白酒企业内部成本信息泄露风险及防范措施

　　摘 要： 为进一步提升白酒企业抵御风险的能力，研究白酒企业内部成本信息泄露风险及防范措施。 选择层次分析法多层次、多因素总结了以下 6 种常见的数据泄露事故：黑客窃取数据、员工失误、员工有 意泄露、通信风险、网络诈骗、电邮泄露，统计白酒企业各金融业务风险，提出如下防范措施，从制度、职 责、流程、标准、考核 5 个方面(“五位一体”)，健全失泄密风险管理体系。企业可参照国家保密部门已经 颁布的一系列保守国家秘密的制度，规范企业管理制度，设置权限管理，加强防护工作，从数据源头对邮 件进行高强度加密，重视人员的管理也是金融信息防范工作。

　　关键词： 白酒企业; 内部成本; 信息泄露风险; 防范

　　近几年数据泄露事件越发普遍，企业需要承担 的泄露成本也越来越高，据 IBM的年度数据泄露成 本报告发现，数据泄露的平均总成本接近 400 万美 元。隐私安全和数据保护成为了当下企业不得不 面对的严峻问题[1] 。酿酒企业规模、产值巨大，每天 产生的利润十分可观。在此背景下，对自身信息泄 露风险情况必须有一个准确了解，这对于明确自身 经营发展状况、行业定位、制定正确的发展战略具 有重要的现实意义。

　　绩效评价是依照公司或组织构建的指标评价体系，按照预先确定的标准和一定的评价程序定 性、定量分析公司或组织整体经营状况的一种方 法。而信息泄露风险评价仅仅是针对企业财务状 况进行的评估，不代表企业的整体发展状况。目前 绩效评价主要有基于 BP 神经网络的绩效评估、基 于灰色关联的绩效评估等几种[2] 。

　　以上这些评价方 法虽然能够得到一定的评价结果，但是只对企业的 短期财务评价状况有效，评估结果具有一定的局 限性。 针对上述情况，研究白酒企业信息泄露风险与防范措施。

　　1 白酒企业信息泄露风险

　　在白酒企业信息泄露风险研究中，通过数值展 现绩效情况的途径[3-4] 。选择层次分析法进行权重 计算，选择原因如下：应用较多，有大量实践经验可 以借鉴，相对更为成熟;企业绩效评价需要考虑多 层次、多因素，层次分析法更契合[5] 。总结了以下 6 种常见的数据泄露事故。

　　1.1 黑客窃取数据

　　在日常生活中，数据泄露防不胜防，黑客能以 各种我们意想不到的方式来攻击网络入侵服务器， 窃取数据。据美国网络安全公司 RiskIQ 研究数据 显示，目前全球每分钟就有 1.5 家组织遭受勒索软 件攻击，企业平均损失 15221美元。

　　1.2 员工失误

　　企业机构更多的数据泄露事故常常是内部人 员疏忽和意外造成的。Shred-it 的一项研究发现， 40 %的高级管理人员和小企业主表示，疏忽和意外 损失是他们最近一次安全事件的根本原因。

　　1.3 员工有意泄露

　　前雇员或在职人员，可能是造成数据泄露最大 的出口。内部员工尤其是肩负重要职位的涉密人 员，通常是企业机构最先得到及获得最多数据的， 他们会在各种可能下出卖或带走数据。2017 年 1 月 17日，华为公司就曾内部通报了已离职的 6名员 工涉嫌侵犯知识产权，将公司商业机密泄露给竞争 关 系 公 司 ，涉 嫌 构 成 侵 权 的 专 利 估 值 高 达 300 万元。

　　1.4 通信风险

　　通信是我们日常工作和生活中无处不在的一 部分，而通信工具的漏洞和风险无处不在(包括常 见的即时通讯工具)。最令人恐惧的是，大量员工 使用个人设备或个人帐户来传送敏感信息，这些简 单的社交工具既无监管又无防护措施很容易造成 数据泄露。以医疗保健行业为例，近 30 %的医疗 保健团队成员承认使用个人设备或公共网络来传 送患者私人的详细信息。

