李 楠

（陜西能源職業(yè)技術學院，陜西咸陽 712000）

近幾年數據泄露事件越發(fā)普遍，企業(yè)需要承擔的泄露成本也越來越高，據IBM的年度數據泄露成本報告發(fā)現，數據泄露的平均總成本接近400 萬美元。隱私安全和數據保護成為了當下企業(yè)不得不面對的嚴峻問題[1]。釀酒企業(yè)規(guī)模、產值巨大，每天產生的利潤十分可觀。在此背景下，對自身信息泄露風險情況必須有一個準確了解，這對于明確自身經營發(fā)展狀況、行業(yè)定位、制定正確的發(fā)展戰(zhàn)略具有重要的現實意義。

績效評價是依照公司或組織構建的指標評價體系，按照預先確定的標準和一定的評價程序定性、定量分析公司或組織整體經營狀況的一種方法。而信息泄露風險評價僅僅是針對企業(yè)財務狀況進行的評估，不代表企業(yè)的整體發(fā)展狀況。目前績效評價主要有基于BP 神經網絡的績效評估、基于灰色關聯的績效評估等幾種[2]。以上這些評價方法雖然能夠得到一定的評價結果，但是只對企業(yè)的短期財務評價狀況有效，評估結果具有一定的局限性。

針對上述情況，研究白酒企業(yè)信息泄露風險與防范措施。

1 白酒企業(yè)信息泄露風險

在白酒企業(yè)信息泄露風險研究中，通過數值展現績效情況的途徑[3-4]。選擇層次分析法進行權重計算，選擇原因如下：應用較多，有大量實踐經驗可以借鑒，相對更為成熟；企業(yè)績效評價需要考慮多層次、多因素，層次分析法更契合[5]?？偨Y了以下6種常見的數據泄露事故。

1.1 黑客竊取數據

在日常生活中，數據泄露防不勝防，黑客能以各種我們意想不到的方式來攻擊網絡入侵服務器，竊取數據。據美國網絡安全公司RiskIQ 研究數據顯示，目前全球每分鐘就有1.5 家組織遭受勒索軟件攻擊，企業(yè)平均損失15221美元。

1.2 員工失誤

企業(yè)機構更多的數據泄露事故常常是內部人員疏忽和意外造成的。Shred-it 的一項研究發(fā)現，40%的高級管理人員和小企業(yè)主表示，疏忽和意外損失是他們最近一次安全事件的根本原因。

1.3 員工有意泄露

前雇員或在職人員，可能是造成數據泄露最大的出口。內部員工尤其是肩負重要職位的涉密人員，通常是企業(yè)機構最先得到及獲得最多數據的，他們會在各種可能下出賣或帶走數據。2017 年1月17 日，華為公司就曾內部通報了已離職的6 名員工涉嫌侵犯知識產權，將公司商業(yè)機密泄露給競爭關系公司，涉嫌構成侵權的專利估值高達300萬元。

1.4 通信風險

通信是我們日常工作和生活中無處不在的一部分，而通信工具的漏洞和風險無處不在（包括常見的即時通訊工具）。最令人恐懼的是，大量員工使用個人設備或個人帳戶來傳送敏感信息，這些簡單的社交工具既無監(jiān)管又無防護措施很容易造成數據泄露。以醫(yī)療保健行業(yè)為例，近30 %的醫(yī)療保健團隊成員承認使用個人設備或公共網絡來傳送患者私人的詳細信息。

1.5 網絡詐騙

微軟的一項分析發(fā)現，網絡釣魚詐騙今年增長了250%。電子郵件成為了釣魚詐騙的重災區(qū)，公司收件箱垃圾郵件泛濫成災，其中不乏混雜著各種詐騙郵件。同時，黑客擊破單個員工可能會泄露大量公司數據。

