黃金曦+張攀紅

【摘 要】 我國(guó)“互聯(lián)網(wǎng)+”背景下，企業(yè)信息安全問題凸顯，亟需加強(qiáng)信息安全內(nèi)部控制。為保障信息安全，中國(guó)平安信息安全部門從威脅企業(yè)信息安全的信息存儲(chǔ)、信息傳輸和信息使用三個(gè)層面制定了基于DLP計(jì)劃的信息安全內(nèi)部控制機(jī)制，對(duì)“人”和設(shè)備進(jìn)行有效控制，為我國(guó)企業(yè)信息安全工作樹立了一個(gè)典范。我國(guó)企業(yè)應(yīng)在此基礎(chǔ)上不斷創(chuàng)新，構(gòu)建符合自身特色的信息安全屏障。

【關(guān)鍵詞】 信息安全; 內(nèi)部控制; 中國(guó)平安; DLP計(jì)劃

中圖分類號(hào)：F233 ?文獻(xiàn)標(biāo)識(shí)碼：A ?文章編號(hào)：1004-5937（2016）03-0052-04

一、我國(guó)企業(yè)信息安全內(nèi)部控制現(xiàn)狀

隨著我國(guó)“互聯(lián)網(wǎng)+”時(shí)代的到來，企業(yè)信息安全問題凸顯。2012年末“三通一達(dá)”（中通、申通、圓通和韻達(dá)）等多家快遞公司客戶信息慘遭泄漏，造成包含客戶電話、快遞單號(hào)、客戶地址等內(nèi)容的數(shù)百萬條信息在網(wǎng)上叫賣;2013年初，我國(guó)領(lǐng)先的IT服務(wù)供應(yīng)商?hào)|軟集團(tuán)20余名核心技術(shù)員工涉嫌泄漏公司核心機(jī)密被公安機(jī)關(guān)批捕，造成東軟集團(tuán)價(jià)值約4 000萬元的經(jīng)濟(jì)損失;2014年末，12306網(wǎng)站用戶信息泄漏，包括用戶名、密碼、身份證號(hào)碼和郵箱等內(nèi)容的約13萬余條用戶信息在網(wǎng)絡(luò)上瘋傳……信息安全問題在各個(gè)領(lǐng)域引起了高度重視。我國(guó)企業(yè)信息安全現(xiàn)狀堪憂，很多企業(yè)對(duì)信息的保護(hù)措施遠(yuǎn)遠(yuǎn)不夠。

信息安全不但包括電子信息安全，而且包括實(shí)物性信息安全（周衛(wèi)華，2014）。電子信息方面，據(jù)我國(guó)信息安全部門的調(diào)查統(tǒng)計(jì)，在企業(yè)網(wǎng)絡(luò)中安裝防火墻的約為68%，約59%的企業(yè)部署了互聯(lián)網(wǎng)安全防御措施;在信息安全策略和管理方面，引入信息安全技術(shù)架構(gòu)并建立相應(yīng)的流程和標(biāo)準(zhǔn)的企業(yè)僅占34%，制定災(zāi)難性電子信息數(shù)據(jù)恢復(fù)計(jì)劃或者持續(xù)運(yùn)營(yíng)方案的企業(yè)約占33%，均遠(yuǎn)遠(yuǎn)低于國(guó)際平均水平。相比電子信息，實(shí)物性信息在我國(guó)企業(yè)中往往更容易被忽視。很多關(guān)于信息安全的文獻(xiàn)幾乎千篇一律地在談對(duì)電子信息的保護(hù)，很少涉及實(shí)物性信息保護(hù)。但是，實(shí)物性信息（如，棄置物品）也可能附帶公司的重要信息，倘若不對(duì)此加以保護(hù)，同樣會(huì)對(duì)企業(yè)造成難以預(yù)料的經(jīng)濟(jì)損失。因此，不論是電子信息安全還是實(shí)物性信息安全都應(yīng)該引起企業(yè)管理者的重視。本文依據(jù)中國(guó)平安信息安全總監(jiān)譚憲維先生在媒體中對(duì)其信息安全內(nèi)部控制建設(shè)的介紹，就中國(guó)平安DLP計(jì)劃中對(duì)信息安全防護(hù)案例加以闡述，力圖為我國(guó)企業(yè)做好信息安全工作提供一個(gè)可供參考的典范，也為企業(yè)信息安全方面的研究提供一些思路。

