公司信息安全解密

信息致死 小心 30 个细节 小心 30 个细节，一分钟毁灭你的公司这是一个以 1%、2%决胜负的商业时代， 一个信息就可以左右企业的成败。

这个信息在自己手里是王牌，在对手手里是炸弹。

如此重要的信息，可能在老板的大脑里、公司电脑里、一个打印稿的背面，甚至在一个垃圾筐里。随时都有泄漏的可能，泄漏的结果轻则使公司蒙受损失，重则毁灭公司。

你要怎么防备？ 信息安全？"不就是安装杀毒软件，在电脑上设设密码吗"？当你这样想，你就和全世界 95%的人一样，都错估、低估了信息对公司的致命影响；好在全世界就是有 5%的人，和《中国财富》一样，恐惧、震慑、急着应变于信息对商业世界爆炸性的影响力，他们是谁——诺基亚（NOKIA）、微软（Microsoft）、麦格劳希尔（Mcgraw-Hill Company）、还有可口可乐（Coca-Cola）„„

谁是那百分之五？

当你读这篇文章的时候，全世界又有 2 个企业因为信息安全问题倒闭，有 11 个企业因为信息安全问题造成大概 800 多万的直接经济损失。中国财富通过对 100 个经理人的调查总结 30 个致命细节，让您 5 分钟快速成为信息安全专家。

1、打印机——10 秒延迟带来信息漏洞 即使是激光打印机，也有 10 秒以上的延迟，如果你不在第 9 秒守在打印机的旁边，第一个看到文件的人可能就不是你了。大部分的现代化公司都使用公用的打印机，并且将打印机、复印机等器材放在一个相对独立的空间里。于是，部门之间的机密文件就可以从设备室开始，在其他部门传播，当部门之间没有秘密，公司也就没有秘密了。

2、打印纸背面——好习惯换取的大损失 节约用纸是很多公司的好习惯，员工往往会以使用背面打印纸为荣。其实，将拥有这种习惯公司的"废纸"收集在一起，你会发现打印、复印造成的废纸所包含公司机密竟然如此全面，连执行副总都会觉得汗颜，因为废纸记载了公司里比他的工作日记都全面的内容。

3、电脑易手——新员工真正的入职导师 我们相信，所有的职业经理人都有过这样的经历：如果自己新到一家公司工作，在自己前任的电脑里漫游是了解新公司最好的渠道。在一种近似"窥探"的状态下，公司里曾经发生过的事情"尽收眼底"，从公司以往的客户记录、奖惩制度、甚至你还有幸阅读前任的辞呈。如果是其他部门的电脑，自然也是另有一番乐趣。

4、共享——做好文件 再通知窃取者 局域网中的共享是获得公司内部机密最后的通道。有的公司为了杜绝内部网络泄密，规定所有人在共享以后一定要马上取消。实际上越是这样，企业通过共享泄露机密的风险越大。因为当人们这样做的时候，会无所顾及地利用共享方式传播信息，人们习惯的方式是在开放式办公间的这边对着另一边的同事喊："我放在共享里了，你来拿吧——"，没错，会有人去拿的，却往往不只是你期望的人。

5、指数对比——聪明反被聪明误 在传统的生产型企业之间，经常要推测竞争对手的销售数量、生产数量。于是，人们为了隐藏自己的实际数量，而引入了统计学里的指数，通过对实际数量的加权，保护自己的机密信息。唯一让人遗憾的是，通常采取的简单基期加权，如果被对方了解到几年内任何一个月的真实数量，所有的真实数量就一览无余地出现在竞争对手的办公桌上了。

6、培训——信息保卫战从此被动 新员工进入公司，大部分的企业会对新员工坦诚相见。从培训的第一天开始，新员工以"更快融入团队"的名义，接触公司除财务以外所有的作业部门，从公司战略到正在采取的战术方法，从公司的核心客户到关键技术。但事实上，总有超过五分之一的员工会在入职三个月以后离开

