信息安全的隱秘角落，如何防？_風聞

出品 | 子彈財經

作者 | 白華

編輯 | 閃電

美編 | 倩倩

審核 | 頌文

2023年10月份，日本最大通信運營商NTT WEST兩家子公司宣佈，公司的九百萬條數據被盜，泄露時間長達十年。

2022年12月份，蔚來發布公告稱數據泄露，被勒索超千萬。

……

更多的信息安全事件還在不斷上演。據GoUpSec發佈的《2022年中國企業數據安全現狀調查報告》內容顯示。就連最注重信息安全的金融、高精尖製造等行業的上百家大型企業，四分之一的企業承認發生過較大的信息安全事件。

對於很多企業來説，**信息安全問題，決定不了企業的生，卻可能會決定企業的死。**守好「信息安全」這條生命線，企業應該如何做？有事倍功半的方法嗎？

1、移動辦公時代，是信息泄密的高發區在馬斯洛需求理論模型中，“安全需求”（safety need）位於倒數第二層。然而，隨着數字經濟時代的到來，傳統的“安全”定義正在被新時代重寫。

特別是「移動辦公」已經成為各大企業的標配，信息安全矛盾更加突出。**在移動辦公時代，信息泄密，更容易發生在人和人交互的環節，像是聊天、傳輸文件、訪問應用等等。**企業商業機密、核心研發成果都可能面臨泄密的風險。

IDC一份調查顯示，60%的企業員工會將商業機密數據儲存在其智能手機中。這就意味着，一旦被有心人截屏外發，企業核心數據或個人信息泄密，將給企業和用户帶來巨大損失。卡巴斯基曾披露數據顯示，2019年約46%的網絡安全事件，是由粗心大意的員工引起的。

（圖 / 攝圖網，基於VRF協議）

其實，在移動辦公時代，保護好企業的信息安全、消除安全盲區，就是守護企業的核心競爭力。尤其現在處於經濟低迷期，企業對安全問題一定要更加重視。

管理學中有個著名的Double E戰略理論：在經濟上行期，企業一般要主動explore，探索外部新的機會；但在經濟低迷期，企業要更趨於內部exploit，着眼於利用內部的資源挖掘。

**對內exploitation，非常重要的一點就是要「控制好風險」。**換句話説，企業穿越低迷週期，不僅需要一把衝鋒槍，更需要一件安全防彈衣，不犯錯是第一要義。而越是擁有技術優勢的企業，就像擁有高絕對收益的資產一樣，一定要注意風險控制，否則，增長的盈利就都白乾了。

那麼面對移動辦公中的信息安全問題，企業到底如何預防和解決呢？

在企業微信和哈佛商業評論合辦的「2023實幹企業峯會」上，作為一家擁有3000多項專利發明、知識產權的全球新能源行業領先的科技企業——協鑫集團給出了它的新解法。

信息安全對於科技企業協鑫來説格外重要，協鑫在三個移動辦公的典型場景：信息溝通、文件傳輸、應用訪問，開展了一系列防護措施，保障了公司的信息安全。

**2、移動辦公浪潮下，信息溝通如何防截屏、防泄密？**在移動辦公的浪潮下，日常業務溝通大部分均在線上，包括羣聊、郵件、在線會議等。一旦有人轉發、截屏發佈到網絡上或他人，將會給企業帶來損失。

《2023年Q2數據資產泄露分析報告》顯示，2023年第二季度，數據泄露相關情報多達5400多萬條，有效的數據泄露事件共計2018起，是第一季度的兩倍之多。其中，員工誤將敏感信息外傳等情形成為第二季度數據泄露的主要原因。

日常溝通中，聊天機密被截屏發到網絡，企業如何預防和追溯呢？

協鑫集團數字創新中心擔任總經理陳鋭分享道，要從辦公軟件上下功夫。**在協鑫的企業微信上，不論是溝通、開會、共享文檔，還是收發郵件，都有水印的設置。**水印對於全員來説，有實時警示的作用，能夠有效地避免商業信息的外泄。不僅能事前警示，截屏外發了，水印上有姓名也可以追溯追責。