二、中國(guó)平安DLP計(jì)劃簡(jiǎn)介

DLP（Data Leakage Prevention）又稱“信息丟損防護(hù)”，這一概念源于國(guó)外，是目前世界公認(rèn)的信息安全防御手段。它是通過采取一系列的信息安全防護(hù)措施為防止企業(yè)特定數(shù)據(jù)或信息以“非法”形式流出企業(yè)或遭到破壞，影響原始信息完整性、真實(shí)性和保密性而制定的策略。據(jù)中國(guó)平安保險(xiǎn)（集團(tuán)）股份有限公司信息安全總監(jiān)譚憲維介紹，中國(guó)平安早在五年前就已經(jīng)作了大量針對(duì)信息安全問題的工作，并結(jié)合本公司實(shí)際狀況專門制定了一套DLP計(jì)劃。該計(jì)劃從威脅企業(yè)信息安全的信息存儲(chǔ)、信息傳輸和信息使用三個(gè)層面對(duì)涉及公司信息的各個(gè)方面加以嚴(yán)格控制，包括對(duì)人和終端的控制，著重強(qiáng)調(diào)對(duì)“人”的控制。該計(jì)劃認(rèn)為，提高員工的信息安全意識(shí)非常重要。中國(guó)平安首先制定出一系列信息安全制度，并通過平安晨會(huì)、平安報(bào)、內(nèi)部信息網(wǎng)站和知識(shí)競(jìng)答等途徑告知員工公司正在采取舉措監(jiān)控他們的行為以及監(jiān)控他們的原因，并讓員工明白自己怎么做才不違規(guī)。其次是針對(duì)服務(wù)器、職場(chǎng)設(shè)備、BYOD和用戶端口等終端的控制。通過加強(qiáng)這兩個(gè)方面的工作，做到安全使用的數(shù)據(jù)盡量最多，把信息安全威脅盡量降到最低。

同時(shí)，譚憲維認(rèn)為，沒有任何一個(gè)信息安全防護(hù)策略是百分之百有效的（翟艷、黃鮮宇，2014）。因此，信息數(shù)據(jù)防護(hù)不是一個(gè)單一的方案就可以的，它是一個(gè)涉及整體的工作。DLP計(jì)劃不是一蹴而就的事情，而是一個(gè)運(yùn)動(dòng)的、不斷優(yōu)化的過程。因此，中國(guó)平安在信息安全工作中秉承“只有變才是不變的”理念，倡導(dǎo)準(zhǔn)確識(shí)別公司內(nèi)外部環(huán)境的變化，順應(yīng)市場(chǎng)發(fā)展的潮流，樹立前瞻性視野，做到防患于未然的信息安全，以支撐企業(yè)的穩(wěn)健發(fā)展。

三、基于中國(guó)平安DLP計(jì)劃的信息安全控制

2007年，中國(guó)平安成立了獨(dú)立于IT部門的信息安全部。該部門之所以開拓性地脫離IT部門獨(dú)立成部，主要源于其關(guān)于企業(yè)信息安全控制的前瞻性思想：信息安全應(yīng)該是兼顧人、流程和技術(shù)三個(gè)領(lǐng)域的保障形態(tài)。因此，該公司的信息安全控制在信息存儲(chǔ)、信息傳輸和信息使用中均兼顧了這些領(lǐng)域（譚憲維，2014）。具體如下：

（一）信息存儲(chǔ)