　　1.5 网络诈骗

　　微软的一项分析发现，网络钓鱼诈骗今年增长了 250 %。电子邮件成为了钓鱼诈骗的重灾区，公 司收件箱垃圾邮件泛滥成灾，其中不乏混杂着各种 诈骗邮件。同时，黑客击破单个员工可能会泄露大 量公司数据。

　　1.6 电邮泄露通常，数据泄露或侵犯隐私只是越来越多的网 络犯罪中的第一滴血。安全公司 Risk Based Security 的一份报告指出，电子邮件地址及密码是在线 数据中最受欢迎的，在所有数据泄露事件中有 70 %发生在电子邮件中。

　　1.7 核心技术被窃，业务中断 数据被窃取破坏，会严重影响业务的开展，计 划、设计或其他知识产权被盗、从数据库中泄露机密 的客户信息，这些都会导致销售损失、市场份额损 失、产生法律费用、增加劳动力成本等等。企业已经 离不开信息化应用，网络环境带来的不确定因素正 在与日俱增，信息安全问题所带来的影响巨大。

　　1.8 用户风险 用户对信息数据泄露带来的推销、诈骗以及各 种骚扰已不厌其烦，如果企业对用户的数据没有尽 到保护职责，用户会对该企业的数据保护产生质 疑，从而对其不再信任，一旦某个企业被曝泄露用 户的信息数据，必将成为大众严厉指责的对象，信 誉大受打击。

　　2 白酒企业信息泄露风险防范措施

　　为进一步提升白酒企业抵御风险的能力，使风险防范工作更加有效地融入中心、服务中心、促进 中心，在思想认识、责任担当、方法措施[6-8] 方面，白 酒企业深入开展“五位一体”风险防范体系运行工 作，努力增强公司在转型发展关键时期抵御风险的 能力，助推年度计划预算完成，为实现“十三五”规 划保驾护航。

　　2.1 泄密风险管理系统框架

　　从制度、职责、流程、标准、考核 5 个方面(“五 位一体”)，健全失泄密风险管理体系[9-10] 。 强化了全体干部职工 时时、事事、人人防范风险的意识，提升公司抵御风 险，将发生各类风险的可能性降到最低，将发生风 险的危害程度降到最低，从而营造企业奋发向上的 精神环境、扶正祛邪的舆论环境、健康和谐的人文 环境，确保无人发生“四种形态”中的“第三种、第四 种”形态，确保无百万以上经济损失，确保无群体不 稳定事件发生，确保年度计划预算完成。

　　2.2 风险防范措施

　　企业应尽快建立保密管理规章制度。企业可 参照国家保密部门已经颁布的一系列保守国家秘 密的制度，结合商业秘密的不同特点，针对企业自 身各种可能的泄密途径，制定一整套有关企业秘密保护的制度。 商务密邮建议：规范企业管理制度，设置权限 管理，加强防护工作。涉及个人重要信息、财产安 全、机密资料的系统，使用独特的登录名和高强度 的复杂密码，且不能一套密码登录多个系统，必要 时建议对数据进行加密，确保数据安全、财产安全。

　　对于企业、政府机构的邮件安全而言，应尽快 部署：邮件防泄漏系统、邮件加解密系统、垃圾邮件 过滤系统、邮件数据备份等系统。有必要使用独立 的邮件加密客户端，从数据源头在对邮件进行高强 度加密的基础上，商务密邮邮件防泄漏系统可针对 邮件正文、附加文件、文档、文本进行扫描，未经授 权时，任何涉密内容发出将立刻进行阻断，并上报 进行审批，同时采取离职管控、邮件详情跟踪、禁止 转发、邮件水印、强制加密、阅后即焚、邮件复锁等 功能，全面防控邮件数据不泄露。

　　数据保护需要从数据根源出发，不仅需要对数 据的存储进行保护，对涉及数据的各类应用也需要 做到全面管控，还有终端网络应用以及接入终端的 各类设备也需要得到针对性管理。在这方面，IPguard 一体化终端安全管控系统就可以帮助企业对 信息数据进行全面保护，让企业在变化无常的网络中也可以实现可控透明化的终端管理。

