常,这种方法操作起来比 PKI 的速度要快,但其安全性却逊色一筹。对称加密在加密和解密信息时使用相同的密钥。当密钥分布被严格控制在受信任用户时,对称加密最有效。但由于对称加密非常容易被破译,因此,该技术主要用于保护相对而言 不重要且只需保存较短时间的信息或材料。 使用加密技术最简单的方法是购买融合了某些加密形式的商业应用或硬件产品。以微软 Outlook Express 邮件客户端为例,该应用提供了嵌人式加密支持。同时,希推和日立等供应商已开始将加密技术整合到硬驱上。
(八) 电脑与互联网安全操作指引
1.文档透明加密 随者信息经济的发展,企业与外界的沟通日益网络化,企业内外间的线上交流是必不可少的。文档透明加密通过对外发文档的访问权限进行严格控制,以保证企业重要信息不会轻易泄鲜。文档透明加密使企业的重要文档随时处于加密状态,同时不彩响用户的使用习惯,在不知不觉中保护文档安全。另外很重要的一点是,文档透明加密可以对外发文档的安全进行良好的管理。
2.移动存储管控 在各类信息化产品中,U盘、移动硬盘、数码儲存卡等移动存储产品被广泛应用,而尤以U 盘为甚。对于不少企业而言,移动存储设备方面基本没有什么管理措施,公司与个人的混用,工作与生活的不分,办公室里U盘随意混用。在这样的温床中,孕育出病毒泛滥的境况以及接二连三的信息泄露事件就不足为奇了,而后者的后果往往要严重得多。 由于企业自身不重祝,再加上移动存储设各本身的管理难度,移动存储往往成为企业信息安全的软肋,比如近年来各种U 登泄密事件层出不穷。如何管理移动存储设各?目前来说,有以下几种方法:一是封堵,对于从企业外部带人的移动存储设各葵 止使用,只允许使用公司规定的设备,二是设各加密,对移动设备的文档进行权限管理,即便有人利用移动存储将企业重要文档带出也无法正常打开。 当然在实际管理过程中,除了技术上的管控,最好配合以严格的移动存储设各管理制度,对企业内部移动存储使用进行详细的记录,这样才能更好地让移动存储管理纳人有秩序的轨道,保护企业重要文档的安全。
3.邮件管控 在企业发往外界的邮件中,往往附带着很多与企业南业秘窗相关的信息,如果对这些邮件不进行安全控制,机密信息为兗争对手获取,或者为其他人用于商业用途,后果不堪设想。 目前对于电子邮件的安全控制,一般买用的解次力法包括规 施企业内都使用邮箱,建立公司专用邮箱,辣止其他炎型的邮箱,或者对外发电子邮件时进行关键宇过滤,如邮件主题、附件名中包括指定关键宇的邮件不能正常发送。任何一种管控方式都能起到一定的效果,但酸合型的产品会更有成效。
4.即时通讯管拉 0Q、MSN、FETION 等即时通讯工具己经成为我们日常生活的必要组成部分,对于企业情况也差不多。高节奏的商业形态 必领要求实时的通讯工具,但一方面很多人把即时通讯工具当傚打发工作时间的渠道,另一方面企业信息泄鐸的风险也随之提升。企业可以直接将即时通讯工具茶止,但事实上无法如此彻底,总会因为各种原因必领开放些通道。于是很多企业选择对即时通讯工具进行审查,主要是对通讯内容的审查,包括对传输文件的各份,通过这种方式可以产生一种强大的心理威慨力,令不良人士知难而退。 根据企业文档的重要性;进行分类,对于非常重要的文档,如对指定格式或者指定文件夹下的文档,可以禁止即时通讯程序对 其进行访问。