1.6 電郵泄露（圖1）

圖1 白酒企業(yè)各金融業(yè)務風險統(tǒng)計

通常，數據泄露或侵犯隱私只是越來越多的網絡犯罪中的第一滴血。安全公司Risk Based Security 的一份報告指出，電子郵件地址及密碼是在線數據中最受歡迎的，在所有數據泄露事件中有70%發(fā)生在電子郵件中。

1.7 核心技術被竊，業(yè)務中斷

數據被竊取破壞，會嚴重影響業(yè)務的開展，計劃、設計或其他知識產權被盜、從數據庫中泄露機密的客戶信息，這些都會導致銷售損失、市場份額損失、產生法律費用、增加勞動力成本等等。企業(yè)已經離不開信息化應用，網絡環(huán)境帶來的不確定因素正在與日俱增，信息安全問題所帶來的影響巨大。

1.8 用戶風險

用戶對信息數據泄露帶來的推銷、詐騙以及各種騷擾已不厭其煩，如果企業(yè)對用戶的數據沒有盡到保護職責，用戶會對該企業(yè)的數據保護產生質疑，從而對其不再信任，一旦某個企業(yè)被曝泄露用戶的信息數據，必將成為大眾嚴厲指責的對象，信譽大受打擊。

2 白酒企業(yè)信息泄露風險防范措施

為進一步提升白酒企業(yè)抵御風險的能力，使風險防范工作更加有效地融入中心、服務中心、促進中心，在思想認識、責任擔當、方法措施[6-8]方面，白酒企業(yè)深入開展“五位一體”風險防范體系運行工作，努力增強公司在轉型發(fā)展關鍵時期抵御風險的能力，助推年度計劃預算完成，為實現“十三五”規(guī)劃保駕護航。

2.1 泄密風險管理系統(tǒng)框架（圖2）

從制度、職責、流程、標準、考核5 個方面（“五位一體”），健全失泄密風險管理體系[9-10]。

圖2 風險管理系統(tǒng)框架，強化了全體干部職工時時、事事、人人防范風險的意識，提升公司抵御風險，將發(fā)生各類風險的可能性降到最低，將發(fā)生風險的危害程度降到最低，從而營造企業(yè)奮發(fā)向上的精神環(huán)境、扶正祛邪的輿論環(huán)境、健康和諧的人文環(huán)境，確保無人發(fā)生“四種形態(tài)”中的“第三種、第四種”形態(tài)，確保無百萬以上經濟損失，確保無群體不穩(wěn)定事件發(fā)生，確保年度計劃預算完成。

2.2 風險防范措施

企業(yè)應盡快建立保密管理規(guī)章制度。企業(yè)可參照國家保密部門已經頒布的一系列保守國家秘密的制度，結合商業(yè)秘密的不同特點，針對企業(yè)自身各種可能的泄密途徑，制定一整套有關企業(yè)秘密保護的制度。

商務密郵建議：規(guī)范企業(yè)管理制度，設置權限管理，加強防護工作。涉及個人重要信息、財產安全、機密資料的系統(tǒng)，使用獨特的登錄名和高強度的復雜密碼，且不能一套密碼登錄多個系統(tǒng)，必要時建議對數據進行加密，確保數據安全、財產安全。

對于企業(yè)、政府機構的郵件安全而言，應盡快部署：郵件防泄漏系統(tǒng)、郵件加解密系統(tǒng)、垃圾郵件過濾系統(tǒng)、郵件數據備份等系統(tǒng)。有必要使用獨立的郵件加密客戶端，從數據源頭在對郵件進行高強度加密的基礎上，商務密郵郵件防泄漏系統(tǒng)可針對郵件正文、附加文件、文檔、文本進行掃描，未經授權時，任何涉密內容發(fā)出將立刻進行阻斷，并上報進行審批，同時采取離職管控、郵件詳情跟蹤、禁止轉發(fā)、郵件水印、強制加密、閱后即焚、郵件復鎖等功能，全面防控郵件數據不泄露。