1.建立備份數(shù)據(jù)中心

數(shù)據(jù)備份的意義在于當(dāng)信息遭受破壞之后，通過備份的數(shù)據(jù)，完整、快速、簡(jiǎn)捷、可靠地恢復(fù)到原有的數(shù)據(jù)保存狀態(tài)，使公司現(xiàn)有業(yè)務(wù)能夠迅速恢復(fù)至正常運(yùn)營(yíng)。高效的數(shù)據(jù)備份要同時(shí)做到資源配置和運(yùn)營(yíng)管理兩個(gè)方面的備份，既能保證原始信息的完整性，又能滿足信息還原的及時(shí)性要求，因此，是一個(gè)公司信息安全最根本、最基礎(chǔ)的保障措施。為了保證公司整個(gè)信息系統(tǒng)的穩(wěn)定運(yùn)行，中國(guó)平安在上海和深圳兩地建立起了兩大互為備份的數(shù)據(jù)中心。這兩個(gè)數(shù)據(jù)中心均采用了國(guó)際先進(jìn)的NCPI和模塊化設(shè)計(jì)思想，不論是在資源的有效配置方面，還是數(shù)據(jù)的運(yùn)營(yíng)管理方面都能實(shí)現(xiàn)可靠性、完整性、靈活性和可擴(kuò)展性等要求。除此之外，自2004年數(shù)據(jù)中心建立之后，中國(guó)平安在國(guó)內(nèi)率先制定了“IT災(zāi)難恢復(fù)計(jì)劃”，并做到每年進(jìn)行一次實(shí)戰(zhàn)演練，對(duì)這些管理體系不斷地進(jìn)行更新和完善，提高公司在一個(gè)數(shù)據(jù)中心遭到破壞之后快速恢復(fù)關(guān)鍵信息系統(tǒng)的能力，為信息服務(wù)的可靠性和連續(xù)性提供有力保障。

2.服務(wù)器保護(hù)

服務(wù)器承擔(dān)著數(shù)據(jù)的存儲(chǔ)、轉(zhuǎn)發(fā)、發(fā)布等關(guān)鍵任務(wù)，是各類基于客戶機(jī)/服務(wù)器（C/S）模式網(wǎng)絡(luò)中不可或缺的重要組成部分，是每個(gè)公司信息系統(tǒng)的核心組件之一。信息泄漏事件很大程度上都是源于黑客對(duì)服務(wù)器的攻擊。服務(wù)器存在的安全漏洞為黑客提供了攻擊的機(jī)會(huì)，他們利用這些漏洞植入惡意軟件、木馬程序和病毒等，竊取或破壞公司重要信息。中國(guó)平安在應(yīng)對(duì)服務(wù)器攻擊方面不再按照傳統(tǒng)的“亡羊補(bǔ)牢”防御模式，而是依據(jù)ISO27001信息安全管理體系中的PDCA模型（圖1）進(jìn)行主動(dòng)、全面的未雨綢繆式的安全管理。它將整個(gè)防御過程劃分為計(jì)劃（Plan）、實(shí)施（Do）、檢視（Check）和處理（Act）四個(gè)持續(xù)循環(huán)的階段，從制度著手，制定出全面、嚴(yán)謹(jǐn)?shù)姆?wù)器信息安全控制制度，依據(jù)該制度嚴(yán)格執(zhí)行，并在此期間不斷進(jìn)行檢視，對(duì)存在問題和隱患的地方及時(shí)進(jìn)行處理。