公司。同时，他们中的大部份没有离开现在从事的行业，或许正在向你的竞争对手眉飞色舞地描述你公司的一草一木。

7、传真机——你总是在半小时后才拿到发给你的传真 总有传真是"没有人领取"的，每周一定有人收不到重要的传真；人们总是"惊奇地"发现，自己传真纸的最后一页是别人的开头，而你的开头却怎么也找不到了。

8、公用设备——不等于公用信息 在小型公司或者一个独立的部门里，人们经常公用 U 盘、软盘或手提电脑。如果有机会把 U 盘借给公司的新会计用，也就有可能在对方归还的时候轻易获得本月的公司损益表。

9、摄像头——挥手之间断送的竞标机会 总部在上海的一家国内大型广告公司，在 2004 年 3 月出现的那一次信息泄露，导致竞标前一天，广告创意被竞争对手窃取，原因竟然是主创人员的 OICQ 上安装了视频，挥手之间，断送的或许并不仅仅是一次合作的机会。

10、产品痕迹——靠"痕迹"了解你的未来 在市场调查领域，分析产品痕迹来推断竞争对手行销效果和行销策略是通用的方法。产品的运输、仓储、废弃的包装，都可以在竞争对手购买的调研报告中出现，因为"痕迹分析"已经是商业情报收集的常规手段。

11、压缩软件——对信息安全威胁最大的软件 ZIP、RAR 是威胁企业信息安全最大的软件。3 寸软盘的存储空间是 1.4M，压缩软件可以让大型的 WORD 文件轻松存入一张软盘，把各种资料轻松带出公司。

12、光盘刻录——资料在备份过程中流失 如果想要拿走公司的资料，最好的办法是申请光盘备份，把文件做成特定的格式，交给网络管理员备份，然后声称不能正常打开，要求重新备份，大多情况下，留在光驱里的"废盘"就可以在下班后大大方方带出公司。

13、邮箱——信息窃取的中转站 利用电子邮件转移窃取的公司资料占所有信息窃取的八成以上。很多企业不装软驱、光驱、USB 接口，却没有办法避免员工通过电子邮件的窃取信息，相比之下，以上方法显得有些幼稚、可笑。

14、隐藏分区——长期窃取公司资料必备手法 长期在公司内搜集资料，用来出售或保留，总是件危险的事情。自己的电脑总是不免被别人使用，发现电脑里有不该有的东西怎么行。于是隐藏在硬盘分区就成了最佳选择，本来有 C、D、E 三个虚拟分区，可以把 E 隐藏起来，只有自己可以访问。当然，如果遇到行家，合计一下所有磁盘的总空间，可就一定露馅了。

15、私人电脑——大量窃取资料常用手段 压缩软件的作用毕竟是有限的，如果把自己的笔记本电脑拿到单位来，连上局域网，只要半小时，就是有 1 个 G 的文件也可以轻松带走。

16、会议记录——被忽视的公司机密 秘书往往把会议记录看得很平常，他们不知道一次高层的会议记录对于竞争对手意味着什么，公司里经常可以看见有人把会议记录当成废纸丢来丢去，任由公司最新的战略信息在企业的任何角落出现。

17、未被采纳的策划案——放弃也是一种选择 策划人员知道被采纳的策划是公司机密，去往往不知道被放弃的策划也是公司机密。有时还会对客户或媒体谈起，而竞争对手可以轻松判断：你没有做这些，就一定选择做了那些！

18、客户——你的机密只是盟友的谈资 经常可以在网络上看到著名咨询公司的客户提案，这些精心制作的PPT，凝聚了咨询公司团队的汗水和无数个不眠之夜，在一些信用较差的客户手里可能只是一些随意传播的谈资。

