摘 要： 為進(jìn)一步提升白酒企業(yè)抵御風(fēng)險的能力，研究白酒企業(yè)內(nèi)部成本信息泄露風(fēng)險及防范措施。 選擇層次分析法多層次、多因素總結(jié)了以下 6 種常見的數(shù)據(jù)泄露事故：黑客竊取數(shù)據(jù)、員工失誤、員工有 意泄露、通信風(fēng)險、網(wǎng)絡(luò)詐騙、電郵泄露，統(tǒng)計白酒企業(yè)各金融業(yè)務(wù)風(fēng)險，提出如下防范措施，從制度、職 責(zé)、流程、標(biāo)準(zhǔn)、考核 5 個方面(“五位一體”)，健全失泄密風(fēng)險管理體系。企業(yè)可參照國家保密部門已經(jīng) 頒布的一系列保守國家秘密的制度，規(guī)范企業(yè)管理制度，設(shè)置權(quán)限管理，加強(qiáng)防護(hù)工作，從數(shù)據(jù)源頭對郵 件進(jìn)行高強(qiáng)度加密，重視人員的管理也是金融信息防范工作。

　　關(guān)鍵詞： 白酒企業(yè); 內(nèi)部成本; 信息泄露風(fēng)險; 防范

　　近幾年數(shù)據(jù)泄露事件越發(fā)普遍，企業(yè)需要承擔(dān) 的泄露成本也越來越高，據(jù) IBM的年度數(shù)據(jù)泄露成 本報告發(fā)現(xiàn)，數(shù)據(jù)泄露的平均總成本接近 400 萬美 元。隱私安全和數(shù)據(jù)保護(hù)成為了當(dāng)下企業(yè)不得不 面對的嚴(yán)峻問題[1] 。釀酒企業(yè)規(guī)模、產(chǎn)值巨大，每天 產(chǎn)生的利潤十分可觀。在此背景下，對自身信息泄 露風(fēng)險情況必須有一個準(zhǔn)確了解，這對于明確自身 經(jīng)營發(fā)展?fàn)顩r、行業(yè)定位、制定正確的發(fā)展戰(zhàn)略具 有重要的現(xiàn)實意義。

　　績效評價是依照公司或組織構(gòu)建的指標(biāo)評價體系，按照預(yù)先確定的標(biāo)準(zhǔn)和一定的評價程序定 性、定量分析公司或組織整體經(jīng)營狀況的一種方 法。而信息泄露風(fēng)險評價僅僅是針對企業(yè)財務(wù)狀 況進(jìn)行的評估，不代表企業(yè)的整體發(fā)展?fàn)顩r。目前 績效評價主要有基于 BP 神經(jīng)網(wǎng)絡(luò)的績效評估、基 于灰色關(guān)聯(lián)的績效評估等幾種[2] 。

　　以上這些評價方 法雖然能夠得到一定的評價結(jié)果，但是只對企業(yè)的 短期財務(wù)評價狀況有效，評估結(jié)果具有一定的局 限性。 針對上述情況，研究白酒企業(yè)信息泄露風(fēng)險與防范措施。

　　1 白酒企業(yè)信息泄露風(fēng)險

　　在白酒企業(yè)信息泄露風(fēng)險研究中，通過數(shù)值展 現(xiàn)績效情況的途徑[3-4] 。選擇層次分析法進(jìn)行權(quán)重 計算，選擇原因如下：應(yīng)用較多，有大量實踐經(jīng)驗可 以借鑒，相對更為成熟;企業(yè)績效評價需要考慮多 層次、多因素，層次分析法更契合[5] 。總結(jié)了以下 6 種常見的數(shù)據(jù)泄露事故。

　　1.1 黑客竊取數(shù)據(jù)

　　在日常生活中，數(shù)據(jù)泄露防不勝防，黑客能以 各種我們意想不到的方式來攻擊網(wǎng)絡(luò)入侵服務(wù)器， 竊取數(shù)據(jù)。據(jù)美國網(wǎng)絡(luò)安全公司 RiskIQ 研究數(shù)據(jù) 顯示，目前全球每分鐘就有 1.5 家組織遭受勒索軟 件攻擊，企業(yè)平均損失 15221美元。

　　1.2 員工失誤

　　企業(yè)機(jī)構(gòu)更多的數(shù)據(jù)泄露事故常常是內(nèi)部人 員疏忽和意外造成的。Shred-it 的一項研究發(fā)現(xiàn)， 40 %的高級管理人員和小企業(yè)主表示，疏忽和意外 損失是他們最近一次安全事件的根本原因。

