隨著信息技術及互聯(lián)網(wǎng)技術在企業(yè)生產經(jīng)營活動中應用的日益深入,企業(yè)在商業(yè)活動中的商業(yè)秘密保護難度逐步加大,“互聯(lián)網(wǎng)+”環(huán)境下商業(yè)秘密安全保護成為現(xiàn)代企業(yè)面臨的嚴峻問題。

　　隨著信息技術及互聯(lián)網(wǎng)技術在企業(yè)生產經(jīng)營活動中應用的日益深入,企業(yè)在商業(yè)活動中的商業(yè)秘密保護難度逐步加大,“互聯(lián)網(wǎng)+”環(huán)境下商業(yè)秘密安全保護成為現(xiàn)代企業(yè)面臨的嚴峻問題。為提升全社會的網(wǎng)絡安全意識和安全防護技能,中央網(wǎng)絡安全和信息化領導小組決定每年九月第三周開展“國家網(wǎng)絡安全宣傳周活動”,在聚焦于網(wǎng)絡安全的同時,“互聯(lián)網(wǎng)+”環(huán)境下的企業(yè)商業(yè)秘密保護工作作為網(wǎng)絡安全宣傳教育的重要組成部分也成為各主管部門各企業(yè)單位關注的焦點。

　　“互聯(lián)網(wǎng)+”環(huán)境下的商業(yè)秘密安全形勢嚴峻

　　商業(yè)秘密安全是關系到企業(yè)發(fā)展和生存的重要一環(huán),隨著網(wǎng)絡的便利性加強,使得企業(yè)對其的依賴性也逐步加強,企業(yè)和個人在正常使用網(wǎng)絡基礎設施享受網(wǎng)絡化服務的過程中有意或無意的泄露了企業(yè)商業(yè)秘密的情況時有發(fā)生。而由于員工乃至高層對于網(wǎng)絡知識的缺乏及對網(wǎng)絡安全的不重視,大多數(shù)企業(yè)沒有建立起有效的安全管理制度和采取相應的安全防護手段。

　　當前企業(yè)面臨的競爭環(huán)境復雜多變、威脅日愈增多、信息安全形勢嚴峻。 “互聯(lián)網(wǎng)+”環(huán)境下商業(yè)密秘密在保密措施、泄密形式、溯源審計上較以往的傳統(tǒng)方式有所不同,“互聯(lián)網(wǎng)+”環(huán)境下的商業(yè)秘密具有使用和存儲的高度聚集性、保密和泄密的高技術性等特點,并且大部分企業(yè)由于其員工眾多、組織架構復雜、業(yè)務經(jīng)營范圍廣等原因,商業(yè)秘密保護項目開展起來難度大,缺乏商業(yè)秘密保護管理經(jīng)驗和有效的技術保護支撐,企業(yè)保護商業(yè)秘密的意識比較淡薄、保護措施滯后,致使侵害商業(yè)秘密權益的事件不斷增加,商密泄漏現(xiàn)象屢屢發(fā)生。

　　拿什么保護企業(yè)商業(yè)秘密

　　面對日益激烈的商業(yè)競爭環(huán)境,企業(yè)拿什么來保護自身商業(yè)秘密?企業(yè)怎樣才能具備商業(yè)秘密安全需求的能力以求在商業(yè)競爭環(huán)境中立于不敗之地?長期從事企業(yè)商業(yè)秘密保護咨詢及商密數(shù)據(jù)安全與管理產品的研發(fā)工作的敏捷科技,通過以往大量的企業(yè)商業(yè)秘密保護經(jīng)驗總結認為商業(yè)秘密保護工作開展應遵循“三分技術,七分管理,十二分意識”的原則,各企業(yè)需根據(jù)自身業(yè)務及行業(yè)特點建立一套能滿足企業(yè)商業(yè)秘密安全技術需求和管理需求的商業(yè)秘密安全保障體系,并從根本上提升員工商業(yè)秘密保護意識。

