作者:樊苏华         《中关村杂志》

 

       近年来,关于企业核心竞争能力的话题被市场不断热炒。
       自古以来,企业的永续经营,都和保守企业赖以生存的商业和技术秘密有直接的关联。
       在计算机技术出现以前,企业都是以传统的近乎原始的方式来保守这些秘密。比如,手工艺工匠行当里的技术单传结构,传男不传女;比如类似于全聚德的挂炉砌炉技术和烤鸭烤制工艺的心得和诀窍,只能靠家族的凝聚力和感情笼络以及金钱产生的亲和力来维持,在简单的竞争环境里,竟然也能创造百年老店的奇迹;比如工业技术专利和配方、技术流程等关键资料的严密保安措施等等。
       这里有一个流传已久的传奇故事,著名的可口可乐公司,凭借当年对于可口可乐碳酸饮料原汁的“7X”配方严密保护,为可口可乐公司带来超过800亿美元的财富。
       21世纪,随着计算机技术和互联网的普及,不论是传统意义上的企业和新技术企业,在保守企业机密问题上,都面临新的问题。企业的机密,都是以电子文档的方式保存在企业内部网络之中。企业的日常运作和工作流程,也和计算机存储技术息息相关。一般来说,作为企业的领导人,随着技术进步和现代企业成长的实践,已经开始重视企业计算机网络安全问题。他们开始购买杀毒软件维持电脑系统的正常运行;采用防火墙、网关过滤技术等防范来自互联网的攻击和偷窃行为。但是,可以这样说,对于大量的以电子文档形式存在的企业的无形资产来说,对于日益复杂和尖锐的网络安全环境来说,做到了这些基本的外部防范,根本不能遏制企业机密外泄的恶性发展。
       首先,来自外部的威胁并不像我们想象的那样简单。“**”的破坏力远远大于我们的估测。据报道,美国在决定对伊拉克采取军事行动以前,美国国防部的计算机网络和一些主要美军基地的网络,多次遭到“**”的攻击,并且成功地窃取了美军对伊拉克局势部署的主要资料。这些资料,被传送给了伊拉克的情报部门。只是由于这些极其有价值的资料,不幸被伊拉克当局当作了“恶作剧”,否则会给这次美伊战争带来不可预测的结果。除了“**”们高超的技术以外,研究表明,单纯的外网防范技术在部署上,还存在一些漏洞和空白。来自外部的威胁,正是通过这些技术的缺陷,轻而易举达到目的。
       其次,对于企业来讲,机密外泄的隐忧还远远不会止乎于外部威胁。商业竞争的加剧和不择手段、利益诱惑、员工流动,都使得企业领导人对于电子文档安全管理感到伤脑筋。从内部泄漏企业机密,对于那些缺乏职业道德的少数员工来说,简直是唾手可得;对于企业领导人来说,则是防不胜防。尤其是最近几年,企业员工泄漏企业机密的事件频发,有些是企业的技术图纸,有些是企业重要的客户资料,有些是企业的投标数据和投资决策,有些是企业刚刚完成研发的新产品技术资料。而且,这些泄密行为,都是和企业电子文档安全管理问题有直接关联的。以电子文档流失为特征的内部泄密威胁到了企业的核心竞争力,威胁到了企业的生存。
       中国的企业在电子文档安全管理上所面临的尴尬,完全印证了几年以前美国FBI、CIS的调查结果:85%以上的企业机密外泄,都是内部人员所为。
外患当防,内患堪忧。
       中国企业面对信息安全的新的现实,到了一个抉择的时刻。