但是，有時候密密麻麻的文字、數據，很容易被水印所遮擋。因此，為了不影響閲讀和美觀，協鑫還使用了企業微信的新功能「暗水印」。「暗水印」肉眼看不見，但是一旦有人截屏泄密，圖片可以通過企業微信的後台解析，能夠查到是誰、是哪個部門、在什麼時間截屏，起到事後追溯的效果。

“對於涉及工作中任何事情，一定要通過企業微信來溝通，因為在企業微信上，信息溝通是有安全保護的。”陳鋭説道。在他看來，幾乎所有企業都有移動辦公的需求，辦公軟件的溝通內容如工作羣裏的聊天記錄、線上會議投屏的材料，不可避免會涉及到商業秘密。一旦被有心人截屏外發、或公佈在網絡，將給企業帶來巨大損失。

大家可能會留意到，很多在網絡上瘋傳的，常常都不是文檔，而是圖片。很多企業的管理者，最擔心的就是，機密的聊天記錄、文件內容被截圖發到網絡。但管理者也苦悶沒有解決辦法。

**協鑫集團，通過辦公軟件，為企業信息安全增加一道安全閥。**一個簡單的“加上水印”的動作，不僅可以明確責任，有實時警示效果，有心之人截圖總要掂量一下。因為帶着自己的水印，即便是出於便利性截了屏，也不敢隨意把圖片傳出去。

企業微信的暗水印，還能預防有心之人塗掉水印，幫助企業在事後追溯。針對公司高保密的部門，開啓企業微信「截屏/錄屏管理」功能，可以從源頭杜絕惡意截屏和錄屏的行為。這無疑是給企業在信息溝通的安全防護上，加了一針強心劑。

3、文件如何安心傳遞？明確權限、管控傳輸路徑除了信息溝通外，對於一家企業而言，有大量的保密文件需要分門別類的管理。例如記錄着財務預算的文檔，最好是隻有財務部門的同事可看；記錄着薪酬結構的文檔，最好只有HR部門的同事可看；記錄着核心技術參數的文檔，只有技術部門的同事可看……

但在日常的工作交流中，會有大量的文檔資料和核心數據，在企業間、部門間、人員間實時進行流轉，流轉過程中的文件容易遭到竊取和泄露，可能會導致嚴重的後果。

那麼如何有效管控文件在傳輸過程中的安全、防止意外泄密？這也是信息安全體系的重中之重。

在協同辦公軟件中，企業微信就可以做到給在線文檔「設置權限」，確保無關的人無法查閲、修改文件。主要是兩方面：

**一是設置文檔的「訪問權限」。**哪些是對外文檔，外部人員和內部人員都能看？有關財務、有關工資的，開放給哪幾個人？特殊文檔，只給誰看？

**二是設置文檔的「操作權限」。**哪些人只有“瀏覽”權限？哪些人不僅可以瀏覽，還擁有“編輯”權限？而沒有獲得權限的人，就需要通過權限申請才能訪問文檔。

沒有權限的人，需要通過權限申請，才能訪問文檔。因此，不管是誤發還是外傳，不相干的人即便是收到了文檔也打不開。確認好文件的所有權、瀏覽權、編輯權，文檔才能進行傳遞。

在線文檔、在線表格等在線的文件可以設權限，但是，在工作中還有一些文件是圖片、pdf、視頻格式，怎麼設權限呢？企業微信的微盤，可以儲存工作中的任何格式文件，和在線文檔一樣，同樣可以設置文件的訪問權限。

其實很多做管理的人會擔心：公司人數挺多了，萬一員工沒有養成重要文件傳微盤的習慣怎麼辦？

以領先科技企業協鑫集團為例，其在管控文件安全傳輸的中，採取了一些有效的措施。首先，協鑫集團在內部進行了文件安全等級、涉密程度的劃分，不同等級，協鑫集團也設置了不同的安全措施。

