◆魏绍波

（中石化国际工程公司 北京 100728）

浅论企业的数据安全

◆魏绍波

（中石化国际工程公司 北京 100728）

企业应高度重视数据安全，采取多种措施和手段，从多层面、多角度综合考虑，防止关键数据丢失、破坏或被非法利用。

数据安全；网络安全；安全措施

0 引言

在当今数字化、网络化的时代，工作和生活都变得非常方便和高效。然而，在我们享受各种日新月异的现代化工具带给我们的便利时，数据安全的隐患也时时威胁着企业的商业价值甚至生存。

安全和方便很多时候是一对矛盾，采用越多的安全措施，就往往意味着更多的手续和程序，增加额外的管理成本。所以在制定具体的措施前，企业需要评估自己的风险点有哪些，在风险、成本、便利之间找到一个合理的平衡点。

企业首先要在全公司范围内调查和确认究竟哪些数据是重要的，失去这些数据可能带来的后果，这些数据被竞争对手拿去可能导致的结果，被不应该知道的“好事者”知道后可能带来的问题。重要的数据对企业而言至少包括专利技术、合同条款、历史数据、生产资料、商业计划、招标条件、标书报价、成本利润等等不宜公开的敏感内容。这些信息如果让竞争对手取得，或者发生意外故障丢失，就可能让自身陷入被动，甚至造成经济损失。认真评估这些风险后，就能发现哪些数据对公司有重大意义，因而必须采取必要的手段加以保护。

1 加强企业数据安全的具体措施

1.1 员工安全意识

员工安全意识的教育和培养，是所有数据安全中最重要的环节。再好的制度，也需要人来执行。再好的设备，也需要人来操作。所以企业应有计划的培养和强化员工的安全意识、安全习惯。例如，和外面的人员平时聊天时，员工如果轻易透露了重要领导的行程，这就可能会让“别有用心”的人猜测到公司的下一步商业计划。公司的利润指标、财务数据等，对于内部人员可能不觉得是一回事情，但是对于竞争对手，就可能从其中挖掘出很多相关信息来。所有这些，都要求从提高员工的安全意识来防患于未然。

从HR的角度来说，与所有员工签订保密协议，或者同业竞争协议（例如关键岗位离职后多长时间不能到竞争对手公司上班），也是企业整体数据安全的重要一环。

1.2 主机安全

全体员工的个人电脑都应该要求设置开机密码（BIOS密码），这样员工不在办公室时别人不可能轻易打开电脑读取其中的文件。可能的情况下可设置硬盘密码，即使硬盘被人盗走，其上的数据也不可能被读出。必须设置屏保密码，这样当临时出门时，不会有人去偷看上面正在编辑的文件。密码还必须有一定的复杂度，不能被轻易猜中。虽然密码不能绝对保证安全，但有密码和没有密码的安全程度差别还是非常大的。另外，所以员工电脑必须强制安装正版防病毒软件，并根据统一策略定期更新和查杀。

1.3 邮件安全

建议员工统一使用outlook/exchange方式收发邮件，尽量不使用POP/SMTP的邮件客户端，同时重要邮件使用公司账号发送和接收，并可考虑发送时对邮件进行加密传送。事实上，很多商业伙伴也只接受从公司邮箱账号发出的邮件。

对于公司的邮件群发账号，也必须进行授权管理，例如只有指定的人才能使用全体员工的群发账号发送通知，这可以有效的防止邮件钓鱼软件或者通过邮件扩散的病毒的影响范围。当然，这也可以防止心怀不满的内部员工在全公司范围内制造舆论或者其他麻烦。

1.4 移动介质

U盘和移动硬盘是现在非常流行的数据传递工具，但是其中的安全隐患不可不知。当我们用自己的U盘插入别人的电脑拷贝文件时，就可能感染别人电脑上的病毒。而当别人使用U盘插到我们的电脑上拷贝文件，“别有用心”的U盘就可能自动扫描并悄悄拷走我们电脑上的敏感资料。难怪有些公司（例如沙特阿美公司）办公室的电脑主机上一概禁止使用U盘。

1.5 网络欺诈

钓鱼网站、欺诈邮件、网络色情陷阱等等都是骗取用户账号或密码的手段。或者通过QQ等聊天工具，在传送的文件中植入木马，用于盗取资料。还有通过分析背景、家庭、职业等个人信息，或者QQ聊天或社会交往等等获取信息，再根据这些信息猜口令，并进一步获取敏感资料。

1.6 WiFi安全

很多场所都提供无线WiFi服务，但是有些免费的WiFi可能就是别有用心的人坐等你上钩的陷阱。如果通过这种恶意WiFi上网，各种账号和密码信息都均可暴露于风险之中。另外，对于很多企业来说，如果办公室的无线WiFi信号过强，围墙外的人甚至都可以接入你的网络的话，那么就直接给别人进入企业内网提供了天然的便利。

1.7 物理防护

企业应设置门禁系统，不让不该进入的人员随意进出，减少风险暴露。另外，在办公场所应安装视频监控，万一有事情发生时也可以发现线索。对于重要文字档案，必须存放于上锁的房间。员工下班时，敏感资料不应随意放置于桌面上，而是应该放入抽屉并上锁。对于办公室的笔记本电脑，也最好配备电脑防盗锁链，这样就不会被轻易盗走。员工的私人朋友不宜带进工作区，会客区和主工作区分离，访客必须有被访者的陪同，不能单独留在办公室。

1.8 网络层的安全

网络边界必须放置防火墙，并做好必要的策略配置。企业内网里，对于敏感的部门（例如财务部，总经理办公室）等，可以在不同VLAN间设置访问控制，只对授权用户在网络层给予准许。对于在现场的临时办公室，员工可以通过VPN接入办公室网络，保证数据传输通道的安全。

1.9 手机终端

现在的智能手机功能强大，虽然其体积小、重量轻、便于携带，但其运算能力并不亚于一台个人电脑，很多企业应用（例如公司邮件，财务、OA软件）就运行在手机终端上。手机的安全有两方面，一是保护自己的手机不被非法使用，这要求员工在手机上设置开机密码，包括SIM卡的PIN码和PUK码。二是防止别人利用手机偷录或者窃听，因此在重要会议或现场，有必要要求到场人员将手机临时放在在门口统一管理。

1.10 数据备份

定期数据备份是数据安全保护的有力手段，对重要的数据，还要做到异地备份。这样万一发生灾难（例如机房失火）的时候，可以保证企业的生产和业务数据还是安全的。

1.11 安全事故报告

如果发生数据安全事件，例如电脑丢失、病毒入侵、密码被盗等等，必须要求员工将事件立即报告给公司相关人员，并由专人评估可能造成的影响和损失，需要的话采取适当的事后措施来减少损失。

2 总结

虽然说没有绝对的安全，但采用上述安全措施后，配合员工的安全意识，加上企业的制度化保证，整体上必然会减少企业发生重大数据安全事件的概率。

[1]张营海.浅论企业信息系统的数据安全[J].齐鲁石油化工，2003.

[2]肖劲.企业网络安全问题探讨[J].计算机光盘软件与应用，2013.