李 楠

（陕西能源职业技术学院，陕西咸阳 712000）

近几年数据泄露事件越发普遍，企业需要承担的泄露成本也越来越高，据IBM的年度数据泄露成本报告发现，数据泄露的平均总成本接近400 万美元。隐私安全和数据保护成为了当下企业不得不面对的严峻问题[1]。酿酒企业规模、产值巨大，每天产生的利润十分可观。在此背景下，对自身信息泄露风险情况必须有一个准确了解，这对于明确自身经营发展状况、行业定位、制定正确的发展战略具有重要的现实意义。

绩效评价是依照公司或组织构建的指标评价体系，按照预先确定的标准和一定的评价程序定性、定量分析公司或组织整体经营状况的一种方法。而信息泄露风险评价仅仅是针对企业财务状况进行的评估，不代表企业的整体发展状况。目前绩效评价主要有基于BP 神经网络的绩效评估、基于灰色关联的绩效评估等几种[2]。以上这些评价方法虽然能够得到一定的评价结果，但是只对企业的短期财务评价状况有效，评估结果具有一定的局限性。

针对上述情况，研究白酒企业信息泄露风险与防范措施。

1 白酒企业信息泄露风险

在白酒企业信息泄露风险研究中，通过数值展现绩效情况的途径[3-4]。选择层次分析法进行权重计算，选择原因如下：应用较多，有大量实践经验可以借鉴，相对更为成熟；企业绩效评价需要考虑多层次、多因素，层次分析法更契合[5]。总结了以下6种常见的数据泄露事故。

1.1 黑客窃取数据

在日常生活中，数据泄露防不胜防，黑客能以各种我们意想不到的方式来攻击网络入侵服务器，窃取数据。据美国网络安全公司RiskIQ 研究数据显示，目前全球每分钟就有1.5 家组织遭受勒索软件攻击，企业平均损失15221美元。

1.2 员工失误

企业机构更多的数据泄露事故常常是内部人员疏忽和意外造成的。Shred-it 的一项研究发现，40%的高级管理人员和小企业主表示，疏忽和意外损失是他们最近一次安全事件的根本原因。

1.3 员工有意泄露

前雇员或在职人员，可能是造成数据泄露最大的出口。内部员工尤其是肩负重要职位的涉密人员，通常是企业机构最先得到及获得最多数据的，他们会在各种可能下出卖或带走数据。2017 年1月17 日，华为公司就曾内部通报了已离职的6 名员工涉嫌侵犯知识产权，将公司商业机密泄露给竞争关系公司，涉嫌构成侵权的专利估值高达300万元。

1.4 通信风险

通信是我们日常工作和生活中无处不在的一部分，而通信工具的漏洞和风险无处不在（包括常见的即时通讯工具）。最令人恐惧的是，大量员工使用个人设备或个人帐户来传送敏感信息，这些简单的社交工具既无监管又无防护措施很容易造成数据泄露。以医疗保健行业为例，近30 %的医疗保健团队成员承认使用个人设备或公共网络来传送患者私人的详细信息。

1.5 网络诈骗

微软的一项分析发现，网络钓鱼诈骗今年增长了250%。电子邮件成为了钓鱼诈骗的重灾区，公司收件箱垃圾邮件泛滥成灾，其中不乏混杂着各种诈骗邮件。同时，黑客击破单个员工可能会泄露大量公司数据。

1.6 电邮泄露（图1）

图1 白酒企业各金融业务风险统计

通常，数据泄露或侵犯隐私只是越来越多的网络犯罪中的第一滴血。安全公司Risk Based Security 的一份报告指出，电子邮件地址及密码是在线数据中最受欢迎的，在所有数据泄露事件中有70%发生在电子邮件中。

1.7 核心技术被窃，业务中断

数据被窃取破坏，会严重影响业务的开展，计划、设计或其他知识产权被盗、从数据库中泄露机密的客户信息，这些都会导致销售损失、市场份额损失、产生法律费用、增加劳动力成本等等。企业已经离不开信息化应用，网络环境带来的不确定因素正在与日俱增，信息安全问题所带来的影响巨大。

1.8 用户风险

用户对信息数据泄露带来的推销、诈骗以及各种骚扰已不厌其烦，如果企业对用户的数据没有尽到保护职责，用户会对该企业的数据保护产生质疑，从而对其不再信任，一旦某个企业被曝泄露用户的信息数据，必将成为大众严厉指责的对象，信誉大受打击。

2 白酒企业信息泄露风险防范措施

为进一步提升白酒企业抵御风险的能力，使风险防范工作更加有效地融入中心、服务中心、促进中心，在思想认识、责任担当、方法措施[6-8]方面，白酒企业深入开展“五位一体”风险防范体系运行工作，努力增强公司在转型发展关键时期抵御风险的能力，助推年度计划预算完成，为实现“十三五”规划保驾护航。

