時間:2020年09月23日 分類:科學技術論文 次數:
摘 要: 為進一步提升白酒企業抵御風險的能力,研究白酒企業內部成本信息泄露風險及防范措施。 選擇層次分析法多層次、多因素總結了以下 6 種常見的數據泄露事故:黑客竊取數據、員工失誤、員工有 意泄露、通信風險、網絡詐騙、電郵泄露,統計白酒企業各金融業務風險,提出如下防范措施,從制度、職 責、流程、標準、考核 5 個方面(“五位一體”),健全失泄密風險管理體系。企業可參照國家保密部門已經 頒布的一系列保守國家秘密的制度,規范企業管理制度,設置權限管理,加強防護工作,從數據源頭對郵 件進行高強度加密,重視人員的管理也是金融信息防范工作。
關鍵詞: 白酒企業; 內部成本; 信息泄露風險; 防范
近幾年數據泄露事件越發普遍,企業需要承擔 的泄露成本也越來越高,據 IBM的年度數據泄露成 本報告發現,數據泄露的平均總成本接近 400 萬美 元。隱私安全和數據保護成為了當下企業不得不 面對的嚴峻問題[1] 。釀酒企業規模、產值巨大,每天 產生的利潤十分可觀。在此背景下,對自身信息泄 露風險情況必須有一個準確了解,這對于明確自身 經營發展狀況、行業定位、制定正確的發展戰略具 有重要的現實意義。
績效評價是依照公司或組織構建的指標評價體系,按照預先確定的標準和一定的評價程序定 性、定量分析公司或組織整體經營狀況的一種方 法。而信息泄露風險評價僅僅是針對企業財務狀 況進行的評估,不代表企業的整體發展狀況。目前 績效評價主要有基于 BP 神經網絡的績效評估、基 于灰色關聯的績效評估等幾種[2] 。
以上這些評價方 法雖然能夠得到一定的評價結果,但是只對企業的 短期財務評價狀況有效,評估結果具有一定的局 限性。 針對上述情況,研究白酒企業信息泄露風險與防范措施。
1 白酒企業信息泄露風險
在白酒企業信息泄露風險研究中,通過數值展 現績效情況的途徑[3-4] 。選擇層次分析法進行權重 計算,選擇原因如下:應用較多,有大量實踐經驗可 以借鑒,相對更為成熟;企業績效評價需要考慮多 層次、多因素,層次分析法更契合[5] 。總結了以下 6 種常見的數據泄露事故。
1.1 黑客竊取數據
在日常生活中,數據泄露防不勝防,黑客能以 各種我們意想不到的方式來攻擊網絡入侵服務器, 竊取數據。據美國網絡安全公司 RiskIQ 研究數據 顯示,目前全球每分鐘就有 1.5 家組織遭受勒索軟 件攻擊,企業平均損失 15221美元。
1.2 員工失誤
企業機構更多的數據泄露事故常常是內部人 員疏忽和意外造成的。Shred-it 的一項研究發現, 40 %的高級管理人員和小企業主表示,疏忽和意外 損失是他們最近一次安全事件的根本原因。
1.3 員工有意泄露
前雇員或在職人員,可能是造成數據泄露最大 的出口。內部員工尤其是肩負重要職位的涉密人 員,通常是企業機構最先得到及獲得最多數據的, 他們會在各種可能下出賣或帶走數據。2017 年 1 月 17日,華為公司就曾內部通報了已離職的 6名員 工涉嫌侵犯知識產權,將公司商業機密泄露給競爭 關 系 公 司 ,涉 嫌 構 成 侵 權 的 專 利 估 值 高 達 300 萬元。
1.4 通信風險
通信是我們日常工作和生活中無處不在的一 部分,而通信工具的漏洞和風險無處不在(包括常 見的即時通訊工具)。最令人恐懼的是,大量員工 使用個人設備或個人帳戶來傳送敏感信息,這些簡 單的社交工具既無監管又無防護措施很容易造成 數據泄露。以醫療保健行業為例,近 30 %的醫療 保健團隊成員承認使用個人設備或公共網絡來傳 送患者私人的詳細信息。
1.5 網絡詐騙
