1、浅析跨国企业电子信息安全管理 【摘 要】随着跨国企业海外业务的不断增加,跨境电子信息安全问题日益突出。而电子信息跨境传输,保密方式有别于国内,增大了电子信息安全管理的难度。本文主要从科学设计与组织管理角度,浅析各类跨国企业电子信息安全管理的特点,问题与解决方法。 【关键词】跨国企业;电子信息;科学设计;信息安全;组织管理 一、跨国企业电子信息安全管理的意义 随着我国 “ 一带一路 ” 倡议的实施,经济全球化的深入发展和跨境电子商务的崛起,跨国企业电子信息安全管理的重要意义日益显著。而频繁发生的网络安全事件让跨国企业蒙受巨大损失,从科学设计与组织管理层面加强电子信息安全管理已刻不容缓。 1.有利
2、于保护商业核心机密,提高企业竞争力 商业竞争的关键在于企业有独特的竞争优势,能保障企业核心竞争力。这就是商业机密的重要性。防止这一包括设计资料,管理诀窍,生产技术,客户名单和市场情报等的重要资料泄漏,可以使企 业免受经济利益损失和不必要的法律问题。而对于电子信息形式的资料易拷贝,易修改和易破坏的特性,加强企业电子信息安全管理更为重要。 2.通过保障企业电子信息安全管理的运行,有助于提升企业对全局的掌控能力和危机应对能力 在信息时代谁能更准确安全全面的把握电子信息,谁就能更好的掌握全局,赢得竞争。为防止企业内部信息混乱,不准确易泄露,遇到大规模电子信息安全事件不能管控损失,导致企业生存能力堪忧的
3、情况。加强管理,保障电子信息安全,从而防止竞争对手黑客和外国政府的影响与破坏就是提升企业对全局的掌控能 力和危机应对能力的良策。可见企业根据自己的特点设计行电子信息安全管理机制,强化员工电子信息安全意识,制定行之有效的危机响应计划,从而保障企业电子信息安全运行意义重大。 3.有利于保障客户隐私与权益,树立企业良好口碑 众所周知,企业以诚信可靠为本。随着信息交流的加快和网络攻击事件的频发以及全球的个人隐私安全的关注与担忧的加深。对包括客户基本信息和特点的电子信息安全的保障,正是企业立足的关键。在个人信息泄露事件频发的当下,跨国企业加强电子信息安全管理以保障客户隐私与权益更有其特殊意义。 二、跨国
4、企业的突出特点及其面临的电子信息安全管理问题 1.雇员数目庞大,母子公司间电子信息联系紧密的特点 跨国企业,特别是大中型跨国企业常有不同国籍,能力层次和心理状态的众多雇员一起共事,企业不时根据效益做出人事调整。同时有许多子公司从事与母公司相关的行业和领域使得企业内部电子信息联系紧密。这一特点对企业信息安全管理是不小挑战。 ( 1)对企业不满的员工和被竞争对手收买或安插的企业雇员必然威胁企业电子信息安全,而这正是现今企业忽视和难以管理的重大问题,呈日益高发态势。根据 CSI和 FBI2005年的 “ 计算机犯罪和安全调查 ” ,不满的雇员是最易发起电子信息攻击的人。 ( 2)子公司,尤其是自持大
5、部分股份的子公司的 ?子信息安全管理比较困难,电子信息传输与共享频繁且难以监管,成为黑客攻击公司内网的跳板,一旦出现风险损失极大。这样的问题亟待解决。 2.大型网络公司数据类型多数量大,内外网之间电子信息交换频繁的特点 跨国公司中以跨境电子商务公司和跨境网络平台为首的大型网络公司因为主营业务在网上,为客户和金融体系提供云平台保存服务和快速便捷的金融数据信息的流动保存 平台,电子信息存在类型多数量大和内外网间电子信息交换频繁的特点。这些特点使企业外部安全挑战增大。 ( 1)庞大的数据量和信息的流动性使企业筛查风险的能力和效率大打折扣,应对手段和花样不断翻新的网络攻击时无论从应对方案还是人员角度都
6、力不从心。 ( 2)内外网频繁的信息交流稍有不当就会使内网保密数据泄漏和遭受攻击,很多企业不能用好内外网隔离这最后屏障,导致企业内部大规模瘫痪,问题也很突出。 3.国际组网的物理环境和硬件设备复杂,远距离电子信息传输容易解密的特点 跨国企业的经营 势必要使用国际网络的物理链路,因为信息交流呈现的远距离,快速度,高质量和大容量等特点,且量子保密通信远未在国际商业上普及。现在最行之有效的仍是光纤传输,辅之以卫星基站传输等无线传输手段。 而在国外组网,难免采用国外电子信息硬件,其所采用的标准,安全可信度和国外信息传输协议与国内有所不同。这些正是目前跨国企业电子信息传输和存储的基础硬件特点。 而随着光