3.對(duì)大數(shù)據(jù)的安全措施

大數(shù)據(jù)是近年來繼云計(jì)算之后出現(xiàn)并得以迅速推廣的全樣本數(shù)據(jù)分析工具，通常被定義為無法用現(xiàn)有的軟件工具提取、存儲(chǔ)、搜索、共享、分析和處理的海量的、復(fù)雜的數(shù)據(jù)集合，具有數(shù)量巨大、類型各樣、價(jià)值密度低、處理速度快等特點(diǎn)，數(shù)據(jù)更加集中。因此，相對(duì)于傳統(tǒng)數(shù)據(jù)而言，大數(shù)據(jù)被泄漏的風(fēng)險(xiǎn)更大。大數(shù)據(jù)包括結(jié)構(gòu)性數(shù)據(jù)和非結(jié)構(gòu)性數(shù)據(jù)。由于結(jié)構(gòu)性信息包括了生產(chǎn)、交易、客戶信息等，對(duì)其保密性要求相對(duì)較高，而對(duì)于非結(jié)構(gòu)性信息，由于其數(shù)據(jù)來源本來就公開，因此對(duì)其保密性要求也就相對(duì)較低。中國(guó)平安在大數(shù)據(jù)的管理方面仍然處于研究階段，對(duì)大數(shù)據(jù)的保護(hù)主要關(guān)注結(jié)構(gòu)性信息。針對(duì)這些數(shù)據(jù)，中國(guó)平安采取了名為“微度漂白”的管理策略。其思路就是把客戶的敏感信息（如，客戶個(gè)人信息、銀行賬號(hào)、交易信息等）和這些數(shù)據(jù)的關(guān)聯(lián)實(shí)體相分離，即只保留了不影響數(shù)據(jù)分析的關(guān)聯(lián)性信息，即便是公司內(nèi)部的數(shù)據(jù)分析員也不知曉數(shù)據(jù)的關(guān)聯(lián)實(shí)體，從而達(dá)到對(duì)大數(shù)據(jù)保護(hù)的目的。

（二）信息傳輸

信息傳輸方面主要分為電子信息（如，電子協(xié)議、電子印章和電子郵件等）傳輸和實(shí)物信息（紙質(zhì)文件、行銷資料等）傳輸。

1.電子信息傳輸

公司內(nèi)部（包括總公司和子公司之間）電子信息的傳輸主要通過公司內(nèi)網(wǎng)提供的內(nèi)部郵箱在互聯(lián)網(wǎng)中經(jīng)由加密傳輸通道VPN實(shí)現(xiàn)，同時(shí)，使用微軟公司的OUTLOOK軟件管理個(gè)人郵件。為了防止內(nèi)部員工有意或無意通過郵箱向無關(guān)的外部泄漏內(nèi)部信息，公司給予每個(gè)郵箱使用者不同的權(quán)限。主要業(yè)務(wù)在公司內(nèi)部的部門（如，企劃部、財(cái)務(wù)部等）郵箱使用者只有內(nèi)部收發(fā)和接收外部郵件的權(quán)限，而沒有向公司外部發(fā)送郵件的權(quán)限。對(duì)于需要與外部溝通較多的部門（如，采購(gòu)部等），則僅開通個(gè)別用戶外發(fā)郵件的權(quán)限，而且外發(fā)的郵件必須抄送至相關(guān)部門長(zhǎng)，否則將受到不同程度的懲處。此外，相對(duì)于對(duì)外網(wǎng)資源要求較多的QQ等即時(shí)傳輸工具，中國(guó)平安的郵箱文化更具有可控性和可存儲(chǔ)性。同時(shí)，在網(wǎng)絡(luò)通訊環(huán)境中建造一個(gè)郵件監(jiān)察策略，掃描電子郵件中的敏感信息，識(shí)別可能涉密的郵件?？紤]到檢測(cè)工具的判別并不是百分之百準(zhǔn)確，因此，還要輔以人工識(shí)別，以兼顧監(jiān)測(cè)的效率和效果。