數據保護需要從數據根源出發(fā)，不僅需要對數據的存儲進行保護，對涉及數據的各類應用也需要做到全面管控，還有終端網絡應用以及接入終端的各類設備也需要得到針對性管理。在這方面，IPguard 一體化終端安全管控系統(tǒng)就可以幫助企業(yè)對信息數據進行全面保護，讓企業(yè)在變化無常的網絡中也可以實現可控透明化的終端管理。

圖2 泄密風險管理系統(tǒng)框架

（1）文檔加密：幫助企業(yè)對重要數據進行加密保護管理，保護數據安全，防止被隨意篡改、刪除。

（2）敏感內容重點保護：通過敏感內容識別技術，幫助企業(yè)智能識別各個位置的敏感內容，并對該敏感內容的操作和流轉行為進行記錄和審計。

（3）終端操作管控：幫助對終端文檔操作、打印、移動設備、U 盤、應用程序、網頁瀏覽、即時通訊、郵件等各種應用進行規(guī)范，減少泄密風險。

（4）審計操作行為：幫助統(tǒng)計分析用戶操作行為，及時發(fā)現潛在泄密風險，發(fā)生泄密時還可快速追溯泄密全過程。

（5）重要文檔備份：將文檔存儲到特定的備份服務器進行管理保護，當出現誤刪、感染勒索病毒或硬盤損壞等導致文件被損壞，都可從備份服務器將文件恢復到終端。

（6）終端準入管理：防止非授權計算機對指定網絡進行非法訪問，計算機設備接入企業(yè)內部網絡對服務器、互聯網等訪問時，需要經過準入網關嚴格的審核。

（7）IT 運維管理：單一控制臺即可對所有終端計算機實行統(tǒng)一管理和維護，自動對系統(tǒng)漏洞進行掃描并根據需要修補，遠程處理故障問題。

3 結束語

白酒作為中國歷史最為悠久的飲品之一，在飲食行業(yè)具有重要地位，白酒企業(yè)極具規(guī)模，在白酒企業(yè)發(fā)展過程中，信息泄露風險評估成為穩(wěn)定企業(yè)發(fā)展的關鍵要素，它是企業(yè)進行戰(zhàn)略決策的基礎和支撐。先進的設備、先進的計算機安全防范技術，只能阻止網上“黑客”的有意破壞，但對內部工作人員的非法活動卻很難控制。因此，人員的管理也是金融信息防范工作的一個重要環(huán)節(jié)。

（1）重視人才的選拔和競爭機制。在當時的金融環(huán)境下，各金融機構掀起了一波引進高素質和高技術人才的浪潮，不過，隨著時間的推移，一味的引進人才不僅成本高，而且對金融企業(yè)本身不一定達到百分之百的忠誠，如果引進的人才再次跳槽，就有可能對原企業(yè)金融信息造成泄露，尤其是近些年來，金融信息對于企業(yè)的重要性越來越突顯，因此，金融企業(yè)內部更愿意自己培養(yǎng)高素質、高技術的信息技術專業(yè)人才，這些人才對企業(yè)的忠誠度普遍偏高，而且熟悉企業(yè)的管理模式，能快速適應環(huán)境，更利于對金融信息風險的防控。

（2）建立和完善信息風險防范問責機制。金融企業(yè)內部對金融信息防范的規(guī)章制度再完善，也需要員工和管理人員共同遵守才能達到良好的預期和效果，因此，金融企業(yè)在金融信息風險的防控問題上需要明確責任分工，完善問責機制，對金融信息內部人員泄漏問題進行約束。

（3）提高風險管控和內部控制法律意識。不斷建立強化內控機制對金融信息風險防范的重要作用的意識，讓金融企業(yè)管理人員做好內控工作，上行下效，潛移默化地把內控意識傳輸給下一級員工，使內控機制的氛圍鋪展開來，與此同時，金融企業(yè)內部還要開展有關內控機制的演講，使員工們逐漸受到影響，不斷的提高意識和認識，把金融信息風險的苗頭扼殺在企業(yè)的內部。