企业泄密途径研究综述

2014-04-17 01:05
江苏科技信息 2014年9期
关键词:窃密商业秘密局域网

陈 进

(江苏国瑞信安科技有限公司,江苏南京 )

0 引言

每个企业都有自己的保密信息,最典型的就是商业秘密,商业秘密是指不为公众所知悉、能为权利人带来经济利益,具有实用性并经权利人采取保密措施的技术信息和经营信息[1],此外可能还包括企业自身的一些敏感数据,比如运营数据、用户数据、员工信息等。尽管企业想方设法避免这些信息被公众或者竞争对手知晓,但是在利益的驱动下,很多竞争企业或者个人都对这些信息虎视眈眈,再加上企业的保密措施经常出现漏洞,导致泄密的案例层出不穷,有些泄密事件则对企业造成了巨大损失。因此,防范私密信息不被非法泄露已经成为了现代企业的重要工作之一,而在采取防范措施之前,必须明确信息可能通过哪些途径被泄露,进而采取针对性措施。

通过文献调研发现,2000年以后,关于泄密途径方面的研究和分析已经有了不少的成果,很多学者都对各种可能的泄密途径进行过分析,但是研究成果相对分散,并没有文章对相关的泄密途径进行总结,而本文正是关注企业秘密泄漏的所有可能途径,对已有的研究成果进行总结,为企业有效地防护信息泄露提供借鉴。经过总结,企业泄密的途径可分为计算机泄密、员工泄密、通信泄密、和其他途径泄密。

1 企业泄密途径研究总结

1.1 计算机泄密

在现代企业中,无论是IT企业还是传统企业,计算机都是不可或缺的办公自动化设备,从工作人员的个人PC,到企业的服务器主机,企业的机密信息往往就存储在计算机上。因此,计算机泄密就成为了企业秘密泄露的焦点。

计算机电磁波辐射泄密是较为隐蔽也是容易被人忽视的一种泄密途径[2],计算机发出的电磁波如果被相应的接收设备获取,就有可能导致信息的泄露。当然,对于企业信息的窃密者而言,采用这种方式的成本和危险系数较高,并且如果通过Tempest技术(低辐射技术)等技术就可以做到很好的防护。

计算机网络能将世界各地的计算机连通,大大方便了人们之间的沟通交流,但同时也成为了信息泄密的温床。首先随着局域网技术的发展,企业内部都会建立起自己的局域网,主要可以分为有线局域网和无线局域网。对于有线局域网,型的泄密方式就是搭线窃取[3]。而无线局域网虽然使用方便,但是相应的隐患也较多:信息易受窃听,信息易被篡改,非法AP,WEP加解密的同步问题等[4-5]。对于无线局域网,可以采用防火墙、入侵检测等技术来防止信息被窃取[6]。局域网尚有一定的隐患,那么在Internet上,泄密的风险就更大了。窃密者可以通过网络窃听截取网络中输送的数据包[7],并采取分析和还原的方法对没有严格加密的信息进行窃取。但这种方式成本和技术难度较高,较少发生于企业泄密中。但是另外一种方式,网络窃取,则是企业泄密的重要途径之一。随着计算机技术的不断发展,网络窃取的手段也越来越多,这些手段都是企业需要严格加以防范的。常见的窃密方法比如密码破译,最简单的破译方法如暴力破解。当今企业中都会一些应用系统,比如OA系统、ERP系统等,企业一般要求员工不要将系统密码设置得太多简单,主要就是为了预防密码破译。另外一种危害性极大的窃取技术就是木马,木马的窃密技术大致有四个演变过程:击键记录、屏幕快照、远程控制、摆渡技术[8-9]。对于企业而言,员工如果在使用内部计算机的过程中中了木马,那么很可能就会造成企业信息的泄露。另外,木马技术依然处于不断地演进之中,最新的木马变得越来越难以检测和防范,因此,企业必须规范员工对内部计算机的使用,不断升级内部计算机的检杀能力,并尽可能从源头上切断木马入侵的途径。与木马相比,网络钓鱼则是一种更具欺骗性地窃密方式[10],一般表现为钓鱼网站、欺骗性的电子邮件以及利用及时通讯工具或者论坛社区发布欺诈信息等。网络攻击是另一种危害性较大的窃密方式[11],即利用网络存在的漏洞和安全缺陷对网络系统的硬件、软件及其系统中的数据进行的攻击,计算机病毒往往在网络攻击中发挥着重要作用。网络收集又是一种非常隐蔽的泄密途径,对于企业而言,某些信息的公开是必须的,但是如果对什么信息可以公开,什么信息应该坚决保密这个问题把握不明确,或者由于员工的疏忽大意,都可能会造成秘密信息的泄露。