2.實(shí)物性信息傳輸

近年來，物流公司泄漏客戶信息的案件層出不窮。對(duì)于實(shí)物性信息的傳輸控制方面，如公司重要的紙質(zhì)文件、行銷資料及運(yùn)營(yíng)設(shè)備等在公司內(nèi)部或母子公司間傳輸過程中，若使用外部物流將會(huì)導(dǎo)致信息泄漏風(fēng)險(xiǎn)大大增加，尤其是對(duì)于涉及公司關(guān)鍵經(jīng)營(yíng)決策的信息泄漏可能引起難以估量的經(jīng)濟(jì)損失，鑒于這些考慮，中國(guó)平安建立了自己的名為“箱包”的內(nèi)部物流。對(duì)于價(jià)值密度高、信息泄漏風(fēng)險(xiǎn)大的實(shí)物信息均采用內(nèi)部“箱包”的形式進(jìn)行傳遞。同時(shí)，考慮到內(nèi)部物流成本較高等因素，對(duì)于價(jià)值密度較低的基礎(chǔ)性實(shí)物，由于其信息泄漏不會(huì)對(duì)公司經(jīng)營(yíng)產(chǎn)生較大影響，則可以考慮采用外部物流進(jìn)行傳遞。對(duì)于數(shù)量較小的紙質(zhì)文件，即便采用內(nèi)部物流也難免存在丟失等風(fēng)險(xiǎn)，因此，這部分文件采用傳真?zhèn)鬏數(shù)姆绞礁鼙ＷC其安全和完整。

（三）信息使用

1.制度宣導(dǎo)

信息安全存在的最大問題還是“人”的問題，歸根到底是每一個(gè)公司員工的責(zé)任。幾乎每一個(gè)員工都或多或少地掌握公司部門信息，他們很容易有意或無意間將信息泄漏出去。因此，必須在員工心里樹立一個(gè)分辨敏感信息的判斷標(biāo)準(zhǔn)。中國(guó)平安獨(dú)創(chuàng)性地把“人”當(dāng)作一種資產(chǎn)，而不是像其他公司當(dāng)作資源進(jìn)行管理。這樣就要對(duì)進(jìn)入公司的員工的行為負(fù)責(zé)，能夠更準(zhǔn)確地衡量其操作風(fēng)險(xiǎn)。中國(guó)平安在公司內(nèi)部建立了專門的信息安全內(nèi)部控制部門，他們不是信息安全的實(shí)施者，而是推動(dòng)實(shí)施者進(jìn)行信息安全管理工作，每年都會(huì)通過信息服務(wù)網(wǎng)、晨會(huì)、平安報(bào)刊、知識(shí)競(jìng)賽等活動(dòng)平臺(tái)為本公司內(nèi)部人員組織大量信息安全知識(shí)培訓(xùn)，讓他們不斷地接收新的知識(shí)和理念，并通過案例講解其中的利害關(guān)系，以此改善信息安全狀況，提高公司中每個(gè)員工的防御意識(shí)和能力，組建一個(gè)“全民皆兵”的防御戰(zhàn)線。同時(shí)，通過建立制度并強(qiáng)化公司內(nèi)部信息安全形態(tài)、提供咨詢顧問服務(wù)、進(jìn)行審計(jì)監(jiān)督等一系列持續(xù)不斷的工作，推動(dòng)信息安全的穩(wěn)健發(fā)展。