19、招聘活动——你的公司竟然在招聘总监？ 在招聘过程中，成熟的企业不会把用人的单位登在一张广告里，因为那无异于告诉你的竞争对手：刚刚发生过人力震荡，人力匮乏。

20、招标前两分钟——最后的底价总是在最后"出炉" 如果投标的底价内部公开越早，出现泄露的风险越大，在招标开始前两分钟，面对关掉手机的参会者，可以公布底价了！

21、解聘后半小时——不要给他最后的机会 如果被解雇的员工是今天才得到这个消息，那么，不要让他再回到他的电脑旁。半个小时的时间，刚好可以让他收拾自己的用品，和老同事做简短的告别，天下没有不散的筵席，半小时足够了，为了离职员工的清白，更为了信息安全。

22、入职后一星期——新人在第一个星期里收集的资料是平时的 5 倍 只有在这一个星期里，他是随时准备离开的，他时刻处在疯狂的拷贝和传送状态，提防你的新员工，无论你多么欣赏他。

23、合作后半个月——竞争对手窃取情报的惯用手法是：假冒客户 在初次合作的半个月里，你对信息安全的谨慎只能表明企业做事的严谨，可以赢得大部分客户的谅解和尊敬。除非，他是你的竞争对手。

24、离职后 30 天——危险来自公司以外 一般情况下，一个为企业服务半年以上的员工，离职后 30 日之内会和公司现有员工保持频繁的联系，并且对公司的资料和状况表现出极度的热情。如果是被限时离开，那么，在离职 30 天内通过老同事窃取公司信息的可能性就更大。

25、明确对外提案原则——能不留东西的就不给打印稿，能不给电子档的就尽量给打印稿，能用电子书就不用通用格式。

26、保密协议——无论作用大小，和员工签定清晰的保密协议还是必要的 无规矩不成方圆，明确什么是对的，人们才可以杜绝错的。保密协议的内容越详细越好，如果对方心胸坦白，自然会欣然同意。

27、责任分解——明确每个人对相关信息的安全责任 所有的机密文件如果出现泄露，可以根据规定找到责任人，追究是次要的，相互监督和防范才是责任分解的最终目的。

28、设立信息级别——对公司的机密文件进行级别划分 比如合同、客户交往、股东情况列为一级，确定机密传播的范围，让所有人了解信息的传播界限，避免因为对信息的不了解而导致的信息安全事故。

29、异地保存——别把鸡蛋放在同一个篮子里 所有备份资料尽量做到异地保存，避免因为重大事故（如：火灾、地震、战争等）对企业信息带来致命的打击。

30、认为自己的企业在信息安全上无懈可击。

也许你会认为，9.11 这种事情离自己太过遥远，发生的几率为 0.1%。可是 9.11 之前，谁又能想到世界性标志建筑世贸大厦竟然在瞬间被毁灭；9.11 使美国许多企业遭受重创，同样，纽约大停电也给美国经济造成 300 亿美元的损失。

·纽约大停电启示录 从《商业周刊》看保护信息安全

美国时间 2003 年 8 月 14 日下午四点，北美大部分地区突然停电。谁也没有料到这一停就是 20 多个小时，而8月15日恰好是麦格劳希尔公司旗下《商业周刊》的出版日—— 麦格劳希尔公司全球首席信息官Mostafa Mehrabani 讲述了他们纽约大停电时的亲身经历。

“当时情况非常紧急，许多人不断询问公司的业务情况，而且第二天《商业周刊》能否正常出版更是得到人们的普遍关注。而实际上，在停电瞬间，我们已经把出版业务全部转移到新泽西州，因为在那我们有一套备用设备。”

“我们的电力系统很稳定，备用发电机可以在没有电的情况下持续工作好几天，所以我们的出版工作没有受到任何影响。第二天，《商业周刊》如期出版。” 麦格劳希尔公司作为信息服务提供商，保护信息安全成为头等重要之事。

·中国很多企业尚没有这种意识

对于中小企业来说，出于成本考虑建立一个数据备份中心并不是最恰当的解决方案，但在离自己电脑一段距离的地方做一个数据备份，花费的成本几乎为零，而许多企业尚没有这种意识，直到一场意外的雷击摧毁了公司 CEO 的电脑为止。