计算机存储媒体的泄密是另一种危害较大而且容易出现的泄密途径,主要包括存储媒体使用时的泄密,其中移动存储介质在信息交换过程中的泄密是最常见的[12-13],这就要求企业制定严格的移动存储介质使用制度,员工在使用移动存储介质也必须提高警惕。另外媒体失窃与媒体管理不规范也会导致泄密。除了使用中的泄密,存储媒体在报废、出现故障等的处理时,如果手段或者方法不当,同样也会导致信息的泄露[14]。此外,我国的计算机产业起步相对较晚,因此,企业通常都需要购买一些国外的设备和产品,然而一些不法集团或者竞争对手,往往会对出口的设备做一些手脚,从而方便其掌握企业的信息[15],比如购买软件时的“后门”等。

计算机最终需要人来进行操作和使用,而在这个过程中,往往也容易发生人为使用计算机情况下的泄密,基本可以分为三类:无知泄密、违反规章制度泄密、故意泄密[16-17]。这就要求企业不仅要加强对员工安全意识的培养,同时要加强对于员工使用计算机的监察,防止泄密事故的发生。

1.2 员工泄密

企业员工是企业保密信息的产生源,同时也是这些信息的保护者,然而,堡垒往往容易从内部攻破。企业员工在工作、外出或者流动过程中,都有可能泄露企业的商业秘密[17-19]。总的来看,企业员工的泄密可以分为三类。首先是员工在内部工作中的泄密,在上一部分已经提到了已经提到员工在计算机使用过程中的泄密,除了这些泄密方式,员工在企业内部工作时还有其他的一些行为也会造成泄密:涉密纸质文档处理不当、企业会议泄密[20]、发表学术论文泄密与参观、考察活动泄密等。其次是员工外出时的泄密,包括在公共场合谈论涉密信息与外出携带的涉密载体丢失等。最后是员工流动过程中的泄密,主要有员工跳槽泄密[21-22]、离职职工泄漏商业秘密和兼职工作人员泄漏商业秘密等。对于员工泄密,企业首先需要制定明确的员工保密管理制度,加强对员工保密意识和能力的培养,规范员工的保密行为。另外,凡是能接触到企业敏感信息的员工都应当签订相应的保密协议,在可能的范围内避免员工恶意泄露企业秘密事件的发生。

1.3 通信泄密

通信隐患是指通信过程中可能导致信息外泄的漏洞。在21世纪,随着固定电话、手机以及网络及时通讯工具的广泛使用,人们之间的通信变得更加快捷,但同时,在这些通讯工具中都隐藏着一定的泄密风险,特别是近年来,随着智能手机的大肆兴起,手机提供的功能也不再局限于语音通话,消息发送等功能,还可以提供高速上网浏览和收发邮件,更为重要的是,它可以像计算机一样安装各类软件、游戏的应用程序,大大提高了用户对移动办公、移动生活的需要。但是,随着智能手机的使用,信息泄露的安全威胁也随之而来[23]。