2.辦公職場(chǎng)設(shè)備控制

辦公職場(chǎng)設(shè)備是公司員工日常辦公、維持公司業(yè)務(wù)正常運(yùn)營(yíng)的基礎(chǔ)設(shè)施。公司員工對(duì)這些設(shè)備接觸最多，也最為熟悉，同時(shí)也比較容易導(dǎo)致員工的疏忽大意，也許一個(gè)普通員工不經(jīng)意間的行為就可能導(dǎo)致公司重要信息的泄漏或破壞。因此，這是公司信息安全方面最容易出現(xiàn)問題的地方之一。中國(guó)平安對(duì)辦公職場(chǎng)設(shè)備的管理主要是針對(duì)電腦、電話、打印機(jī)和傳真機(jī)等的管理。具體如下：（1）電腦，電腦是中國(guó)平安員工最重要的辦公設(shè)備，它是訪問公司數(shù)據(jù)庫信息的入口，是存儲(chǔ)辦公資料的倉(cāng)庫，是員工交流的工具，幾乎儲(chǔ)存了一個(gè)員工日常工作涉及的所有信息。因此，首先就是要控制登錄入口。每個(gè)員工分配一個(gè)UM賬號(hào)，并由員工自行設(shè)定一個(gè)包含字母、數(shù)字和特殊符號(hào)的密碼與之匹配。為了保證密碼的可靠性，每個(gè)員工必須在每三個(gè)月至少更改一次密碼。其次是對(duì)其訪問的站點(diǎn)進(jìn)行控制。每臺(tái)電腦根據(jù)員工的崗位類別只可以訪問與自己工作密切相連的站點(diǎn)，而不能訪問工作以外的站點(diǎn)。如，稅務(wù)會(huì)計(jì)只能訪問公司財(cái)務(wù)系統(tǒng)、國(guó)（地）稅局網(wǎng)站，而不能鏈接到新浪網(wǎng)、搜狐網(wǎng)等。此外，一般禁止自行安裝非制定軟件（如，QQ等）程序。若確實(shí)有需求，需在部門長(zhǎng)審批之后由IT部門負(fù)責(zé)調(diào)試。最后，為了保證用戶離開座位期間的信息安全，電腦在長(zhǎng)時(shí)間未操作的情況下會(huì)自動(dòng)鎖定。（2）電話，電話通訊的控制主要體現(xiàn)在對(duì)通話時(shí)間、時(shí)長(zhǎng)和通話對(duì)象的監(jiān)測(cè)方面。公司會(huì)定期對(duì)員工的可疑通話進(jìn)行記錄和檢查，確保員工電話通訊安全。（3）打印機(jī)，打印機(jī)是每一個(gè)員工都要用到的數(shù)據(jù)輸出設(shè)備，直接由每個(gè)部門長(zhǎng)對(duì)該部門的打印機(jī)負(fù)責(zé)。涉密文檔的打印必須事先發(fā)送至部門長(zhǎng)備份方可打印，并由打印者對(duì)打印文件的去向負(fù)責(zé)。此外，IT部門定期對(duì)每個(gè)部門打印機(jī)的打印數(shù)量、打印時(shí)間和打印內(nèi)容進(jìn)行檢查。（4）傳真機(jī)，由于傳真機(jī)具有向公司外部發(fā)送數(shù)據(jù)的功能，因此，對(duì)其管理較為嚴(yán)格。一般每個(gè)部門由部門長(zhǎng)直接負(fù)責(zé)，傳輸?shù)膬?nèi)容需由部門長(zhǎng)備份，并傳送至上級(jí)部門，使用完畢，立即清除機(jī)內(nèi)存儲(chǔ)的數(shù)據(jù)。同時(shí)，由IT部門不定期進(jìn)行抽查。

3.BYOD控制

伴隨著智能終端和移動(dòng)互聯(lián)技術(shù)的迅速發(fā)展，便攜式計(jì)算機(jī)、智能手機(jī)和平板電腦等移動(dòng)設(shè)備在日常辦公中得以普遍推廣和應(yīng)用，越來越多的員工將移動(dòng)設(shè)備引入到工作環(huán)境中，自帶終端上班BYOD（Bring Your Own Device）已經(jīng)成為一種潮流。中國(guó)平安2011年就開始制定BYOD政策，以便更安全、可靠地利用這一不可逆轉(zhuǎn)的趨勢(shì)為企業(yè)創(chuàng)造價(jià)值。但是，近年來由于智能操作系統(tǒng)漏洞、刷機(jī)風(fēng)險(xiǎn)和木馬程序的存在，使得移動(dòng)終端設(shè)備不斷面臨威脅。據(jù)移動(dòng)威脅檢查數(shù)據(jù)顯示，目前平均每秒鐘就有3.5個(gè)安全威脅產(chǎn)生。針對(duì)移動(dòng)終端設(shè)備的安全問題不容小覷。