2.1 泄密风险管理系统框架（图2）

从制度、职责、流程、标准、考核5 个方面（“五位一体”），健全失泄密风险管理体系[9-10]。

图2 风险管理系统框架，强化了全体干部职工时时、事事、人人防范风险的意识，提升公司抵御风险，将发生各类风险的可能性降到最低，将发生风险的危害程度降到最低，从而营造企业奋发向上的精神环境、扶正祛邪的舆论环境、健康和谐的人文环境，确保无人发生“四种形态”中的“第三种、第四种”形态，确保无百万以上经济损失，确保无群体不稳定事件发生，确保年度计划预算完成。

2.2 风险防范措施

企业应尽快建立保密管理规章制度。企业可参照国家保密部门已经颁布的一系列保守国家秘密的制度，结合商业秘密的不同特点，针对企业自身各种可能的泄密途径，制定一整套有关企业秘密保护的制度。

商务密邮建议：规范企业管理制度，设置权限管理，加强防护工作。涉及个人重要信息、财产安全、机密资料的系统，使用独特的登录名和高强度的复杂密码，且不能一套密码登录多个系统，必要时建议对数据进行加密，确保数据安全、财产安全。

对于企业、政府机构的邮件安全而言，应尽快部署：邮件防泄漏系统、邮件加解密系统、垃圾邮件过滤系统、邮件数据备份等系统。有必要使用独立的邮件加密客户端，从数据源头在对邮件进行高强度加密的基础上，商务密邮邮件防泄漏系统可针对邮件正文、附加文件、文档、文本进行扫描，未经授权时，任何涉密内容发出将立刻进行阻断，并上报进行审批，同时采取离职管控、邮件详情跟踪、禁止转发、邮件水印、强制加密、阅后即焚、邮件复锁等功能，全面防控邮件数据不泄露。

数据保护需要从数据根源出发，不仅需要对数据的存储进行保护，对涉及数据的各类应用也需要做到全面管控，还有终端网络应用以及接入终端的各类设备也需要得到针对性管理。在这方面，IPguard 一体化终端安全管控系统就可以帮助企业对信息数据进行全面保护，让企业在变化无常的网络中也可以实现可控透明化的终端管理。

图2 泄密风险管理系统框架

（1）文档加密：帮助企业对重要数据进行加密保护管理，保护数据安全，防止被随意篡改、删除。

（2）敏感内容重点保护：通过敏感内容识别技术，帮助企业智能识别各个位置的敏感内容，并对该敏感内容的操作和流转行为进行记录和审计。

（3）终端操作管控：帮助对终端文档操作、打印、移动设备、U 盘、应用程序、网页浏览、即时通讯、邮件等各种应用进行规范，减少泄密风险。

（4）审计操作行为：帮助统计分析用户操作行为，及时发现潜在泄密风险，发生泄密时还可快速追溯泄密全过程。

（5）重要文档备份：将文档存储到特定的备份服务器进行管理保护，当出现误删、感染勒索病毒或硬盘损坏等导致文件被损坏，都可从备份服务器将文件恢复到终端。

（6）终端准入管理：防止非授权计算机对指定网络进行非法访问，计算机设备接入企业内部网络对服务器、互联网等访问时，需要经过准入网关严格的审核。

（7）IT 运维管理：单一控制台即可对所有终端计算机实行统一管理和维护，自动对系统漏洞进行扫描并根据需要修补，远程处理故障问题。

3 结束语

白酒作为中国历史最为悠久的饮品之一，在饮食行业具有重要地位，白酒企业极具规模，在白酒企业发展过程中，信息泄露风险评估成为稳定企业发展的关键要素，它是企业进行战略决策的基础和支撑。先进的设备、先进的计算机安全防范技术，只能阻止网上“黑客”的有意破坏，但对内部工作人员的非法活动却很难控制。因此，人员的管理也是金融信息防范工作的一个重要环节。

（1）重视人才的选拔和竞争机制。在当时的金融环境下，各金融机构掀起了一波引进高素质和高技术人才的浪潮，不过，随着时间的推移，一味的引进人才不仅成本高，而且对金融企业本身不一定达到百分之百的忠诚，如果引进的人才再次跳槽，就有可能对原企业金融信息造成泄露，尤其是近些年来，金融信息对于企业的重要性越来越突显，因此，金融企业内部更愿意自己培养高素质、高技术的信息技术专业人才，这些人才对企业的忠诚度普遍偏高，而且熟悉企业的管理模式，能快速适应环境，更利于对金融信息风险的防控。

（2）建立和完善信息风险防范问责机制。金融企业内部对金融信息防范的规章制度再完善，也需要员工和管理人员共同遵守才能达到良好的预期和效果，因此，金融企业在金融信息风险的防控问题上需要明确责任分工，完善问责机制，对金融信息内部人员泄漏问题进行约束。

（3）提高风险管控和内部控制法律意识。不断建立强化内控机制对金融信息风险防范的重要作用的意识，让金融企业管理人员做好内控工作，上行下效，潜移默化地把内控意识传输给下一级员工，使内控机制的氛围铺展开来，与此同时，金融企业内部还要开展有关内控机制的演讲，使员工们逐渐受到影响，不断的提高意识和认识，把金融信息风险的苗头扼杀在企业的内部。