对于有线通信如固定电话,人们都会认为这种通信有着是安全的,但实际上,通过电话串音、架空明线、载波辐射感应线圈等方式都可以使得通讯信息被泄露[24]。不过在企业层面上看,这种泄密方式的发生也是较少的。除了固定电话,当今社会中,使用最多的通讯工具无疑就是手机了,因此,手机泄密也是企业必须要重点防范的。手机在待机、通信甚至关机的状态下都有可能被窃密者窃取相关信息[25],而手机丢失则可能会带来更严重的信息泄露。而智能手机最近几年成为主流,其本身具有的高速上网、智能平台、告诉数据传输等特点使得信息保密工作变得更加严峻[26-27]。与传统手机相比,智能手机可能的泄密途径可能还包括被植入间谍软件,非法拍照、录音,手机开启定位功能等[28]。因此,对于企业而言,必须规范涉密手机的使用,在可能的情况下尽量避免涉密信息通过手机传输或者存储。

随着互联网的日益发展,另外一种更加灵活的通信方式—及时通讯工具越来越受到欢迎,很多企业内部为了方便沟通交流,都会使用及时通讯工具,最常见的如QQ、Skype、微信等。但是网络及时通讯工具的聊天内容非常容易被黑客获取,如果企业员工在这些工具上讨论企业业务,或者交换企业信息,那么就这部分信息就很有可能会被泄漏。对此企业同样需要规范及时通讯软件的使用,对于敏感信息或者数据严禁在这些工具上进行讨论或者传输,在条件允许的情况,拥有一套内部专门的通讯工具也是很有必要的。

1.4 其他泄密途径

除了上述的三个泄密途径之外,还有其他一些途径也可能导致企业商业秘密泄漏,企业也必须加以重视。首先传播媒体在泄密,传播媒体在当今的世界中起着重要的作用,然而传播媒体却也是泄密途径的一种典型,不仅新闻会泄密[29-30],同时大众媒体也会有泄密的风险[31]。另外,企业在参加外部活动展览时,把自己最新的产品推向市场,并尽可能让参会人员了解自己产品的优良性或者独特性。然而,对手企业的商业间谍可能正在趁机了解产品的机密。一旦保密意识不强,就有可能被对手得手[32]。还有就是企业在参加国际科技合作时,一些单位并未严格执行提供国家秘密的有关规定,保密管理不严,就有可能造成企业内部信息的泄露[33]。除了企业本身原因导致的泄密以外,竞争对手或者商业间谍的窃密也是一种重要的泄密途径,商业间谍有着高超的窃密能力,往往能捕捉到一些隐蔽的信息。此外,竞争对手通常还会在企业员工身上下手,引诱员工泄漏信息。同时,竞争情报也是当前获取竞争对手信息的一种重要途径,对于这一点,企业必须制定完善的企业网站信息的发布策略、专利申请策略,强化办公自动化保密技术的防范措施等方法来避免被竞争对手以一种完全合法的途径来获取自身的保密信息[34]。

2 总结

进入21世纪以来,随着信息技术的发展,企业面临的泄密风险也越来越多。在可能的泄密途径中,计算机泄密的种类较多,发生的几率最大,尤其是计算机网络泄密,一旦发生,往往能对企业造成深远的影响。对于这类风险,企业应当做到强化保密观念,加强企业系统安全配置,强化存储媒体和员工上网行为的管理等措施。员工泄密由于涉及到员工行为,相对而言这种途径的不可控性就更加明显,这要求企业应当制定严格的保密制度,完善内部的保密体系,特别是对于涉及敏感数据、机密数据较多的企业而言更是如此。通信涉密目前最容易发生在手机端,因此企业应当尽量避免保密信息利用手机进行传输和交流,否则泄密的风险非常大,当然,也可以通过加强保密教育,加强保密技术等手段来减少手机泄密发生的可能。总而言之,企业应当根据自身的经营特点,重点关注那些最可能泄密的途径,并采取针对性措施。同时应当加强保密制度建设和保密教育,使得保密意识深入人心,才能更好地守护好企业的保密信息。

[1]江晓波.商业秘密与竞争情报的关系与法律保护[J].现代情报,2004(8):209.

[2]吕立波.一种被容易忽视的计算机信息泄密途径与防范[J].安防科技,2006(11):34.

[3]甘性伟.局域网及计算机终端防泄密研究[J].计算机光盘软件与应用,2011(18):122.

[4]魏光杏,戴月.无线局域网安全隐患分析及对策[J].西安文理学院学报:自然科学版,2012(15):80.