　　1.3 員工有意泄露

　　前雇員或在職人員，可能是造成數(shù)據(jù)泄露最大 的出口。內(nèi)部員工尤其是肩負(fù)重要職位的涉密人 員，通常是企業(yè)機(jī)構(gòu)最先得到及獲得最多數(shù)據(jù)的， 他們會在各種可能下出賣或帶走數(shù)據(jù)。2017 年 1 月 17日，華為公司就曾內(nèi)部通報了已離職的 6名員 工涉嫌侵犯知識產(chǎn)權(quán)，將公司商業(yè)機(jī)密泄露給競爭 關(guān) 系 公 司 ，涉 嫌 構(gòu) 成 侵 權(quán) 的 專 利 估 值 高 達(dá) 300 萬元。

　　1.4 通信風(fēng)險

　　通信是我們?nèi)粘９ぷ骱蜕�活中無處不在的一 部分，而通信工具的漏洞和風(fēng)險無處不在(包括常 見的即時通訊工具)。最令人恐懼的是，大量員工 使用個人設(shè)備或個人帳戶來傳送敏感信息，這些簡 單的社交工具既無監(jiān)管又無防護(hù)措施很容易造成 數(shù)據(jù)泄露。以醫(yī)療保健行業(yè)為例，近 30 %的醫(yī)療 保健團(tuán)隊成員承認(rèn)使用個人設(shè)備或公共網(wǎng)絡(luò)來傳 送患者私人的詳細(xì)信息。

　　1.5 網(wǎng)絡(luò)詐騙

　　微軟的一項分析發(fā)現(xiàn)，網(wǎng)絡(luò)釣魚詐騙今年增長了 250 %。電子郵件成為了釣魚詐騙的重災(zāi)區(qū)，公 司收件箱垃圾郵件泛濫成災(zāi)，其中不乏混雜著各種 詐騙郵件。同時，黑客擊破單個員工可能會泄露大 量公司數(shù)據(jù)。

　　1.6 電郵泄露通常，數(shù)據(jù)泄露或侵犯隱私只是越來越多的網(wǎng) 絡(luò)犯罪中的第一滴血。安全公司 Risk Based Security 的一份報告指出，電子郵件地址及密碼是在線 數(shù)據(jù)中最受歡迎的，在所有數(shù)據(jù)泄露事件中有 70 %發(fā)生在電子郵件中。

　　1.7 核心技術(shù)被竊，業(yè)務(wù)中斷 數(shù)據(jù)被竊取破壞，會嚴(yán)重影響業(yè)務(wù)的開展，計 劃、設(shè)計或其他知識產(chǎn)權(quán)被盜、從數(shù)據(jù)庫中泄露機(jī)密 的客戶信息，這些都會導(dǎo)致銷售損失、市場份額損 失、產(chǎn)生法律費(fèi)用、增加勞動力成本等等。企業(yè)已經(jīng) 離不開信息化應(yīng)用，網(wǎng)絡(luò)環(huán)境帶來的不確定因素正 在與日俱增，信息安全問題所帶來的影響巨大。

　　1.8 用戶風(fēng)險 用戶對信息數(shù)據(jù)泄露帶來的推銷、詐騙以及各 種騷擾已不厭其煩，如果企業(yè)對用戶的數(shù)據(jù)沒有盡 到保護(hù)職責(zé)，用戶會對該企業(yè)的數(shù)據(jù)保護(hù)產(chǎn)生質(zhì) 疑，從而對其不再信任，一旦某個企業(yè)被曝泄露用 戶的信息數(shù)據(jù)，必將成為大眾嚴(yán)厲指責(zé)的對象，信 譽(yù)大受打擊。

　　2 白酒企業(yè)信息泄露風(fēng)險防范措施

　　為進(jìn)一步提升白酒企業(yè)抵御風(fēng)險的能力，使風(fēng)險防范工作更加有效地融入中心、服務(wù)中心、促進(jìn) 中心，在思想認(rèn)識、責(zé)任擔(dān)當(dāng)、方法措施[6-8] 方面，白 酒企業(yè)深入開展“五位一體”風(fēng)險防范體系運(yùn)行工 作，努力增強(qiáng)公司在轉(zhuǎn)型發(fā)展關(guān)鍵時期抵御風(fēng)險的 能力，助推年度計劃預(yù)算完成，為實現(xiàn)“十三五”規(guī) 劃保駕護(hù)航。

　　2.1 泄密風(fēng)險管理系統(tǒng)框架

　　從制度、職責(zé)、流程、標(biāo)準(zhǔn)、考核 5 個方面(“五 位一體”)，健全失泄密風(fēng)險管理體系[9-10] 。 強(qiáng)化了全體干部職工 時時、事事、人人防范風(fēng)險的意識，提升公司抵御風(fēng) 險，將發(fā)生各類風(fēng)險的可能性降到最低，將發(fā)生風(fēng) 險的危害程度降到最低，從而營造企業(yè)奮發(fā)向上的 精神環(huán)境、扶正祛邪的輿論環(huán)境、健康和諧的人文 環(huán)境，確保無人發(fā)生“四種形態(tài)”中的“第三種、第四 種”形態(tài)，確保無百萬以上經(jīng)濟(jì)損失，確保無群體不 穩(wěn)定事件發(fā)生，確保年度計劃預(yù)算完成。