針對(duì)這些問題，中國(guó)平安依然先從“人”的角度著手，制定出一些列BYOD管理制度。根據(jù)這些制度，員工應(yīng)學(xué)習(xí)個(gè)人設(shè)備用于工作環(huán)境時(shí)應(yīng)該準(zhǔn)守的規(guī)則，簽訂信息安全協(xié)議，并允許IT專員為其設(shè)備部署控制措施。此外，技術(shù)方面做到將個(gè)人使用與BYOD辦公嚴(yán)格區(qū)分，建立一套包含以下方面的信息安全防護(hù)策略：（1）認(rèn)證設(shè)備，BYOD設(shè)備要接入企業(yè)網(wǎng)絡(luò)需要認(rèn)證設(shè)備使用者的身份信息并確認(rèn)授權(quán);（2）按要求配置設(shè)備，BYOD設(shè)備經(jīng)授權(quán)確認(rèn)后需要按照信息安全規(guī)則實(shí)施密碼標(biāo)準(zhǔn)和失敗、嘗試限制、安全鎖定等管理配置要求;（3）企業(yè)數(shù)據(jù)保護(hù)，BYOD設(shè)備一般只能訪問企業(yè)數(shù)據(jù)而不能下載儲(chǔ)存，若必需保存企業(yè)數(shù)據(jù)時(shí)，應(yīng)做到企業(yè)數(shù)據(jù)與個(gè)人數(shù)據(jù)的明確分離;（4）數(shù)據(jù)棄置，當(dāng)BYOD設(shè)備脫離公司（如，員工離職或設(shè)備丟失）時(shí)，應(yīng)做到可遠(yuǎn)程清除設(shè)備上的企業(yè)數(shù)據(jù)。

4.內(nèi)外網(wǎng)端口控制

對(duì)內(nèi)外網(wǎng)端口的控制主要針對(duì)USB接口、U盤（包括移動(dòng)硬盤等存儲(chǔ)設(shè)備）、藍(lán)牙和WIFI等內(nèi)外設(shè)備聯(lián)通端口的管理。具體控制措施如下：（1）USB端口是公司內(nèi)外部數(shù)據(jù)傳輸最為便捷的路徑，也是電子信息泄漏風(fēng)險(xiǎn)最大的出口。為了加強(qiáng)對(duì)USB端口的控制，中國(guó)平安嚴(yán)格限制員工電腦端口的傳輸權(quán)限，即，禁用普通用戶通過USB端口拷出資料的權(quán)限，而只能拷入與工作內(nèi)容相關(guān)的文檔和圖片數(shù)據(jù)，對(duì)文檔和圖片以外格式的文件和程序則沒有權(quán)限訪問和使用。但是，日常工作中難免會(huì)遇到必須拷入和拷出的情形，為了保證日常工作的正常進(jìn)行，公司在IT部門預(yù)留兩個(gè)具有完全權(quán)限的USB端口，普通員工使用該端口前需提前向部門長(zhǎng)提出申請(qǐng)，并向端口負(fù)責(zé)人備份存檔。（2）U盤等存儲(chǔ)設(shè)備，由部門長(zhǎng)指定專人負(fù)責(zé)其存在性和安全性，即，防止其丟失和及時(shí)清除敏感數(shù)據(jù)，并由部門長(zhǎng)不定時(shí)抽檢。（3）藍(lán)牙和WIFI，公司對(duì)藍(lán)牙的應(yīng)用較少，因此全部處于關(guān)閉狀態(tài)。此外，由于中國(guó)平安在2015年初推出了一個(gè)全國(guó)熱點(diǎn)區(qū)域“免費(fèi)平安WIFI計(jì)劃”，因此，WIFI主要是對(duì)員工休閑娛樂的福利，與辦公網(wǎng)絡(luò)（有限網(wǎng)絡(luò)）采用完全分離的線路，保證了二者互不干涉。