[5]杨柳.浅析无线局域网安全隐患之七大“罩门”[J].教育教学论坛,2010(18):161-162.

[6]高峥,刘兴瑞.无线局域网安全问题研究[J].无线导报,2011(1):287.

[7]胡文.计算机网络泄密的分析与对策[J].计算机安全,2009(1):109.

[8]夏志楠,王睿.浅析计算机网络失泄密问题及防范措施[J].科教文汇,2010(7):87.

[9]丰雷.试论计算机网络泄密的分析与对策[J].电脑知识与技术,2011(17):4066.

[10]刘伟,潘军.计算机网络泄密的分析研究[J].煤炭技术,2013(2):173.

[11]杨笑.当前计算机泄密的主要途径及预防措施研究[J].电脑知识与技术,2007(4):116.

[12]游建炜.如何防范重要信息通过移动存储介质泄密[J].华南金融电脑,2009(6):86.

[13]任祖春.电子政务网络中移动存储介质泄密途径及防范措施[J].东北水利水电,2008(12):69.

[14]陈尚义.磁盘数据泄密威胁分析和销毁方法[J].信息安全与通信保密,2010(9):71.

[15]陈伟良.计算机信息系统泄密途径分析及如何进行防范[J].网络通讯与安全,2007(5):1222.

[16]丁晖.计算机泄密的主要途径及预防措施[J].华南金融电脑,2004(4):32.

[17]张孝东.浅析计算机网络泄密问题及防范措施[J].福建电脑,2013(10):88.

[18]张兰.信息化背景下商业秘密泄密的原因及保护措施[J].财经界,2010(12):51.

[19]梁晓燕,王如龙,王军丽,等.信息安全保密中信息泄密途径及其防护[J].微计算机应用,2004(4):409.

[20]刘钦武,刘照文.企业会议泄密的对策初探[J].新疆有色金属,1993(4):55.

[21]胡晓荷.跳槽,IT 企业保密的软肋?[J].信息安全与通信保密,2008(8):19-20.

[22]杜跃东.跳槽—泄漏商业秘密的问题不可忽视[J].商场现代化,2005(17):68.

[23]郝文江,武捷,王路路.智能手机防泄密策略研究[J].信息网络安全,2011(5):28.

[24]张景荣.针对通信泄密的途径强化实现保密通信的措施[J].军事通信技术,1997(3):28.

[25]张玉水,樊中山,金风.手机泄密防范与对策[J].电子设计工程,2013(6):65.

[26]魏鹤君,吕笑倩.3G手机失泄密隐患与防范对策[J].科技创新导报,2013(16):51.

[27]高明.3G手机失泄密隐患及安全防范对策[J].通信技术,2010(8):167.

[28]王宇.智能手机泄密风险分析及安全保密技术解决方案[J].保密科学技术,2013(6):42.

[29]笪衍.浅谈新闻泄密与保密[J].江苏科技信息,2010(6):51.

[30]周华清.试论信息公开与新闻泄密[J].内江科技,2007(2):73.

[31]吴珍.阳光之下隐“秘密”——浅谈大众媒体的“隐性”泄密[J].信息安全与通信保密,2009(4):16.

[32]吴春英,乐小春.论企业商业秘密的泄密方式及其防范[J].企业家天地,2005(8):95.

[33]朱礼龙.国际科技合作中企业科技情报泄密源探究[J].现代情报,2014(1):115.

[34]程娟.网络环境下企业信息泄密与反竞争情报整合[J].情报理论与实践,2008(3):400.

猜你喜欢
窃密商业秘密局域网
本期导读
窃密者是谁
面向AI模型训练的DNS窃密数据自动生成
轨道交通车-地通信无线局域网技术应用
基于VPN的机房局域网远程控制系统
基于802.1Q协议的虚拟局域网技术研究与实现
局域网性能的优化
美国《保护商业秘密法》的立法评价
侵犯商业秘密罪中“重大损失”的内外审查方法
美国对涉华商业秘密的“337调查”及国内行业的应对做法