·对于企业来讲，那些即将离职的员工是极度危险的

因为不论出于什么原因，他们都希望能够为自己以后的工作获取必要的资源。

"实际上，离职员工通过各种手段从原公司拿走一些资料已经成为一种习惯，当然这些资料只是方便以后工作，而不是直接用来出售。"一位离职员工很坦然的说。

"我们的雇员可以在下班之后申请加班两小时，两小时后他们会去刷门卡，让电脑系统显示此人已经离开。但是实际上，员工却可以通过通向卫生间的那道不锁的门出入公司，而不留下在公司超时逗留的证据。于是，他们会以最快的速度从同事的电脑上找到自己所需要的资料，就可大大方方的带走了。"这位离职员工毫不避讳的讲到。

有些员工为了在应聘时博得新雇主的喜爱，总是很积极的回答雇主的每一个问题，而其中有许多问题都是新雇主为了获取竞争对手的资料故意设置的。

·微软、西门子等公司查看资料会被严格记录

微软、西门子等公司则是从硬件设备上防止员工拷贝公司资料，因为根据级别区分，他们大部分的员工电脑是不能安装软驱和移动硬盘接口的。这在跨国公司内是非常普遍的做法。另外，IBM 公司规定每个员工只有三次查阅同一文档的机会，并且这三次查看的时间，地点，原因都会被严格的记录下来。

·在硬性规定上围追堵截员工的犯罪行为 可口可乐如何做？

2003 年 8 月，可口可乐奥运新包装的保密机制是值得中国企业学习的。在计划进行之前，可口可乐公司与了解设计方案秘密的北京奥组委签订了保密协议，要求合作伙伴不可以透露任何有关新包装的事宜。与此同时，制罐厂也采取了严格的防泄密措施。"空罐被黑色胶布封起来，制罐厂 24 小时都有专人把守，只有 30 名工人加班参与生产；在运输时，空罐被放在了上锁的全密封货柜车内，拿着仅有的一把钥匙的人并不随车走。这就从硬性的规定上防止员工泄密。"可口可乐驻北京对外事务部负责人翟梅说。

·请克制"大嘴巴"雇员的说话欲望 神州数码深刻教训

企业领导者无意间泄漏公司机密对企业造成的伤害也是不可估量，因为毕竟他们所掌握的信息比普通雇员要多许多。2004 年 2 月 18 日上午，某媒体披露了神州数码财报中的部分数据。但是按照证监会规定，有

关财报的所有资料都必须等到 19 号也就是媒体披露的第二天才能公开。未经国家相关部门审查提前披露公司财报是违法的。这家媒体之所以获得了这些数据，是神州数码某高层在接受记者采访时无意说出来的。

当然，普通员工的口风也是公司应该注意的。他们在参加各种会议和贸易展览时，总是很乐意吹嘘自己如何克服技术困难，却因此泄漏了机密的信息。

·敌人随时都瞄准你的任何一个漏洞

麦当劳门店内的垃圾是宝？

几年前，一家著名的市场调查公司调查麦当劳的产品销售量，他们使用了痕迹调查方法，收集了当天麦当劳所有的垃圾，雇用了许多零时工从麦当劳店内收集垃圾，包括包装纸盒等。他们就是通过计算这些垃圾得出了麦当劳每一种产品的销售量，并且推算出卖当劳下一年的销售计划。在这之后，麦当劳门店内的垃圾都要经过自己的处理后才运走。

雅芳雇佣私人侦探收集玫琳凯丢弃物

同样的事情也发生在雅芳和玫琳凯化妆品公司之间。雅芳就曾经雇佣私人侦探收集了玫琳凯的丢弃物，并且进一步破解了竞争对手的新化妆品配方。对于玫琳凯来说，她无法夺回这些珍贵的东西，因为雅芳只是研究了她的垃圾而已，这是完全合法的。