　　2.2 風(fēng)險防范措施

　　企業(yè)應(yīng)盡快建立保密管理規(guī)章制度。企業(yè)可 參照國家保密部門已經(jīng)頒布的一系列保守國家秘 密的制度，結(jié)合商業(yè)秘密的不同特點，針對企業(yè)自 身各種可能的泄密途徑，制定一整套有關(guān)企業(yè)秘密保護(hù)的制度。 商務(wù)密郵建議：規(guī)范企業(yè)管理制度，設(shè)置權(quán)限 管理，加強(qiáng)防護(hù)工作。涉及個人重要信息、財產(chǎn)安 全、機(jī)密資料的系統(tǒng)，使用獨特的登錄名和高強(qiáng)度 的復(fù)雜密碼，且不能一套密碼登錄多個系統(tǒng)，必要 時建議對數(shù)據(jù)進(jìn)行加密，確保數(shù)據(jù)安全、財產(chǎn)安全。

　　對于企業(yè)、政府機(jī)構(gòu)的郵件安全而言，應(yīng)盡快 部署：郵件防泄漏系統(tǒng)、郵件加解密系統(tǒng)、垃圾郵件 過濾系統(tǒng)、郵件數(shù)據(jù)備份等系統(tǒng)。有必要使用獨立 的郵件加密客戶端，從數(shù)據(jù)源頭在對郵件進(jìn)行高強(qiáng) 度加密的基礎(chǔ)上，商務(wù)密郵郵件防泄漏系統(tǒng)可針對 郵件正文、附加文件、文檔、文本進(jìn)行掃描，未經(jīng)授 權(quán)時，任何涉密內(nèi)容發(fā)出將立刻進(jìn)行阻斷，并上報 進(jìn)行審批，同時采取離職管控、郵件詳情跟蹤、禁止 轉(zhuǎn)發(fā)、郵件水印、強(qiáng)制加密、閱后即焚、郵件復(fù)鎖等 功能，全面防控郵件數(shù)據(jù)不泄露。

　　數(shù)據(jù)保護(hù)需要從數(shù)據(jù)根源出發(fā)，不僅需要對數(shù) 據(jù)的存儲進(jìn)行保護(hù)，對涉及數(shù)據(jù)的各類應(yīng)用也需要 做到全面管控，還有終端網(wǎng)絡(luò)應(yīng)用以及接入終端的 各類設(shè)備也需要得到針對性管理。在這方面，IPguard 一體化終端安全管控系統(tǒng)就可以幫助企業(yè)對 信息數(shù)據(jù)進(jìn)行全面保護(hù)，讓企業(yè)在變化無常的網(wǎng)絡(luò)中也可以實現(xiàn)可控透明化的終端管理。

　　(1)文檔加密：幫助企業(yè)對重要數(shù)據(jù)進(jìn)行加密 保護(hù)管理，保護(hù)數(shù)據(jù)安全，防止被隨意篡改、刪除。

　　(2)敏感內(nèi)容重點保護(hù)：通過敏感內(nèi)容識別技 術(shù)，幫助企業(yè)智能識別各個位置的敏感內(nèi)容，并對 該敏感內(nèi)容的操作和流轉(zhuǎn)行為進(jìn)行記錄和審計。

　　(3)終端操作管控：幫助對終端文檔操作、打 印、移動設(shè)備、U 盤、應(yīng)用程序、網(wǎng)頁瀏覽、即時通 訊、郵件等各種應(yīng)用進(jìn)行規(guī)范，減少泄密風(fēng)險。

　　(4)審計操作行為：幫助統(tǒng)計分析用戶操作行 為，及時發(fā)現(xiàn)潛在泄密風(fēng)險，發(fā)生泄密時還可快速 追溯泄密全過程。

　　(5)重要文檔備份：將文檔存儲到特定的備份 服務(wù)器進(jìn)行管理保護(hù)，當(dāng)出現(xiàn)誤刪、感染勒索病毒 或硬盤損壞等導(dǎo)致文件被損壞，都可從備份服務(wù)器 將文件恢復(fù)到終端。

　　(6)終端準(zhǔn)入管理：防止非授權(quán)計算機(jī)對指定 網(wǎng)絡(luò)進(jìn)行非法訪問，計算機(jī)設(shè)備接入企業(yè)內(nèi)部網(wǎng)絡(luò) 對服務(wù)器、互聯(lián)網(wǎng)等訪問時，需要經(jīng)過準(zhǔn)入網(wǎng)關(guān)嚴(yán) 格的審核。