5.日志審查

為了進(jìn)一步監(jiān)管員工在工作中對(duì)電子信息數(shù)據(jù)的處理，記錄所有用戶的全部操作，同時(shí)也為了在員工具有泄密嫌疑時(shí)及時(shí)拿出有力的證據(jù)，中國(guó)平安建立了一套電子信息數(shù)據(jù)日志審查制度。該制度要求IT部門對(duì)每位員工的日常操作進(jìn)行實(shí)時(shí)抽檢、跟蹤和記錄，一旦偵查到敏感信息的交換時(shí)要及時(shí)提出預(yù)警，提示信息安全管理部門及時(shí)加以關(guān)注，并回溯該用戶的操作歷史進(jìn)行綜合評(píng)估，以達(dá)到降低普通用戶操作風(fēng)險(xiǎn)的目的。

6.丟棄文檔和棄置物品控制

丟棄文檔和棄置物品具有公司最容易忽略的信息安全風(fēng)險(xiǎn)。一張隨手扔掉的廢紙可能記載了重要的客戶信息，一個(gè)丟棄的打印機(jī)可能儲(chǔ)存有打印過的會(huì)議資料。因此，對(duì)丟棄文檔和棄置物品的控制具有很重要的意義。中國(guó)平安對(duì)此要求也十分明確，不論是丟棄的紙質(zhì)文檔還是棄置物品均需事先“毀掉”其附帶的信息。每個(gè)部門丟棄的文檔和棄置物品必須打包并列示清單，報(bào)至部門長(zhǎng)審批銷毀，并由兩人或兩人以上監(jiān)銷人在銷毀清單上簽字。

四、結(jié)語

伴隨著科學(xué)技術(shù)的不斷進(jìn)步和商務(wù)模式的日益復(fù)雜，信息安全問題開始困擾我國(guó)企業(yè)的穩(wěn)健發(fā)展。本文在我國(guó)全面深化經(jīng)濟(jì)體制改革的背景下，通過對(duì)中國(guó)平安DLP計(jì)劃進(jìn)行分析，為我國(guó)企業(yè)加強(qiáng)信息保護(hù)方面的工作提供一個(gè)可供參考的案例，同時(shí)希望對(duì)企業(yè)信息安全工作的深入研究有所幫助。正如中國(guó)平安信息安全部總監(jiān)譚憲維先生所言，企業(yè)信息安全是我國(guó)企業(yè)亟需面對(duì)而且不斷發(fā)展變化的問題，需要每一個(gè)企業(yè)用發(fā)展的眼光結(jié)合自身實(shí)際情況搭建個(gè)性化的信息安全屏障。

【參考文獻(xiàn)】

[1] 周衛(wèi)華.信息化環(huán)境下內(nèi)部控制實(shí)施流程優(yōu)化研究[J].財(cái)務(wù)與會(huì)計(jì)，2014（11）：56-58.

[2] 翟艷，黃解宇.上市公司內(nèi)部控制的風(fēng)險(xiǎn)評(píng)估解析[J].會(huì)計(jì)之友，2014（19）：67-70.

[3]譚憲維.DLP計(jì)劃助力企業(yè)數(shù)據(jù)防泄漏[EB/OL].http：//sec.chinabyte.com/116/13055616.shtml，2014-8-22.

[4] 宋建琦.基于會(huì)計(jì)信息化的企業(yè)內(nèi)部控制優(yōu)化研究[J].會(huì)計(jì)之友，2013（24）：83-85.

[5] 張同建，呂寶林.信息化創(chuàng)新、內(nèi)部控制和操作風(fēng)險(xiǎn)控制的相關(guān)性研究[J].軟科學(xué)，2010（12）：13-18.