“实际上，现在的中国企业在技术上与国外已经趋于同步，无论是防火墙，还是病毒软件，还是 VPN技术早已经与国际接轨。”安氏（isone）CTO 陈政说。但是，中国企业在保卫公司信息安全方面总是显得如此单薄，漏洞百出。因为他们根本没有意识到需要让每一个员工来共同保卫公司安全。

·从管理的角度来讲，要让员工树立起保卫公司安全的意识

某软件公司 80 年代末期编写的软件程序磁带占用了仓库大量的空间，公司所有的年轻员工都主张卖掉这批已经没有什么参考价值的资料，但遭到了一位曾参加编写的工程师的竭力反对，而他的理由很简单却也很重要："这些东西对大部分人来说没有参考价值，但是一旦被卖到国外，就非常危险。"所以，从管理的角度来讲，首先就是要让员工树立起保卫公司安全的意识。

当然，员工的办公安全也是企业应该考虑到的问题。因为大部分治安严谨的小区都有自己的网络监控和电话监控系统。

·诺基亚：用严格的规定来保证攻击者无懈可击

如果竞争对手在小区内对企业员工进行监控，他们可以轻而易举的获取相关资料。对于这一点，诺基亚的解决方案很实用：

"我们外出办公的员工在登陆公司局域网时要通过公司为其专门设置的密码，而且这个密码是不断更改的。一个员工不可能长期使用同一个密码进入公司的局域网。"诺基亚中国区企业解决方案部王磊说。

所以对于企业的领导者来说，要减少外部攻击对企业造成的损伤，除了要花大笔的费用引进技术外，还必须用严格的规定来保证攻击者无懈可击。

·国防科工委：苍蝇不叮无缝的蛋

国防科工委网络要求内外网络严格隔离，因为他们要保护的是红头文件，但是限制几千人联网的权力是一件非常吃力的事情。于是，国防科工委的院长亲自带队查处。他们严格监控自己的外网出口，一旦发现内网有人通过外网出口传输文件，就会马上跟踪 IP 地址，而等待这个员工的将是严厉的处罚。

文章犀利，有见得。

没有一句废话，精简有力。

解密“SPV公司”

SPV公司的定义

SPV为英文缩写（Special Purpose Vehicle），意思为特殊目的实体。PPP项目的参与主体包括政府及实施机构、社会资本、金融机构、专业运营企业等，其中发起方和投资方通常以设立项目公司(SPV)的形式实施。 SPV职责

代表公司全面负责投融资项目的投资、建设、运营、风险管控管理；合法合规的完成投资，提高项目收益；

与政府建立良好关系，推动政府履行职责，为项目的报批报建、项目实施建立良好的外部环境；展开剩余90%

负责落实项目融资条件，推动项目资金落实；

负责协调项目参建各方关系，为PPP项目建设做好支撑和服务，推进项目的建设。 设立SPV公司的目的 1 管控PPP项目风险，提高公司项目收益； 2 SPV公司是实现PPP项目有限追索，风险隔离的重要载体。SPV的设立一定程度上能实现项目风险的隔离，一旦出现风险，债权人只能向PPP项目公司进行有限追索而不会影响到公司的资产（公司为SPV公司对外融资提供担保的除外）。 SPV 的意义

SPV公司是践行公司“十三五”规划，转变商业模式，产融结合，拓展投建一体业务，促进公司主营业务收入增长的重要载体之一；

SPV公司是推动PPP项目建设，推动与政府工作，有效管理投融资工作，维护公司合法利益，以模式的转变而带动投资和工程建设的收益。

通过对PPP项目和SPV公司的运作，不断完善自身的管理内容，提升公司的管理能力。 PPP项目的发展

谈到PPP项目，先来说说PPP模式，PPP模式（Public-Private Partnership）即政府和社会资本合作，是公共基础设施中的一种项目运作模式。在该模式下，鼓励社会资本与政府进行合作，参与公共基础设施的建设。政府采取竞争性方式选择具有投资、运营管理能力的社会资本，双方按照平等协商原则订立合同，由社会资本提供公共服务，政府依据公共服务绩效评价结果向社会资本支付对价。政府和社会资本方按照合同要求成立SPV公司，由SPV公司管理PPP项目。