蒙牛对于“ERM”的选择代表着中国高端企业的一种觉醒

       ERM是企业权限管理(Enterprise Right Management)的英文缩写,是目前世界范围内最为领先的数据安全管理技术。通过实施ERM,企业不但可以有效杜绝来自于内部的信息泄露和外部的窃取,还可以在企业中建立一套完善的数据安全管理体系。通过这个管理体系,企业可以全面实现人员在组织结构中所拥有的权利和角色,与人员所能应用和控制的数据信息资源相结合。
       蒙牛是中国民族企业中的领军者之一,代表着中国乳品行业发展的最前沿。作为一个致力于为全民提供优质产品的领先企业,蒙牛深刻理解企业信息化对于发展和竞争的重要意义。经过多年的发展,蒙牛已经积累了大量的数字资产。这些数字资产就是蒙牛核心竞争力的直接体现。为了确保数字资产的安全性,在企业内部建设完善的数据安全管理体系,蒙牛前瞻性的引入了ERM体系。它代表着中国领先企业对于自身发展的敏锐眼光,代表着中国高端企业的一种觉醒。
       传统企业在竞争中,保守商业秘密是一个必须重视的重要环节。从最基本的层次来说,诸如企业成本核算与控制、报价体系、集成商和代理商的利润激励体制、新的投资和扩张计划等等,都制约着和决定着企业的竞争优势。所以,蒙牛经过了认真地权衡和严格的竞标程序,最终在多种技术候选方案之中选择了ERM。
       经验表明,常规的传统企业和产品之间的市场恶性竞争,不仅会扰乱正常的市场秩序,更会给企业本身的发展带来巨大的损害。蒙牛开始注意到对企业关键数据的严密和科学的保护,敢于在高端企业里做第一个“吃螃蟹的人”,不仅代表着时代的进步,而且说明中国信息安全技术的不断成熟和完美。
       在竞标结束时,蒙牛方面明确表示,ERM整体解决方案,就是他们长期以来一直寻找的方案。这就足以说明,蒙牛在企业数据安全方面的新举措,代表着中国高端企业对于寻求信息安全新的解决方案的一种可贵的觉醒。
       ERM在中国的不断发展,与中国高端企业保护数据资产意识的觉醒,恰好在计算机互联网时代相遇。
       这是一条完美的交叉线。

       “ERM”:刚性修复中国企业信息安全的软肋
       在缺乏完美技术解决方案的情况下,对于企业电子文档安全管理和内网安全的现状,曾经引发了两种观点的讨论。一种观点是,靠企业的凝聚力的不断加强来维护企业运营安全;一种则主张采取极端的方式来监视员工的行为。自然,两种观点都没有能力解决企业数据安全面临的窘境。
       ERM作为新一代信息安全产品研发的先导性理念,正在被更多的企业和机构所广泛接受和采纳。
       当前的企业竞争已经进入到了一个信息化竞争的新阶段,核心数字资产成为企业生存和发展的关键。企业人员的工作内容也已经更多地体现为对于数据信息的应用和管理。企业为了确保自身核心数字资产的安全性,制定了大量的安全管理制度。这些制度的建立目的就是去通过管理人员而间接的去管理数据。但是这些制度的执行力度却又是企业所面临的新的问题。在大多数情况下,企业往往将制度的执行寄托在员工个人的主观意识基础之上,但是对于具有易拷贝、易传输、易修改的数字资产来讲,显然这是远远不够的。当员工面对于更大的诱惑时,他们在突破自己的职业道德和意识防线之后,将可以很容易的将企业核心数据信息泄露到企业之外,给企业利益带来深远的影响。
       与当前的其他主流技术相比,ERM最大的优势就是对于数据信息本身的安全保护,以及对于用户权限的细分管理,并全面实现企业内部人员将结合自身所拥有的角色和权限,有条件的去应用和管理与其权限和角色相匹配的数据信息。通过这一革命性的管理手段和理念,企业信息安全管理的方向由被动的“管理人员”转变为主动的、直接的“管理数据”,使企业的执行力度全面深入到数据层面。并且通过企业对于数据信息本身的直接控制,转变了企业对于人员的被动式的管理方式,使企业在管理中实现了主导的地位,确保员工可以全面按照企业的需要而去应用数据信息。
       根据互联网时代全球企业界面临的共同的信息安全问题, ERM使用四个结构性的板块,全面提出内外双向解决企业数据安全的完整的思路。
       这四个结构体分别是:用户身份认证、数据信息加密、应用权限控制、日志审计分析。
       “用户身份认证”,确保了每一个进入企业内部网络工作界面的人员,必须拥有护照和身份证,经过认定表明是合法用户,才可以进入企业的数据王国的大门。
       “数据信息加密”,每一份电子文档在被创建的瞬间,已经被自动加密,而且在整个生命周期,始终以密文形式存在。由于这个加密过程是在操作系统后台完成的,对于用户的操作没有任何影响,甚至用户都不会察觉这个加密过程的存在,所以也叫做“透明加密”。在企业整体利益和运营需要的高度上,解密和使用电子文档,需要企业的授权。这不仅使企业的内忧外患得到了一次性的解决,让“**”和“内鬼”望洋兴叹,而且使员工的心理获得了新的平衡,企业的领导人也不必再为担心企业凝聚力下降和是否采用不得已的极端监控方式而踌躇。
        “应用权限控制”,根据每个部门和每个员工不同的职责岗位,合理设定只读、打印、编辑、解密等权限,既保证了现代企业的高速运转,也防范了重要数据的非授权外泄。
       “日志审计分析”,企业内部网络从此有了“黑匣子”功能,可以及时发现安全漏洞,也可以对可能发生的非法行为保持一种无形的威慑力。
       四个结构体好像一张无形的大网,覆盖了企业数据资产的每一个方面每一个角落。ERM企业数据安全理念的提出,不仅使得企业数据资产在内忧外患的网络环境里找到了双向御敌的崭新安全模式,更重要的是看到了现代企业在“高速”、“高效”运营和发展的道路上实现“安全”和“可靠”的管理手段的可行性。企业完全跳出了“投鼠忌器”和“过犹不及”的怪圈。