　　(7)IT 運(yùn)維管理：單一控制臺即可對所有終端 計算機(jī)實行統(tǒng)一管理和維護(hù)，自動對系統(tǒng)漏洞進(jìn)行 掃描并根據(jù)需要修補(bǔ)，遠(yuǎn)程處理故障問題。

　　3 結(jié)束語

　　白酒作為中國歷史最為悠久的飲品之一，在飲 食行業(yè)具有重要地位，白酒企業(yè)極具規(guī)模，在白酒 企業(yè)發(fā)展過程中，信息泄露風(fēng)險評估成為穩(wěn)定企業(yè) 發(fā)展的關(guān)鍵要素，它是企業(yè)進(jìn)行戰(zhàn)略決策的基礎(chǔ)和 支撐。先進(jìn)的設(shè)備、先進(jìn)的計算機(jī)安全防范技術(shù)， 只能阻止網(wǎng)上“黑客”的有意破壞，但對內(nèi)部工作人 員的非法活動卻很難控制。因此，人員的管理也是 金融信息防范工作的一個重要環(huán)節(jié)。

　　(1)重視人才的選拔和競爭機(jī)制。在當(dāng)時的金 融環(huán)境下，各金融機(jī)構(gòu)掀起了一波引進(jìn)高素質(zhì)和高 技術(shù)人才的浪潮，不過，隨著時間的推移，一味的引 進(jìn)人才不僅成本高，而且對金融企業(yè)本身不一定達(dá) 到百分之百的忠誠，如果引進(jìn)的人才再次跳槽，就 有可能對原企業(yè)金融信息造成泄露，尤其是近些年 來，金融信息對于企業(yè)的重要性越來越突顯，因此，金融企業(yè)內(nèi)部更愿意自己培養(yǎng)高素質(zhì)、高技術(shù)的信 息技術(shù)專業(yè)人才，這些人才對企業(yè)的忠誠度普遍偏 高，而且熟悉企業(yè)的管理模式，能快速適應(yīng)環(huán)境，更 利于對金融信息風(fēng)險的防控。

　　(2)建立和完善信息風(fēng)險防范問責(zé)機(jī)制。金融 企業(yè)內(nèi)部對金融信息防范的規(guī)章制度再完善，也需 要員工和管理人員共同遵守才能達(dá)到良好的預(yù)期 和效果，因此，金融企業(yè)在金融信息風(fēng)險的防控問 題上需要明確責(zé)任分工，完善問責(zé)機(jī)制，對金融信 息內(nèi)部人員泄漏問題進(jìn)行約束。

　　金融論文投稿刊物：《科技通報》由浙江省科學(xué)技術(shù)協(xié)會主管主辦。國際刊號ISSN：1001-7119;國內(nèi)刊號CN：33-1079/N，郵發(fā)代號：32-95。讀者對象主要為高等院校、科研機(jī)構(gòu)、農(nóng)、衛(wèi)、醫(yī)等系統(tǒng)的中、高級科技人員和在校碩、博研究生。

　　(3)提高風(fēng)險管控和內(nèi)部控制法律意識。不斷 建立強(qiáng)化內(nèi)控機(jī)制對金融信息風(fēng)險防范的重要作 用的意識，讓金融企業(yè)管理人員做好內(nèi)控工作，上 行下效，潛移默化地把內(nèi)控意識傳輸給下一級員 工，使內(nèi)控機(jī)制的氛圍鋪展開來，與此同時，金融企 業(yè)內(nèi)部還要開展有關(guān)內(nèi)控機(jī)制的演講，使員工們逐 漸受到影響，不斷的提高意識和認(rèn)識，把金融信息 風(fēng)險的苗頭扼殺在企業(yè)的內(nèi)部。

　　參考文獻(xiàn)：

　　[1] 朱慧萍.白酒企業(yè)品牌價值評估方法及案例分析[J].科 技通報,2017,33(6)：257-261.

　　[2] 唐永軍.抑制計算機(jī)信息泄露的屏蔽技術(shù)分析[J].科技 創(chuàng)新導(dǎo)報,2019,16(15)：2-3.

　　[3] 高妍.運(yùn)營商客戶信息泄露的成因與防范措施淺析[J]. 信息通信,2019(4)：258-259.

　　[4] 郭冠廷.大數(shù)據(jù)時代防范信息泄露的策略研究[J].科技 經(jīng)濟(jì)導(dǎo)刊,2018(26)：181-182.

　　[5] 呂明哲.大數(shù)據(jù)時代企業(yè)計算機(jī)信息安全防范策略分析 [J].中國新通信,2018,20(13)：153.

　　作者：李 楠