　　(1)文档加密：帮助企业对重要数据进行加密 保护管理，保护数据安全，防止被随意篡改、删除。

　　(2)敏感内容重点保护：通过敏感内容识别技 术，帮助企业智能识别各个位置的敏感内容，并对 该敏感内容的操作和流转行为进行记录和审计。

　　(3)终端操作管控：帮助对终端文档操作、打 印、移动设备、U 盘、应用程序、网页浏览、即时通 讯、邮件等各种应用进行规范，减少泄密风险。

　　(4)审计操作行为：帮助统计分析用户操作行 为，及时发现潜在泄密风险，发生泄密时还可快速 追溯泄密全过程。

　　(5)重要文档备份：将文档存储到特定的备份 服务器进行管理保护，当出现误删、感染勒索病毒 或硬盘损坏等导致文件被损坏，都可从备份服务器 将文件恢复到终端。

　　(6)终端准入管理：防止非授权计算机对指定 网络进行非法访问，计算机设备接入企业内部网络 对服务器、互联网等访问时，需要经过准入网关严 格的审核。

　　(7)IT 运维管理：单一控制台即可对所有终端 计算机实行统一管理和维护，自动对系统漏洞进行 扫描并根据需要修补，远程处理故障问题。

　　3 结束语

　　白酒作为中国历史最为悠久的饮品之一，在饮 食行业具有重要地位，白酒企业极具规模，在白酒 企业发展过程中，信息泄露风险评估成为稳定企业 发展的关键要素，它是企业进行战略决策的基础和 支撑。先进的设备、先进的计算机安全防范技术， 只能阻止网上“黑客”的有意破坏，但对内部工作人 员的非法活动却很难控制。因此，人员的管理也是 金融信息防范工作的一个重要环节。

　　(1)重视人才的选拔和竞争机制。在当时的金 融环境下，各金融机构掀起了一波引进高素质和高 技术人才的浪潮，不过，随着时间的推移，一味的引 进人才不仅成本高，而且对金融企业本身不一定达 到百分之百的忠诚，如果引进的人才再次跳槽，就 有可能对原企业金融信息造成泄露，尤其是近些年 来，金融信息对于企业的重要性越来越突显，因此，金融企业内部更愿意自己培养高素质、高技术的信 息技术专业人才，这些人才对企业的忠诚度普遍偏 高，而且熟悉企业的管理模式，能快速适应环境，更 利于对金融信息风险的防控。

　　(2)建立和完善信息风险防范问责机制。金融 企业内部对金融信息防范的规章制度再完善，也需 要员工和管理人员共同遵守才能达到良好的预期 和效果，因此，金融企业在金融信息风险的防控问 题上需要明确责任分工，完善问责机制，对金融信 息内部人员泄漏问题进行约束。

　　金融论文投稿刊物：《科技通报》由浙江省科学技术协会主管主办。国际刊号ISSN：1001-7119;国内刊号CN：33-1079/N，邮发代号：32-95。读者对象主要为高等院校、科研机构、农、卫、医等系统的中、高级科技人员和在校硕、博研究生。

　　(3)提高风险管控和内部控制法律意识。不断 建立强化内控机制对金融信息风险防范的重要作 用的意识，让金融企业管理人员做好内控工作，上 行下效，潜移默化地把内控意识传输给下一级员 工，使内控机制的氛围铺展开来，与此同时，金融企 业内部还要开展有关内控机制的演讲，使员工们逐 渐受到影响，不断的提高意识和认识，把金融信息 风险的苗头扼杀在企业的内部。

　　参考文献：

　　[1] 朱慧萍.白酒企业品牌价值评估方法及案例分析[J].科 技通报,2017,33(6)：257-261.

　　[2] 唐永军.抑制计算机信息泄露的屏蔽技术分析[J].科技 创新导报,2019,16(15)：2-3.

　　[3] 高妍.运营商客户信息泄露的成因与防范措施浅析[J]. 信息通信,2019(4)：258-259.

　　[4] 郭冠廷.大数据时代防范信息泄露的策略研究[J].科技 经济导刊,2018(26)：181-182.

　　[5] 吕明哲.大数据时代企业计算机信息安全防范策略分析 [J].中国新通信,2018,20(13)：153.

　　作者：李 楠