淺析跨國(guó)企業(yè)電子信息安全管理

陳煜坤

【摘 要】隨著跨國(guó)企業(yè)海外業(yè)務(wù)的不斷增加，跨境電子信息安全問(wèn)題日益突出。而電子信息跨境傳輸，保密方式有別于國(guó)內(nèi)，增大了電子信息安全管理的難度。本文主要從科學(xué)設(shè)計(jì)與組織管理角度，淺析各類(lèi)跨國(guó)企業(yè)電子信息安全管理的特點(diǎn)，問(wèn)題與解決方法。

【關(guān)鍵詞】跨國(guó)企業(yè)；電子信息；科學(xué)設(shè)計(jì)；信息安全；組織管理

一、跨國(guó)企業(yè)電子信息安全管理的意義

隨著我國(guó)“一帶一路”倡議的實(shí)施，經(jīng)濟(jì)全球化的深入發(fā)展和跨境電子商務(wù)的崛起，跨國(guó)企業(yè)電子信息安全管理的重要意義日益顯著。而頻繁發(fā)生的網(wǎng)絡(luò)安全事件讓跨國(guó)企業(yè)蒙受巨大損失，從科學(xué)設(shè)計(jì)與組織管理層面加強(qiáng)電子信息安全管理已刻不容緩。

1.有利于保護(hù)商業(yè)核心機(jī)密，提高企業(yè)競(jìng)爭(zhēng)力

商業(yè)競(jìng)爭(zhēng)的關(guān)鍵在于企業(yè)有獨(dú)特的競(jìng)爭(zhēng)優(yōu)勢(shì)，能保障企業(yè)核心競(jìng)爭(zhēng)力。這就是商業(yè)機(jī)密的重要性。防止這一包括設(shè)計(jì)資料，管理訣竅，生產(chǎn)技術(shù)，客戶(hù)名單和市場(chǎng)情報(bào)等的重要資料泄漏，可以使企業(yè)免受經(jīng)濟(jì)利益損失和不必要的法律問(wèn)題。而對(duì)于電子信息形式的資料易拷貝，易修改和易破壞的特性，加強(qiáng)企業(yè)電子信息安全管理更為重要。

2.通過(guò)保障企業(yè)電子信息安全管理的運(yùn)行，有助于提升企業(yè)對(duì)全局的掌控能力和危機(jī)應(yīng)對(duì)能力

在信息時(shí)代誰(shuí)能更準(zhǔn)確安全全面的把握電子信息，誰(shuí)就能更好的掌握全局，贏得競(jìng)爭(zhēng)。為防止企業(yè)內(nèi)部信息混亂，不準(zhǔn)確易泄露，遇到大規(guī)模電子信息安全事件不能管控?fù)p失，導(dǎo)致企業(yè)生存能力堪憂(yōu)的情況。加強(qiáng)管理，保障電子信息安全，從而防止競(jìng)爭(zhēng)對(duì)手黑客和外國(guó)政府的影響與破壞就是提升企業(yè)對(duì)全局的掌控能力和危機(jī)應(yīng)對(duì)能力的良策?？梢?jiàn)企業(yè)根據(jù)自己的特點(diǎn)設(shè)計(jì)行電子信息安全管理機(jī)制，強(qiáng)化員工電子信息安全意識(shí)，制定行之有效的危機(jī)響應(yīng)計(jì)劃，從而保障企業(yè)電子信息安全運(yùn)行意義重大。

3.有利于保障客戶(hù)隱私與權(quán)益，樹(shù)立企業(yè)良好口碑

眾所周知，企業(yè)以誠(chéng)信可靠為本。隨著信息交流的加快和網(wǎng)絡(luò)攻擊事件的頻發(fā)以及全球的個(gè)人隱私安全的關(guān)注與擔(dān)憂(yōu)的加深。對(duì)包括客戶(hù)基本信息和特點(diǎn)的電子信息安全的保障，正是企業(yè)立足的關(guān)鍵。在個(gè)人信息泄露事件頻發(fā)的當(dāng)下，跨國(guó)企業(yè)加強(qiáng)電子信息安全管理以保障客戶(hù)隱私與權(quán)益更有其特殊意義。

二、跨國(guó)企業(yè)的突出特點(diǎn)及其面臨的電子信息安全管理問(wèn)題

1.雇員數(shù)目龐大，母子公司間電子信息聯(lián)系緊密的特點(diǎn)

跨國(guó)企業(yè)，特別是大中型跨國(guó)企業(yè)常有不同國(guó)籍，能力層次和心理狀態(tài)的眾多雇員一起共事，企業(yè)不時(shí)根據(jù)效益做出人事調(diào)整。同時(shí)有許多子公司從事與母公司相關(guān)的行業(yè)和領(lǐng)域使得企業(yè)內(nèi)部電子信息聯(lián)系緊密。這一特點(diǎn)對(duì)企業(yè)信息安全管理是不小挑戰(zhàn)。