微軟的一項分析發現,網絡釣魚詐騙今年增長了 250 %。電子郵件成為了釣魚詐騙的重災區,公 司收件箱垃圾郵件泛濫成災,其中不乏混雜著各種 詐騙郵件。同時,黑客擊破單個員工可能會泄露大 量公司數據。
1.6 電郵泄露通常,數據泄露或侵犯隱私只是越來越多的網 絡犯罪中的第一滴血。安全公司 Risk Based Security 的一份報告指出,電子郵件地址及密碼是在線 數據中最受歡迎的,在所有數據泄露事件中有 70 %發生在電子郵件中。
1.7 核心技術被竊,業務中斷 數據被竊取破壞,會嚴重影響業務的開展,計 劃、設計或其他知識產權被盜、從數據庫中泄露機密 的客戶信息,這些都會導致銷售損失、市場份額損 失、產生法律費用、增加勞動力成本等等。企業已經 離不開信息化應用,網絡環境帶來的不確定因素正 在與日俱增,信息安全問題所帶來的影響巨大。
1.8 用戶風險 用戶對信息數據泄露帶來的推銷、詐騙以及各 種騷擾已不厭其煩,如果企業對用戶的數據沒有盡 到保護職責,用戶會對該企業的數據保護產生質 疑,從而對其不再信任,一旦某個企業被曝泄露用 戶的信息數據,必將成為大眾嚴厲指責的對象,信 譽大受打擊。
2 白酒企業信息泄露風險防范措施
為進一步提升白酒企業抵御風險的能力,使風險防范工作更加有效地融入中心、服務中心、促進 中心,在思想認識、責任擔當、方法措施[6-8] 方面,白 酒企業深入開展“五位一體”風險防范體系運行工 作,努力增強公司在轉型發展關鍵時期抵御風險的 能力,助推年度計劃預算完成,為實現“十三五”規 劃保駕護航。
2.1 泄密風險管理系統框架
從制度、職責、流程、標準、考核 5 個方面(“五 位一體”),健全失泄密風險管理體系[9-10] 。 強化了全體干部職工 時時、事事、人人防范風險的意識,提升公司抵御風 險,將發生各類風險的可能性降到最低,將發生風 險的危害程度降到最低,從而營造企業奮發向上的 精神環境、扶正祛邪的輿論環境、健康和諧的人文 環境,確保無人發生“四種形態”中的“第三種、第四 種”形態,確保無百萬以上經濟損失,確保無群體不 穩定事件發生,確保年度計劃預算完成。
2.2 風險防范措施
企業應盡快建立保密管理規章制度。企業可 參照國家保密部門已經頒布的一系列保守國家秘 密的制度,結合商業秘密的不同特點,針對企業自 身各種可能的泄密途徑,制定一整套有關企業秘密保護的制度。 商務密郵建議:規范企業管理制度,設置權限 管理,加強防護工作。涉及個人重要信息、財產安 全、機密資料的系統,使用獨特的登錄名和高強度 的復雜密碼,且不能一套密碼登錄多個系統,必要 時建議對數據進行加密,確保數據安全、財產安全。
對于企業、政府機構的郵件安全而言,應盡快 部署:郵件防泄漏系統、郵件加解密系統、垃圾郵件 過濾系統、郵件數據備份等系統。有必要使用獨立 的郵件加密客戶端,從數據源頭在對郵件進行高強 度加密的基礎上,商務密郵郵件防泄漏系統可針對 郵件正文、附加文件、文檔、文本進行掃描,未經授 權時,任何涉密內容發出將立刻進行阻斷,并上報 進行審批,同時采取離職管控、郵件詳情跟蹤、禁止 轉發、郵件水印、強制加密、閱后即焚、郵件復鎖等 功能,全面防控郵件數據不泄露。
數據保護需要從數據根源出發,不僅需要對數 據的存儲進行保護,對涉及數據的各類應用也需要 做到全面管控,還有終端網絡應用以及接入終端的 各類設備也需要得到針對性管理。在這方面,IPguard 一體化終端安全管控系統就可以幫助企業對 信息數據進行全面保護,讓企業在變化無常的網絡中也可以實現可控透明化的終端管理。
(1)文檔加密:幫助企業對重要數據進行加密 保護管理,保護數據安全,防止被隨意篡改、刪除。