其次，協鑫集團也對於文檔和數據的傳輸進行了安全防控，和數據防泄密統一進行部署。協鑫集團啓用了企業微信的「文件防泄漏」功能，可以實現將往來所有文件的操作記錄、傳輸記錄一一記錄，並自動上傳到企業後台的管理日誌，便於備查和事後風險跟蹤。

同時，協鑫集團內部有一些文檔需要頻繁發來發去，但只想給特定的人可見，**用企業微信文檔、微盤，可以針對企業內外部的不同人員，設置不同的權限，**比如是否能查看、編輯、下載、複製等等。

企微與協鑫集團HR系統無縫集成，因此涉密文檔的權限與組織架構、崗位實時掛鈎。**比如財務現金流的文件，只能財務部資金崗位的人員能看、轉發，即使本部門其他人員查看也需要流程授權申請。**此外，協鑫集團還對企業微信的在線文檔和微盤，進行多種組合和特殊權限設置，區別企業內外不同類型人員，既安全又靈活。

如此一來，藉助企業微信在線文檔、微盤的權限設置，文件防泄漏等功能，相當於在“文件”最原始的階段就進入“安全模式”，還能對文件傳輸路徑進行管控。對於企業而而言，既不復雜，又非常高效。

**4、應用訪問，如何兼顧安全與便捷？**隨着數字化轉型浪潮進入深水區，系統移動化是趨勢。公司的系統裏，承載了大量的業務數據，比如合同報價、競標預算、員工薪資等，但在移動辦公場景下，「應用訪問」的安全很容易被忽略。

根據Ponemon Institute發佈的《2020年數據隱私和安全報告》顯示，超過75%的受訪組織表示，在過去兩年內經歷過至少一次由於應用訪問安全問題導致的數據泄露事件。這表明應用訪問安全問題已經成為數據泄露的主要風險之一。

如何來規避「應用訪問」的安全風險呢？安全和便捷能兼顧嗎？

（圖 / 攝圖網，基於VRF協議）

這個難題，協鑫集團也曾經遇到過。其是擁有四家上市公司的多元化集團，有集團統籌的應用系統，也有產業板塊個性化的應用系統，集團關鍵的應用系統就多達100多套。為確保業務的及時與高效，業務部門需要隨時隨地訪問相關應用系統，如果應用系統在接入互聯網時遭到惡意破壞，那對業務的影響將不堪設想。

之前，協鑫集團通過系統的應用端口映射，以及VPN的方式來解決，不可避免會受到來自網絡上各種威脅的攻擊。為有效保護這些應用系統在互聯網上的安全，協鑫集團需要不定期的通過系統補丁、更新病毒庫以及相關安全設備來防範。這些工作，既增加運維成本又耗時複雜，還會因為疏漏產生隱患。

“而現在，**協鑫集團將企業微信融合騰訊的零信任安全管理體系，一起構建了協鑫移動互聯的安全管控平台。**將我們100多個關鍵應用集成到企業微信中，這麼一來，**企業微信就成為我們移動辦公的統一門户，唯一身份認證入口。**通過這個認證，結合加密傳輸，我們可以隨心所欲在企業微信中訪問應用系統和審批流程。”陳鋭分享到。

目前，僅僅是流程審批這一項，協鑫集團每天都有近一萬以上的業務流程，是通過零信任機制在企業微信上進行審批。不僅安全有了保障，效率也有了明顯的提升。

5、結語移動浪潮之下，企業在信息溝通、文件傳輸、應用訪問等方面，面臨着諸多挑戰。作為企業，不能因噎廢食，而是要學會藉助數字化工具，從源頭確保企業信息數據的安全。

在當今複雜的商業環境中，僅憑一兩家企業或安全廠商的努力是遠遠不夠的。未來，中國需要更多像企業微信這樣的平台積極參與，與各個利益相關者共同努力，構建一個安全、互信的數字化世界。企業或許可以實現高效溝通、保障信息安全、確保業務連續性，從而更好地應對不斷變化的數字時代！

*文中題圖來自：攝圖網，基於VRF協議。