（1）對(duì)企業(yè)不滿(mǎn)的員工和被競(jìng)爭(zhēng)對(duì)手收買(mǎi)或安插的企業(yè)雇員必然威脅企業(yè)電子信息安全，而這正是現(xiàn)今企業(yè)忽視和難以管理的重大問(wèn)題，呈日益高發(fā)態(tài)勢(shì)。根據(jù)CSI和FBI2005年的“計(jì)算機(jī)犯罪和安全調(diào)查”，不滿(mǎn)的雇員是最易發(fā)起電子信息攻擊的人。

（2）子公司，尤其是自持大部分股份的子公司的電子信息安全管理比較困難，電子信息傳輸與共享頻繁且難以監(jiān)管，成為黑客攻擊公司內(nèi)網(wǎng)的跳板，一旦出現(xiàn)風(fēng)險(xiǎn)損失極大。這樣的問(wèn)題亟待解決。

2.大型網(wǎng)絡(luò)公司數(shù)據(jù)類(lèi)型多數(shù)量大，內(nèi)外網(wǎng)之間電子信息交換頻繁的特點(diǎn)

跨國(guó)公司中以跨境電子商務(wù)公司和跨境網(wǎng)絡(luò)平臺(tái)為首的大型網(wǎng)絡(luò)公司因?yàn)橹鳡I(yíng)業(yè)務(wù)在網(wǎng)上，為客戶(hù)和金融體系提供云平臺(tái)保存服務(wù)和快速便捷的金融數(shù)據(jù)信息的流動(dòng)保存平臺(tái)，電子信息存在類(lèi)型多數(shù)量大和內(nèi)外網(wǎng)間電子信息交換頻繁的特點(diǎn)。這些特點(diǎn)使企業(yè)外部安全挑戰(zhàn)增大。

（1）龐大的數(shù)據(jù)量和信息的流動(dòng)性使企業(yè)篩查風(fēng)險(xiǎn)的能力和效率大打折扣，應(yīng)對(duì)手段和花樣不斷翻新的網(wǎng)絡(luò)攻擊時(shí)無(wú)論從應(yīng)對(duì)方案還是人員角度都力不從心。

（2）內(nèi)外網(wǎng)頻繁的信息交流稍有不當(dāng)就會(huì)使內(nèi)網(wǎng)保密數(shù)據(jù)泄漏和遭受攻擊，很多企業(yè)不能用好內(nèi)外網(wǎng)隔離這最后屏障，導(dǎo)致企業(yè)內(nèi)部大規(guī)模癱瘓，問(wèn)題也很突出。

3.國(guó)際組網(wǎng)的物理環(huán)境和硬件設(shè)備復(fù)雜，遠(yuǎn)距離電子信息傳輸容易解密的特點(diǎn)

跨國(guó)企業(yè)的經(jīng)營(yíng)勢(shì)必要使用國(guó)際網(wǎng)絡(luò)的物理鏈路，因?yàn)樾畔⒔涣鞒尸F(xiàn)的遠(yuǎn)距離，快速度，高質(zhì)量和大容量等特點(diǎn)，且量子保密通信遠(yuǎn)未在國(guó)際商業(yè)上普及。現(xiàn)在最行之有效的仍是光纖傳輸，輔之以衛(wèi)星基站傳輸?shù)葻o(wú)線(xiàn)傳輸手段。

而在國(guó)外組網(wǎng)，難免采用國(guó)外電子信息硬件，其所采用的標(biāo)準(zhǔn)，安全可信度和國(guó)外信息傳輸協(xié)議與國(guó)內(nèi)有所不同。這些正是目前跨國(guó)企業(yè)電子信息傳輸和存儲(chǔ)的基礎(chǔ)硬件特點(diǎn)。

而隨著光纖信號(hào)竊聽(tīng)技術(shù)的成熟與運(yùn)用，光纖網(wǎng)絡(luò)中傳輸?shù)钠髽I(yè)電子信息受到的威脅也逐漸加深。通過(guò)該技術(shù)，網(wǎng)絡(luò)攻擊者很容易竊取光纖鏈路中傳輸?shù)臄?shù)據(jù)，而且竊取行為的隱蔽性逐漸增強(qiáng)，成本逐漸降低。對(duì)企業(yè)的商業(yè)機(jī)密造成了極大的威脅。無(wú)線(xiàn)傳輸?shù)碾娮有畔⒁蚴褂脟?guó)際基站和直接接觸萬(wàn)維網(wǎng)而泄密問(wèn)題更難解決。

同時(shí)，使用了包含外國(guó)芯片等硬軟件的電子信息儲(chǔ)存設(shè)備，源代碼和網(wǎng)絡(luò)協(xié)議難以檢查。一但有已存在的惡意代碼或漏洞，企業(yè)自查困難重重。