革命性的产品正在引发中国企业信息安全的新革命
       中国市场上很多的管理产品都是在国外已经基本成熟之后,由一些外资企业引入中国的。这些产品在来到中国后,往往依然保持国外已有的架构和体系,很少会根据中国企业的特征而再进行开发和提升。中国的企业也只有调整管理结构和流程去被动的适应这些产品。
       在深入了解ERM之后,我们可以看到已有包括美国国防部在内的大量机构和企业已经全面实施了ERM体系,并且包括中国在内的大量市场需求的涌现,然而ERM目前在世界范围内也是只有少数发达国家的领先型企业可以提供此类技术。但是这一次,中国的科技型企业也正在积极引领ERM在世界范围内的发展。与蒙牛签约的北京思智泰克技术有限公司便是这一趋势的最直接体现。这对于倡导以科技为本的中国高新企业来讲,是一个值得鼓舞的事情。
       企业核心竞争力的保护,显然已经和可口可乐当年遇到的情况完全不同了。那些流动在计算机里的数据成为企业新的财富,那些和信息安全有关的新观念、新技术,逐渐会成为企业领导人所必备的知识和关注的焦点。在信息安全上的“独具慧眼”,正确选择,果断投入,也许越来越成为影响企业成长的要素。
       通过ERM在中国的不断发展,真正适合中国企业的解决方案和产品也在被不断完善。那些在安全性、易用性、综合成本等方面表现突出的产品将会全面引发中国信息安全的新革命。
蒙牛的确是一家具有极强前瞻性的了不起的公司。对于新生事物的态度,在这里,将成为明天企业未来的一个命运点。今天的态度,决定着明天的命运。
       为了这些,我们难道不该为蒙牛牵手思智,打造大型企业信息新安全的事例,三思其要义,击掌而称快吗!

发表于: 2007-08-22 17:18 zhang.wei 阅读(3714) 评论(2) 收藏 好文推荐
# re: 中国高端企业寻求信息安全新方案
2007-08-24 00:03 | 黄培 | 1楼
这两天,e-works在厦门举行BPM和SOA高级研讨班。今晚,我主持企业研讨。也关注了关于信息管理和信息安全的问题。西子奥的斯和陕汽介绍了他们的经验。我发现大中型企业在这方面重视程度已经得到了很大提高,在制定IT规划的时候,已经开始考虑IT维护的成本问题。
# re: 中国高端企业寻求信息安全新方案
2007-10-16 10:30 | 【匿名用户】:E-works热心网友 | 2楼
您好,借您的博客和人气发布下面的信息..谢谢!
第八届清华大学运营/生产总监班招生已开始..
完成学业可获得清华大学和美国培训认证协会(AACTP)的双证
入学申请电话:赵老师 010-82601548-840 134-6651-5062

发表评论(网友发言只代表个人观点,不代表本网站观点或立场。)

您尚未登录,请先【登录或注册