学术咨询

让论文发表更省时、省事、省心

白酒企业内部成本信息泄露风险及防范措施

时间:2020年09月23日 分类:科学技术论文 次数:

摘 要: 为进一步提升白酒企业抵御风险的能力,研究白酒企业内部成本信息泄露风险及防范措施。 选择层次分析法多层次、多因素总结了以下 6 种常见的数据泄露事故:黑客窃取数据、员工失误、员工有 意泄露、通信风险、网络诈骗、电邮泄露,统计白酒企业各金融

  摘 要: 为进一步提升白酒企业抵御风险的能力,研究白酒企业内部成本信息泄露风险及防范措施。 选择层次分析法多层次、多因素总结了以下 6 种常见的数据泄露事故:黑客窃取数据、员工失误、员工有 意泄露、通信风险、网络诈骗、电邮泄露,统计白酒企业各金融业务风险,提出如下防范措施,从制度、职 责、流程、标准、考核 5 个方面(“五位一体”),健全失泄密风险管理体系。企业可参照国家保密部门已经 颁布的一系列保守国家秘密的制度,规范企业管理制度,设置权限管理,加强防护工作,从数据源头对邮 件进行高强度加密,重视人员的管理也是金融信息防范工作。

  关键词: 白酒企业; 内部成本; 信息泄露风险; 防范

科技通报

  近几年数据泄露事件越发普遍,企业需要承担 的泄露成本也越来越高,据 IBM的年度数据泄露成 本报告发现,数据泄露的平均总成本接近 400 万美 元。隐私安全和数据保护成为了当下企业不得不 面对的严峻问题[1] 。酿酒企业规模、产值巨大,每天 产生的利润十分可观。在此背景下,对自身信息泄 露风险情况必须有一个准确了解,这对于明确自身 经营发展状况、行业定位、制定正确的发展战略具 有重要的现实意义。

  绩效评价是依照公司或组织构建的指标评价体系,按照预先确定的标准和一定的评价程序定 性、定量分析公司或组织整体经营状况的一种方 法。而信息泄露风险评价仅仅是针对企业财务状 况进行的评估,不代表企业的整体发展状况。目前 绩效评价主要有基于 BP 神经网络的绩效评估、基 于灰色关联的绩效评估等几种[2] 。

  以上这些评价方 法虽然能够得到一定的评价结果,但是只对企业的 短期财务评价状况有效,评估结果具有一定的局 限性。 针对上述情况,研究白酒企业信息泄露风险与防范措施。

  1 白酒企业信息泄露风险

  在白酒企业信息泄露风险研究中,通过数值展 现绩效情况的途径[3-4] 。选择层次分析法进行权重 计算,选择原因如下:应用较多,有大量实践经验可 以借鉴,相对更为成熟;企业绩效评价需要考虑多 层次、多因素,层次分析法更契合[5] 。总结了以下 6 种常见的数据泄露事故。

  1.1 黑客窃取数据

  在日常生活中,数据泄露防不胜防,黑客能以 各种我们意想不到的方式来攻击网络入侵服务器, 窃取数据。据美国网络安全公司 RiskIQ 研究数据 显示,目前全球每分钟就有 1.5 家组织遭受勒索软 件攻击,企业平均损失 15221美元。

  1.2 员工失误

  企业机构更多的数据泄露事故常常是内部人 员疏忽和意外造成的。Shred-it 的一项研究发现, 40 %的高级管理人员和小企业主表示,疏忽和意外 损失是他们最近一次安全事件的根本原因。

  1.3 员工有意泄露

  前雇员或在职人员,可能是造成数据泄露最大 的出口。内部员工尤其是肩负重要职位的涉密人 员,通常是企业机构最先得到及获得最多数据的, 他们会在各种可能下出卖或带走数据。2017 年 1 月 17日,华为公司就曾内部通报了已离职的 6名员 工涉嫌侵犯知识产权,将公司商业机密泄露给竞争 关 系 公 司 ,涉 嫌 构 成 侵 权 的 专 利 估 值 高 达 300 万元。