自2013年以来，PPP相关政策密集出台，推进PPP项目的落地：

2014年12月2日，国家发展改革委发文《关于开展政府和社会资本合作的指导意见》，鼓励和引导社会投资，增强公共产品供给能力，促进调结构、补短板、惠民生。国家发展改革委投资司委托中咨公司研究中心起草《政府和社会资本合作项目通用合同指南(2014版)》，用于规范和引导政府和社会资本合作（PPP）项目合同编写工作的专业指南。

2015年3月5日，李克强作政府工作报告,提出要在基础设施等领域积极推广PPP模式；财政部年度预算报告,提出要开展PPP示范项目建设，释放社会投资潜力。

2015年5月8日，国务院批转发展改革委关于2015年深化经济体制改革重点工作意见的通知，提出积极推广政府和社会资本合作（PPP）模式，出台基础设施和公用事业特许经营办法，充分激发社会投资活力。

2015年3月17日，国家发改委和国家开发银行联合发文《关于推进开发性金融支持政府和社会资本合作有关工作的通知》，灵活运用基金投资、银行贷款、发行债券等各类金融工具，推进建立多元化、可持续的PPP项目资金保障机制。

2015年4月21日，中华人民共和国国家发展和改革委员会、中华人民共和国财政部、中华人民共和国住房和城乡建设部、中华人民共和国交通运输部、中华人民共和国水利部、中国人民银行联合发文《基础设施和公用事业特许经营管理办法》，鼓励和引导社会资本参与基础设施和公用事业建设运营，提高公共服务质量和效率，保护特许经营者合法权益。 为不断完善和加快PPP业务的发展，今年国家发改委、国家财政部发布了一系列关于PPP项目的相关政策，用以规范和推广PPP项目。 PPP项目的操作流程

PPP项目一般需要经过项目识别、项目准备、项目采购、项目执行和项目移交几个阶段，执行的操作流程如下：

PPP项目的交易架构

PPP项目其实并无统一的模式，或者固定不变的几类模式，需要根据不同项目进行不同的模式调整。与此相对应，在PPP模式下，亦无统一、固定的交易结构。每一个项目，根据交易的不同边界条件，自然应有不同的个性化的交易结构设计。

完成一个PPP项目设计，可在不同的项目之间相互借鉴，但要真正做好一个PPP项目，更多地是要根据该具体项目的具体条件，结合交易各方的具体诉求，在依法合规的前提下，最大程度地回应各方关切目标，设计出更能符合各方当前与长远利益最大“公约数”的交易结构。

下图为常见的交易架构设计---某农村生活污水治理工程：

现状

当前，我国正在实施新型城镇化发展战略。城镇化是现代化的要求，也是稳增长、促改革、调结构、惠民生的重要抓手。立足国内实践，借鉴国际成功经验，推广运用政府和社会资本合作模式，是国家确定的重大经济改革任务，对于加快新型城镇化建设、提升国家治理能力、构建现代财政制度具有重要意义。

公司为践行国家方针和政策要求，完成公司“十三五”规划、加快商业模式的转变和提升公司的管理能力等一系列背景要求下发挥自身品牌优势，拓宽业务渠道，积极开发PPP业务。 目前公司正在开发和建设PPP的项目有“昌乐县农村中小学建设”、“云南省昆明空港经济区航空物流产业园和空港10号公路及防洪大沟项目”、“永州幼儿师范高等专科学校项目”以及“黔南州科技园、都匀新闻发布中心及都匀经济开发区高铁片区的市政道路建设项目”等项目。

目前公司已设立的SPV公司有：云南中核空港建设投资有限公司、昌乐中核建设投资发展有限公司和永州中核建设投资有限公司。 规划运营部：曹鹏飞

声明：本文由入驻搜狐号作者撰写，除搜狐官方账号外，观点仅代表作者本人，不代表搜狐立场。

推荐访问:信息安全 解密 公司