　　建立商業(yè)秘密技術保護體系

　　企業(yè)需針對自身的商業(yè)秘密數(shù)據(jù)使用和管理現(xiàn)狀進行調研分析,從數(shù)據(jù)流、業(yè)務流多角度對商業(yè)秘密信息數(shù)據(jù)安全管理手段進行研究,分析用戶當前信息化中存在的安全風險與薄弱環(huán)節(jié),明確商密保護技術體系建設的安全需求。并根據(jù)商業(yè)秘密信息數(shù)據(jù)的生成、存放、流轉、銷毀等特征建立準確的商密數(shù)據(jù)生命周期模型,對企業(yè)商業(yè)秘密信息的“數(shù)據(jù)創(chuàng)建、密級標識、知悉范圍、數(shù)據(jù)存儲、數(shù)據(jù)使用、數(shù)據(jù)共享、數(shù)據(jù)歸檔以及數(shù)據(jù)銷毀”等全生命周期的進行訪問控制和安全管理,并為實現(xiàn)商密信息數(shù)據(jù)全生命周期的安全防護體系建設提供基準和技術應用參考。

　　企業(yè)商業(yè)秘密保護不同于傳統(tǒng)的信息安全建設,傳統(tǒng)的信息安全防護是基于靜態(tài)數(shù)據(jù)的加密保護、桌面行為管理、網(wǎng)絡防攻擊等技術手段對企業(yè)的數(shù)據(jù)安全進行安全保護的。由于網(wǎng)絡環(huán)境的開放性、動態(tài)發(fā)展性等特征,企業(yè)商密保護的核心重點是對數(shù)據(jù)全生命周期這樣一個“動態(tài)”的過程進行安全防護,因此,不能用傳統(tǒng)的信息安全思路設計商密保護的建設方案,而應該結合企業(yè)的實際應用場景,針對不同的信息流轉過程、載體、方式等特點,設計適用于企業(yè)信息化現(xiàn)狀的商業(yè)秘密信息數(shù)據(jù)安全解決方案,并結合企業(yè)商業(yè)秘密保護的系列安全項目建設,為企業(yè)構建全面、完整、高效的商業(yè)秘密安全技術保障體系。

　　建立商業(yè)秘密保護管理體系

　　目前,對于商密信息數(shù)據(jù)的安全防護大多企業(yè)普遍重視安全技術而忽視安全管理。同時,安全管理缺乏系統(tǒng)性,被動應對多于主動防御,事前沒有制定防范預案,出現(xiàn)安全問題才去想辦法補救。然而,大多數(shù)企業(yè)都未開展過專門的商業(yè)秘密信息資產保護工作,缺乏或者未健全相關的安全管理制度。企業(yè)要切實加強商業(yè)秘密保護效果,單靠技術層面的建設是遠遠不夠的,企業(yè)需通過以下幾步建設完整的商業(yè)秘密管理體系。

　　確定商業(yè)秘密保護指導方針:企業(yè)商業(yè)秘密保護應遵循“業(yè)務誰主管,保密誰負責”責任制原則,在保密工作中堅持“積極防范,突出重點,嚴格標準,嚴格管理”的基本工作準則。

　　建立保密組織機構及明確人員職責:組織機構的設置對于企業(yè)開展保密工作有著基礎支撐作用,企業(yè)要想搞好保密工作,首先要確立保密工作領導小組和保密工作組,并確定人員職責。

　　建立企業(yè)商業(yè)秘密保護管理制度:完善的商業(yè)秘密保護管理制度是做好保密工作的基礎,建立健全保密管理制度有利于明確企業(yè)每一個員工在保密工作中的權利和義務,便于保密工作的有章可循、有法可依。

　　制定商業(yè)秘密泄露應急處置及響應辦法:建立安全態(tài)勢分析機制對企業(yè)內外網(wǎng)的商業(yè)秘密數(shù)據(jù)安全態(tài)勢進行統(tǒng)一分析和安全預警,采取相應商密數(shù)據(jù)泄露應急處置方法對商業(yè)秘密信息泄露事故進行回溯追蹤和應急響應處置。

　　提高全員商業(yè)秘密保護意識

　　除了在管理和技術層面入手,企業(yè)還應加強員工商業(yè)秘密保護意識。通過從企業(yè)商業(yè)秘密管理制度宣貫、企業(yè)商業(yè)秘密保護文化氛圍營造、以及培養(yǎng)日常工作中商業(yè)秘密保護小技巧等方面開展系列活動,從根本上提升普通員工商業(yè)秘密保護意識,再結合管理制度和技術手段的應用,才能在“互聯(lián)網(wǎng)+”環(huán)境下很好的達到企業(yè)商業(yè)秘密保護效果。(陳萬江)