4.面對(duì)的電子信息安全風(fēng)險(xiǎn)不斷增大，網(wǎng)絡(luò)攻擊手段和程序加速翻新的特點(diǎn)

跨國(guó)企業(yè)，尤其是網(wǎng)絡(luò)服務(wù)型企業(yè)，近年來(lái)面對(duì)的電子信息安全形式加速變化，各種攻擊手段與程序加速翻新。據(jù)IBM統(tǒng)計(jì)，與2015年相比較，2016年全球發(fā)生的勒索軟件攻擊事件增長(zhǎng)了驚人的60000%，大型跨國(guó)企業(yè)成為攻擊的重災(zāi)區(qū)。這還不包括2016年全球出現(xiàn)的7次大規(guī)模物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)驅(qū)動(dòng)的DDOS攻擊。這種特點(diǎn)要求企業(yè)有完整且切實(shí)可行的電子信息安全管理體系，電子信息安全的預(yù)警機(jī)制，受到攻擊后迅速反應(yīng)的損失管控與數(shù)據(jù)恢復(fù)系統(tǒng)，以及對(duì)企業(yè)電子信息安全管理機(jī)制進(jìn)行不斷審查，修訂和監(jiān)督的機(jī)構(gòu)與制度。

然而很多企業(yè)重視技術(shù)而輕視組織管理和上述整體電子信息安全框架的構(gòu)建的要求。未能站在全局的，變化的角度重塑電子信息安全觀。各個(gè)系統(tǒng)無(wú)法統(tǒng)籌協(xié)調(diào)，導(dǎo)致事前無(wú)預(yù)警，事發(fā)無(wú)管控，事后無(wú)恢復(fù)，事過(guò)無(wú)評(píng)估的惡性循環(huán)嚴(yán)重影響企業(yè)競(jìng)爭(zhēng)力和生存力。這正是上述所有問(wèn)題的根本。

三、跨國(guó)企業(yè)電子信息安全管理的解決方法

1.設(shè)置嚴(yán)格的訪問(wèn)瀏覽權(quán)限

針對(duì)企業(yè)內(nèi)部雇員發(fā)起的攻擊，泄密問(wèn)題。就必須對(duì)企業(yè)內(nèi)網(wǎng)和內(nèi)部服務(wù)器設(shè)置嚴(yán)格的訪問(wèn)瀏覽權(quán)限。限制閱讀，拷貝，修改和上傳電子信息形式的商業(yè)機(jī)密的人員級(jí)別，并定期和根據(jù)人員變動(dòng)，對(duì)權(quán)限進(jìn)行調(diào)整，這樣能很好阻斷雇員泄密，攻擊的可能性，減少損失。

2.設(shè)計(jì)內(nèi)外網(wǎng)交換方便又互不影響的內(nèi)外網(wǎng)互聯(lián)安全設(shè)備

針對(duì)內(nèi)外網(wǎng)數(shù)據(jù)交換頻繁的跨國(guó)企業(yè)，有必要在內(nèi)外網(wǎng)之間建立以網(wǎng)閘為基礎(chǔ)的安全區(qū)，實(shí)施嚴(yán)格的安全隔離審查。首先，絕不允許任何非內(nèi)部網(wǎng)絡(luò)協(xié)議穿越網(wǎng)閘，通過(guò)自有程序?qū)⒁呀?jīng)安全審查的電子信息進(jìn)行中繼。其次，以網(wǎng)閘為中心，在安全區(qū)布置隔離防火墻，數(shù)據(jù)安全掃描系統(tǒng)等設(shè)備，并定期根據(jù)網(wǎng)絡(luò)安全最新動(dòng)向進(jìn)行更新，防止內(nèi)部電子信息外泄和來(lái)自外部的入侵。

3.對(duì)跨國(guó)傳輸?shù)碾娮有畔⑦M(jìn)行加密，建立國(guó)際網(wǎng)絡(luò)專(zhuān)線(xiàn)

針對(duì)信息國(guó)際傳輸鏈路安全難以保證問(wèn)題，首先通過(guò)網(wǎng)絡(luò)加密機(jī)對(duì)信息進(jìn)行加密，當(dāng)然加密設(shè)備必須可信賴(lài)，最好是本國(guó)產(chǎn)品。其次可以在網(wǎng)絡(luò)中建立企業(yè)自有的臨時(shí)網(wǎng)絡(luò)專(zhuān)線(xiàn)，通過(guò)防火墻，攻擊感知和預(yù)警系統(tǒng)進(jìn)行防備，也可以獨(dú)自建立專(zhuān)屬的物理鏈路。當(dāng)然后者成本和法律上較困難，在天地量子保密傳輸還未商用時(shí)前者更實(shí)際。