  1.4 通信风险

  通信是我们日常工作和生活中无处不在的一 部分,而通信工具的漏洞和风险无处不在(包括常 见的即时通讯工具)。最令人恐惧的是,大量员工 使用个人设备或个人帐户来传送敏感信息,这些简 单的社交工具既无监管又无防护措施很容易造成 数据泄露。以医疗保健行业为例,近 30 %的医疗 保健团队成员承认使用个人设备或公共网络来传 送患者私人的详细信息。

  1.5 网络诈骗

  微软的一项分析发现,网络钓鱼诈骗今年增长了 250 %。电子邮件成为了钓鱼诈骗的重灾区,公 司收件箱垃圾邮件泛滥成灾,其中不乏混杂着各种 诈骗邮件。同时,黑客击破单个员工可能会泄露大 量公司数据。

  1.6 电邮泄露通常,数据泄露或侵犯隐私只是越来越多的网 络犯罪中的第一滴血。安全公司 Risk Based Security 的一份报告指出,电子邮件地址及密码是在线 数据中最受欢迎的,在所有数据泄露事件中有 70 %发生在电子邮件中。

  1.7 核心技术被窃,业务中断 数据被窃取破坏,会严重影响业务的开展,计 划、设计或其他知识产权被盗、从数据库中泄露机密 的客户信息,这些都会导致销售损失、市场份额损 失、产生法律费用、增加劳动力成本等等。企业已经 离不开信息化应用,网络环境带来的不确定因素正 在与日俱增,信息安全问题所带来的影响巨大。

  1.8 用户风险 用户对信息数据泄露带来的推销、诈骗以及各 种骚扰已不厌其烦,如果企业对用户的数据没有尽 到保护职责,用户会对该企业的数据保护产生质 疑,从而对其不再信任,一旦某个企业被曝泄露用 户的信息数据,必将成为大众严厉指责的对象,信 誉大受打击。

  2 白酒企业信息泄露风险防范措施

  为进一步提升白酒企业抵御风险的能力,使风险防范工作更加有效地融入中心、服务中心、促进 中心,在思想认识、责任担当、方法措施[6-8] 方面,白 酒企业深入开展“五位一体”风险防范体系运行工 作,努力增强公司在转型发展关键时期抵御风险的 能力,助推年度计划预算完成,为实现“十三五”规 划保驾护航。

  2.1 泄密风险管理系统框架

  从制度、职责、流程、标准、考核 5 个方面(“五 位一体”),健全失泄密风险管理体系[9-10] 。 强化了全体干部职工 时时、事事、人人防范风险的意识,提升公司抵御风 险,将发生各类风险的可能性降到最低,将发生风 险的危害程度降到最低,从而营造企业奋发向上的 精神环境、扶正祛邪的舆论环境、健康和谐的人文 环境,确保无人发生“四种形态”中的“第三种、第四 种”形态,确保无百万以上经济损失,确保无群体不 稳定事件发生,确保年度计划预算完成。

  2.2 风险防范措施

  企业应尽快建立保密管理规章制度。企业可 参照国家保密部门已经颁布的一系列保守国家秘 密的制度,结合商业秘密的不同特点,针对企业自 身各种可能的泄密途径,制定一整套有关企业秘密保护的制度。 商务密邮建议:规范企业管理制度,设置权限 管理,加强防护工作。涉及个人重要信息、财产安 全、机密资料的系统,使用独特的登录名和高强度 的复杂密码,且不能一套密码登录多个系统,必要 时建议对数据进行加密,确保数据安全、财产安全。

  对于企业、政府机构的邮件安全而言,应尽快 部署:邮件防泄漏系统、邮件加解密系统、垃圾邮件 过滤系统、邮件数据备份等系统。有必要使用独立 的邮件加密客户端,从数据源头在对邮件进行高强 度加密的基础上,商务密邮邮件防泄漏系统可针对 邮件正文、附加文件、文档、文本进行扫描,未经授 权时,任何涉密内容发出将立刻进行阻断,并上报 进行审批,同时采取离职管控、邮件详情跟踪、禁止 转发、邮件水印、强制加密、阅后即焚、邮件复锁等 功能,全面防控邮件数据不泄露。

  数据保护需要从数据根源出发,不仅需要对数 据的存储进行保护,对涉及数据的各类应用也需要 做到全面管控,还有终端网络应用以及接入终端的 各类设备也需要得到针对性管理。在这方面,IPguard 一体化终端安全管控系统就可以帮助企业对 信息数据进行全面保护,让企业在变化无常的网络中也可以实现可控透明化的终端管理。