5.文格揉作管拉 企业的多数数据是以电子文档形式存在的,因此,保护企业的信息安全很大程度上可以说就是保护企业的重要文档的安全。 文档是企业办公的基础,也是各种信息安全保护手段的中心。文档在企业内部流转的生命周期,包括创建、访问、修改、删除、重命名、移动、复制、快复八大环节,文档操作管控就是对文档 全生命周期进行管理,对文档在企业中传播的每一个环节都记录在案,从而实现对文档安全的精细化控制。 对于企业文档安全的控制,一般存在两种典型的应用场最。 一是当企业中有一些重要交档,不允许任意用户对其进行修改或者船除,所以要对部分员工的权限进行控制,使其只能访问文档,不能修改与刷除文档。三足企业在办公过程中,有可能因为失误而删除了重要的文档。文档操作管控可以限制用户使用文档的权限,同时在文档被复制与刷除前自动备份,防止用户误州。 为更好地利用文档操作管控功能,最好一开始查清楚不同的文档安全需求,比如哪些文档需要各份,哪些不需要,如果不进行区分一律设置备份,则可能造成大量的数据累积,一方面没有必要,另一方面给系统增加负担。
6.设备管控 企业的许多I设备,尤其是存储设备如移动硬盘、光驱、刻录机等,都属于可能的信息泄露渠道,而且现在新设各每隔一段时间就会更新,这给企业的信息安全带来很大的风险,因此对 这些通道必领进行严格控制。 对于这些设备,有很多是企业正常工作非常用性设备,有一些甚至极少用到,因此,可以对这部分设备的使用进行禁止,如有需要可临时开放权限。在对这一功能进行选型时有两点需要注意,一是管控设备的种类宜多多益善,并具备灵活的扩展性,三是管控的力度宜精细,不应仅采取一刀切的方式,对所有设各统一允许或者禁止。
7.应用程序管理 许多企业都存在工作时间炒股、玩游戏、聯天、BT 下载箏 现系,从办公效果上说,这种状况会降低企业的工作效率,因为工作时间分配与企业网络流量分配不合理。而更可怕的是,滥用网络与系统资源还可能将暗藏于互联网的安全隐惠带人企业网络 内,威胁系统安全。 对于这种情况,企业可以直接将不符合规定的应用程序禁止。当然有些程序如 QQ,可能是公司与外部即时沟通的必婴工具,因此,不得不开放权限,但是又担心有员工利用这些通道做一些与工作无关北至伦售企业信息安全的水悄。这种情况下首先可以严格徑理使用这些程序的终爛,其次对其进行详细的操作律计,记录通信内容、通信时间等信息,一方面从心理上产生一定的威慑力,另一方面当出现问题时可以随时进行查询。 8.网页浏览管理 目前,利用浏览器进行计算机攻击的行为大大增加,人们在享受到丰富网络大餐的同时,也面临着大量的安全风险。病 番、“木马”、蠕虫、钓鱼网站……不经意间计算机就可能成为病毒的宿主,虽然有防火墙、防病毒软件,但还是无法遏制病 蒜的叫露与人侵。
案例:香港“鸿奉案”
当今,反谍活动已成为香港各行各业公司老总的必修 课,三天两头约请电脑专家和防窃密技术人员上门,使用最新仪器检查公司的电脑和网络,查看有没有黑客入侵,自己的办公室以及住宅是否暗藏窃听装置。 从事服务业的鸿天实业公司曾有良好的经营业绩,但 1999年下半年却出现了奇怪的现象:老主顾一个个流失,生意大受影响。老板求助于一家国际性商业情报顾问公司,最后找到了症结所在。原来,1999年3月,该公司一名主管辞职,白建奉天公司,并在鸿天公司的势力范團内向客户提供同类型服务,价格还稍有优惠。询查结果显示,该主管 利用职务之便,获得了鸿天公司的计算机密码,在辞职后大肆窃取原公司容户资料和价格信息,并据此制定相应的市场推广战略和价格政筑,把容户逐个挖到奉天公司。 万般无奈的鸿天公司最后向法庭提起了诉讼,因证据 确凿,最终迫使奉天公司按鸿天公司开出的条件在庭外达成和解。虽失而复得,但价格已无法回到原位。一进一出,鸿天公司的老板白白损失了780 万港币。吃一堑长一智,该公司吸取教训,设立了严格的资讯保密制度,计算机系统也安装了反 间谍装量,避免商业问谋轻易我取自已的情报。
上一篇:第六节 涉密员工管理--2
下一篇:第七节 技术开发中的商业秘密管理