4.對(duì)不可移動(dòng)設(shè)備的定期檢查和移動(dòng)硬件的管理

針對(duì)國(guó)外不可移動(dòng)設(shè)備的可靠性和極易泄密的移動(dòng)儲(chǔ)存設(shè)備，特別是跨國(guó)時(shí)使用的移動(dòng)儲(chǔ)存介質(zhì)的問(wèn)題。首先要將操作系統(tǒng)正版化，盡可能的將內(nèi)部網(wǎng)絡(luò)協(xié)議自有化，軟件程序要可靠，盡可能使用本國(guó)的系統(tǒng)。在使用前檢查修補(bǔ)，使用中定期檢查使用后用可靠數(shù)據(jù)清除設(shè)備將電子信息抹去。

對(duì)于跨國(guó)和平時(shí)的移動(dòng)設(shè)備，進(jìn)行高度加密，限制可用范圍為公司內(nèi)部相同協(xié)議設(shè)備，一但發(fā)現(xiàn)非法處理和拷貝信息立即自動(dòng)銷(xiāo)毀信息。在使用管理上實(shí)行統(tǒng)一管理，實(shí)名取用，用后嚴(yán)格檢查有無(wú)儲(chǔ)存和非法拷貝。對(duì)跨國(guó)的設(shè)備更是要抹去不必要的數(shù)據(jù)，實(shí)施權(quán)限管理。

5.建立健全企業(yè)總體信息安全管理系統(tǒng)的框架和調(diào)整修訂計(jì)劃

針對(duì)企業(yè)在電子信息安全管理領(lǐng)域重技術(shù)輕管理，各自為戰(zhàn)效率不高的問(wèn)題，有必要建立一個(gè)能協(xié)調(diào)配合，發(fā)揮優(yōu)勢(shì)并可以自主根據(jù)電子信息安全形勢(shì)進(jìn)行調(diào)整修正的安全管理體系，這是治本之策。

（1）安全響應(yīng)體系。由于對(duì)信息安全狀況的感知和預(yù)知手段與技術(shù)快速發(fā)展，對(duì)危機(jī)的預(yù)警成為可能。預(yù)警之后就按照企業(yè)預(yù)設(shè)的安防機(jī)制進(jìn)行防范。遭到攻擊后立即對(duì)攻擊的特點(diǎn)進(jìn)行確定和防衛(wèi)，對(duì)內(nèi)部鏈路進(jìn)行分隔保護(hù)。之后迅速對(duì)損失數(shù)據(jù)和遭破壞體系進(jìn)行修復(fù)。事件結(jié)束后應(yīng)從損失情況，危機(jī)的新變化，應(yīng)急響應(yīng)的效果等層面進(jìn)行綜合評(píng)估與分析。最后依據(jù)分析結(jié)果對(duì)企業(yè)安全策略，安防系統(tǒng)乃至電子信息傳輸體系進(jìn)行調(diào)整。

（2）為保障該體系而建立的組織系統(tǒng)，硬件保障系統(tǒng)和技術(shù)支持系統(tǒng)。他們統(tǒng)一在該安全體系下，體系對(duì)他們起統(tǒng)一領(lǐng)導(dǎo)作用，互相間是相容的互促關(guān)系，對(duì)體系產(chǎn)生執(zhí)行和調(diào)整作用。為完成這一自我調(diào)整自我循環(huán)過(guò)程，下設(shè)合理有力的機(jī)構(gòu)和保障制度，這不必詳述。

四、結(jié)語(yǔ)

電子信息安全是跨國(guó)企業(yè)“走出去”的一大挑戰(zhàn)。它涉及企業(yè)的核心機(jī)密，關(guān)系到企業(yè)的核心競(jìng)爭(zhēng)力和口碑，對(duì)企業(yè)掌控全局意義重大，故實(shí)施電子信息安全管理勢(shì)在必行。為達(dá)到目的，按安全響應(yīng)體系設(shè)計(jì)的組織系統(tǒng)，硬件保障系統(tǒng)和技術(shù)支持系統(tǒng)三足鼎立形成信息安全管理框架。在這之下對(duì)物理鏈路，軟件，內(nèi)外網(wǎng)和跨境傳輸，以及人員權(quán)限儲(chǔ)存硬件等進(jìn)行強(qiáng)化管理。只有多管齊下多措并舉的從科學(xué)設(shè)計(jì)與組織管理角度對(duì)企業(yè)電子信息予以保障，跨國(guó)企業(yè)發(fā)展的動(dòng)力，效應(yīng)和前景才能更加明朗。

參考文獻(xiàn)：

[1]CSI/FBI“2005年計(jì)算機(jī)犯罪和安全調(diào)查”.

[2]IBM X-Force“2016垃圾郵件趨勢(shì)跟蹤研究”.