  (1)文档加密:帮助企业对重要数据进行加密 保护管理,保护数据安全,防止被随意篡改、删除。

  (2)敏感内容重点保护:通过敏感内容识别技 术,帮助企业智能识别各个位置的敏感内容,并对 该敏感内容的操作和流转行为进行记录和审计。

  (3)终端操作管控:帮助对终端文档操作、打 印、移动设备、U 盘、应用程序、网页浏览、即时通 讯、邮件等各种应用进行规范,减少泄密风险。

  (4)审计操作行为:帮助统计分析用户操作行 为,及时发现潜在泄密风险,发生泄密时还可快速 追溯泄密全过程。

  (5)重要文档备份:将文档存储到特定的备份 服务器进行管理保护,当出现误删、感染勒索病毒 或硬盘损坏等导致文件被损坏,都可从备份服务器 将文件恢复到终端。

  (6)终端准入管理:防止非授权计算机对指定 网络进行非法访问,计算机设备接入企业内部网络 对服务器、互联网等访问时,需要经过准入网关严 格的审核。

  (7)IT 运维管理:单一控制台即可对所有终端 计算机实行统一管理和维护,自动对系统漏洞进行 扫描并根据需要修补,远程处理故障问题。

  3 结束语

  白酒作为中国历史最为悠久的饮品之一,在饮 食行业具有重要地位,白酒企业极具规模,在白酒 企业发展过程中,信息泄露风险评估成为稳定企业 发展的关键要素,它是企业进行战略决策的基础和 支撑。先进的设备、先进的计算机安全防范技术, 只能阻止网上“黑客”的有意破坏,但对内部工作人 员的非法活动却很难控制。因此,人员的管理也是 金融信息防范工作的一个重要环节。

  (1)重视人才的选拔和竞争机制。在当时的金 融环境下,各金融机构掀起了一波引进高素质和高 技术人才的浪潮,不过,随着时间的推移,一味的引 进人才不仅成本高,而且对金融企业本身不一定达 到百分之百的忠诚,如果引进的人才再次跳槽,就 有可能对原企业金融信息造成泄露,尤其是近些年 来,金融信息对于企业的重要性越来越突显,因此,金融企业内部更愿意自己培养高素质、高技术的信 息技术专业人才,这些人才对企业的忠诚度普遍偏 高,而且熟悉企业的管理模式,能快速适应环境,更 利于对金融信息风险的防控。

  (2)建立和完善信息风险防范问责机制。金融 企业内部对金融信息防范的规章制度再完善,也需 要员工和管理人员共同遵守才能达到良好的预期 和效果,因此,金融企业在金融信息风险的防控问 题上需要明确责任分工,完善问责机制,对金融信 息内部人员泄漏问题进行约束。

  金融论文投稿刊物:《科技通报》由浙江省科学技术协会主管主办。国际刊号ISSN:1001-7119;国内刊号CN:33-1079/N,邮发代号:32-95。读者对象主要为高等院校、科研机构、农、卫、医等系统的中、高级科技人员和在校硕、博研究生。

  (3)提高风险管控和内部控制法律意识。不断 建立强化内控机制对金融信息风险防范的重要作 用的意识,让金融企业管理人员做好内控工作,上 行下效,潜移默化地把内控意识传输给下一级员 工,使内控机制的氛围铺展开来,与此同时,金融企 业内部还要开展有关内控机制的演讲,使员工们逐 渐受到影响,不断的提高意识和认识,把金融信息 风险的苗头扼杀在企业的内部。

  参考文献:

  [1] 朱慧萍.白酒企业品牌价值评估方法及案例分析[J].科 技通报,2017,33(6):257-261.

  [2] 唐永军.抑制计算机信息泄露的屏蔽技术分析[J].科技 创新导报,2019,16(15):2-3.

  [3] 高妍.运营商客户信息泄露的成因与防范措施浅析[J]. 信息通信,2019(4):258-259.

  [4] 郭冠廷.大数据时代防范信息泄露的策略研究[J].科技 经济导刊,2018(26):181-182.

  [5] 吕明哲.大数据时代企业计算机信息安全防范策略分析 [J].中国新通信,2018,20(13):153.

  作者:李 楠