(2)敏感內容重點保護:通過敏感內容識別技 術,幫助企業智能識別各個位置的敏感內容,并對 該敏感內容的操作和流轉行為進行記錄和審計。
(3)終端操作管控:幫助對終端文檔操作、打 印、移動設備、U 盤、應用程序、網頁瀏覽、即時通 訊、郵件等各種應用進行規范,減少泄密風險。
(4)審計操作行為:幫助統計分析用戶操作行 為,及時發現潛在泄密風險,發生泄密時還可快速 追溯泄密全過程。
(5)重要文檔備份:將文檔存儲到特定的備份 服務器進行管理保護,當出現誤刪、感染勒索病毒 或硬盤損壞等導致文件被損壞,都可從備份服務器 將文件恢復到終端。
(6)終端準入管理:防止非授權計算機對指定 網絡進行非法訪問,計算機設備接入企業內部網絡 對服務器、互聯網等訪問時,需要經過準入網關嚴 格的審核。
(7)IT 運維管理:單一控制臺即可對所有終端 計算機實行統一管理和維護,自動對系統漏洞進行 掃描并根據需要修補,遠程處理故障問題。
3 結束語
白酒作為中國歷史最為悠久的飲品之一,在飲 食行業具有重要地位,白酒企業極具規模,在白酒 企業發展過程中,信息泄露風險評估成為穩定企業 發展的關鍵要素,它是企業進行戰略決策的基礎和 支撐。先進的設備、先進的計算機安全防范技術, 只能阻止網上“黑客”的有意破壞,但對內部工作人 員的非法活動卻很難控制。因此,人員的管理也是 金融信息防范工作的一個重要環節。
(1)重視人才的選拔和競爭機制。在當時的金 融環境下,各金融機構掀起了一波引進高素質和高 技術人才的浪潮,不過,隨著時間的推移,一味的引 進人才不僅成本高,而且對金融企業本身不一定達 到百分之百的忠誠,如果引進的人才再次跳槽,就 有可能對原企業金融信息造成泄露,尤其是近些年 來,金融信息對于企業的重要性越來越突顯,因此,金融企業內部更愿意自己培養高素質、高技術的信 息技術專業人才,這些人才對企業的忠誠度普遍偏 高,而且熟悉企業的管理模式,能快速適應環境,更 利于對金融信息風險的防控。
(2)建立和完善信息風險防范問責機制。金融 企業內部對金融信息防范的規章制度再完善,也需 要員工和管理人員共同遵守才能達到良好的預期 和效果,因此,金融企業在金融信息風險的防控問 題上需要明確責任分工,完善問責機制,對金融信 息內部人員泄漏問題進行約束。
金融論文投稿刊物:《科技通報》由浙江省科學技術協會主管主辦。國際刊號ISSN:1001-7119;國內刊號CN:33-1079/N,郵發代號:32-95。讀者對象主要為高等院校、科研機構、農、衛、醫等系統的中、高級科技人員和在校碩、博研究生。
(3)提高風險管控和內部控制法律意識。不斷 建立強化內控機制對金融信息風險防范的重要作 用的意識,讓金融企業管理人員做好內控工作,上 行下效,潛移默化地把內控意識傳輸給下一級員 工,使內控機制的氛圍鋪展開來,與此同時,金融企 業內部還要開展有關內控機制的演講,使員工們逐 漸受到影響,不斷的提高意識和認識,把金融信息 風險的苗頭扼殺在企業的內部。
參考文獻:
[1] 朱慧萍.白酒企業品牌價值評估方法及案例分析[J].科 技通報,2017,33(6):257-261.
[2] 唐永軍.抑制計算機信息泄露的屏蔽技術分析[J].科技 創新導報,2019,16(15):2-3.
[3] 高妍.運營商客戶信息泄露的成因與防范措施淺析[J]. 信息通信,2019(4):258-259.
[4] 郭冠廷.大數據時代防范信息泄露的策略研究[J].科技 經濟導刊,2018(26):181-182.
[5] 呂明哲.大數據時代企業計算機信息安全防范策略分析 [J].中國新通信,2018,20(13):153.
作者:李 楠