【IT168 专稿】棱镜门事件的热度正在慢慢淡出大众的视野，然而，对于关注信息安全产业的人来说，棱镜门给业界带来的震动不亚于一次冲击波病毒所带来的影响。业界在关注棱镜门事件的同时，也开始思考应对之道，思考信息安全的未来。

　　与棱镜门这种信息监控与窃取类似的事件绝不仅仅只是现在才发现，也不会是一个个案，除了国家层面，企业层面其实早有很多相似的情形，商业间谍无孔不入，让很多企业为此损失惨重。浙江搬运工演绎的“间谍魅影”导致百家企业商业秘密被盗；维尔康与江山制药案、浙江电力采购底牌泄密、力拓案等影响甚大。微软VS甲骨文、联合利华VS宝洁、IBM VS 日本三菱、通用VS大众都发生过著名的商业间谍纠纷。

　　为此，我们专门采访了国内专注于数据安全领域的溢信科技研发总监黄凯，他谈到，棱镜门让更多的企业开始正视安全问题，开始将注意力放到内部的信息安全上，警惕那些可能造成数据泄露的漏洞。

▲溢信科技研发总监黄凯

　　提升企业数据保护意识

　　在提升企业保护数据的意识方面，黄凯认为，要想让企业重视安全首先得让其了解安全，很多企业之所以不重视安全，是因为他们在安全方面的了解太少，而且存在许多固有的成见。因此，可以通过破除成见，普及科学安全观来提升企业的安全意识。黄凯总结几点企业应具备的数据泄露防护观念：

　　第一：信息安全是企业的一种生产要素。这是针对“安全不重要，安全只花钱不赚钱”的观念来讲的，首先，在现在这样一个高度信息化的社会里，信息对于企业的作用与人力、资金、设备等传统生产要素相比，渐渐趋于平衡，对企业的影响力空前提高。对于有些产业如信息产业，信息就是企业的命脉。其次，既然是生产要素，就会存在一个投入产出比。在某个临界点之前，安全投入得越多，收益就会越大，而过了这个临界点，投入收益比就会降低。但目前国内企业的安全投入还远远未达到临界点。

　　第二：未发生事故并不意味着就足够安全。很多企业易被眼下的平静所迷惑，看不到潜在的风险。在安全界有一个海因里希法则：当一个企业有300个隐患或违章，必然要发生29起轻伤或故障，在这29起轻伤事故或故障当中，有一起重伤、死亡或重大事故。很多企业只看到最后的一起重大事故，这样就会错过非常好的的风险防御时机，亡羊补牢悔之晚矣。

　　第三：预防措施往往比纠正措施更节约成本。中国有个成语叫曲突徙薪，说的是一个人不听朋友劝，结果新房子酿成火灾，他感激邻居帮他灭火，却忘了当初提醒他的朋友。现实中很多企业都有类似情形，忽略事先预防，结果酿成悲剧，才亡羊补牢，但付出的代价比当初预防所需的要多得多。英特尔前员工将商业机密泄露给竞争对手ARM，造成损失近10亿美元。据统计美国因信息泄露造成的商业损失高达每年1000亿美元，名列《财富》(Fortune)全球1000强的大公司，平均每年因信息泄露导致的损失总数高达450亿美元。泄露出去的信息就如泼出去的水，覆水难收，还不如提早加强信息安全建设。

　　第四：没有绝对的安全，需要平衡在安全上的投资与回报。很多企业认为既然花了钱，就应该确保绝对安全，不出任何问题，这显然是不现实的。安全并不是说没有什么问题，而是说即使出现问题，也都在企业可接受的范围内，不会对企业造成明显的损失。所以企业要认清自己的安全范围，然后予以相应的投入，实现两者之间的平衡。

　　企业该如何做好数据安全策略？

　　要做好数据安全策略，最重要的就是要对企业进行全面的风险评估，只有清楚地了解问题，才能有的放矢地解决问题。评估需要通过三大过程。一是通过内部问卷调研、人员访谈等方式，了解清楚企业各部门资产的情况，哪些资产是真正需要保护的。通常，企业中的机密数据应当包括：技术、方法、工作模式、处理流程、生产计划等，以及各种图表、供应商信息，新产品设计图纸和营销战略，或者程序源代码、营销数据和客户信息等等。这些企业机密数据中的任何一部分数据的丢失，都会给企业带巨额的经济和无形资产的损失；二是识别这些关键信息所面临的威胁，并检查信息系统的脆弱性，并确定系统抵抗威胁的能力。如果将信息比作一个人，那威胁就是他的敌人，而脆弱性则是到他的缺陷，如无力的拳头等；第三，评估风险发生的可能性和所产生的影响，还是以人为例，可能性就是被敌人伤害到的机率，产生的影响是说如果被敌人伤到，会带来多大的后果。

　　评估之后接着是确定风险处理措施。企业需要根据不同部门的涉密程度以及所面临的风险级别，部署轻重有别的防护系统。需要强调的一点是，切忌武断地忽视某些区域。目前虽然国内企业信息防泄露技术的发展已经日臻成熟，但还有不少企业的防泄露措施依然只集中于所谓的核心部门。但实际上非核心部门也可能接触到机密信息，如果缺乏有效的管控措施，信息很可能就无声无息的流失了。

　　谈到如何处理员工个人隐私和公司数据安全之间的矛盾时，黄凯介绍到，“近年来，企业机密被内部员工窃取而造成重大损失的案例可以说是层出不穷;但另一方面，企业被状告侵犯员工隐私的新闻也不少见。就拿电子邮件来说吧，企业监视员工的电子邮件时，必将出现‘维护企业信息安全’和‘员工个人隐私’间的矛盾。作为一个企业，进行数据保护使必要的，但为了防止侵犯第三方的权利，就必须采取合理的措施，进行信息安全管理。但为了解决安全与隐私的矛盾，企业在实施监视时，一是要提前让员工知道，赢得他们的理解，而且尽可能非针对性地进行监视和管理;二是在监控时采取灵活的策略，比如分时段控制，工作时间进行监控，休息时间则解除监控。”