7、纤信号窃听技术的成熟与运用,光纤网络中传输的企业电子信息受到的威胁也逐渐加深。通过该技术,网络攻击者很容易窃取光纤链路中传输的数据,而且窃取 行为的隐蔽性逐渐增强,成本逐渐降低。对企业的商业机密造成了极大的威胁。无线传输的电子信息因使用国际基站和直接接触万维网而泄密问题更难解决。 同时,使用了包含外国芯片等硬软件的电子信息储存设备,源代码和网络协议难以检查。一但有已存在的恶意代码或漏洞,企业自查困难重重。 4.面对的电子信息安全风险不断增大,网络攻击手段和程序加速翻新的特点 跨国企业,尤其是网络服务型企业,近年来面对的电子信息安全形式加速变化,各种攻击手段与程序加速翻新。据 IBM 统计,与
8、2015 年相比较,2016 年全 球发生的勒索软件攻击事件增长了惊人的 60000%,大型跨国企业成为攻击的重灾区。这还不包括 2016 年全球出现的 7 次大规模物联网僵尸网络驱动的 DDOS 攻击。这种特点要求企业有完整且切实可行的电子信息安全管理体系,电子信息安全的预警机制,受到攻击后迅速反应的损失管控与数据恢复系统,以及对企业电子信息安全管理机制进行不断审查,修订和监督的机构与制度。 然而很多企业重视技术而轻视组织管理和上述整体电子信息安全框架的构建的要求。未能站在全局的,变化的角度重塑电子信息安全观。各个系统无法统筹协调,导致事前无预警, 事发无管控,事后无恢复,事过无评估的恶性循
9、环严重影响企业竞争力和生存力。这正是上述所有问题的根本。 三、跨国企业电子信息安全管理的解决方法 1.设置严格的访问浏览权限 针对企业内部雇员发起的攻击,泄密问题。就必须对企业内网和内部服务器设置严格的访问浏览权限。限制阅读,拷贝,修改和上传电子信息形式的商业机密的人员级别,并定期和根据人员变动,对权限进行调整,这样能很好阻断雇员泄密,攻击的可能性,减少损失。 2.设计内外网交换方便又互不影响的内外网互联安全设备 针 对内外网数据交换频繁的跨国企业,有必要在内外网之间建立以网闸为基础的安全区,实施严格的安全隔离审查。首先,绝不允许任何非内部网络协议穿越网闸,通过自有程序将已经安全审查的电子信息
10、进行中继。其次,以网闸为中心,在安全区布置隔离防火墙,数据安全扫描系统等设备,并定期根据网络安全最新动向进行更新,防止内部电子信息外泄和来自外部的入侵。 3.对跨国传输的电子信息进行加密,建立国际网络专线 针对信息国际传输链路安全难以保证问题,首先通过网络加密机对信息进行加密,当然加密设备必须可信赖,最好是本国产 品。其次可以在网络中建立企业自有的临时网络专线,通过防火墙,攻击感知和预警系统进行防备,也可以独自建立专属的物理链路。当然后者成本和法律上较困难,在天地量子保密传输还未商用时前者更实际。 4.对不可移动设备的定期检查和移动硬件的管理 针对国外不可移动设备的可靠性和极易泄密的移动储存设
11、备,特别是跨国时使用的移动储存介质的问题。首先要将操作系统正版化,尽可能的将内部网络协议自有化,软件程序要可靠,尽可能使用本国的系统。在使用前检查修补,使用中定期检查使用后用可靠数据清除设备将电子信息抹去。 对于跨国和平时的移动设备,进行高度加密,限制可用范围为公司内部相同协议设备,一但发现非法处理和拷贝信息立即自动销毁信息。在使用管理上实行统一管理,实名取用,用后严格检查有无储存和非法拷贝。对跨国的 ?O 备更是要抹去不必要的数据,实施权限管理。 5.建立健全企业总体信息安全管理系统的框架和调整修订计划 针对企业在电子信息安全管理领域重技术轻管理,各自为战效率不高的问题,有必要建立一个能协调
12、配合,发挥优势并可以自主根据电子信息安全形势进行调整修正的安全管理体系,这是治本之策。 ( 1)安全响应体系。由于对信息安全状况的感知和预知手段与技术快速发展,对危机的预警成为可能。预警之后就按照企业预设的安防机制进行防范。遭到攻击后立即对攻击的特点进行确定和防卫,对内部链路进行分隔保护。之后迅速对损失数据和遭破坏体系进行修复。事件结束后应从损失情况,危机的新变化,应急响应的效果等层面进行综合评估与分析。最后依据分析结果对企业安全策略,安防系统乃至电子信息传输体系进行调整。 ( 2)为保障该体系而建立的组织系统,硬件保障系统和技术支持系统。他们统一在该安全体系下,体系对他们起统一领导 作用,互
13、相间是相容的互促关系,对体系产生执行和调整作用。为完成这一自我调整自我循环过程,下设合理有力的机构和保障制度,这不必详述。 四、结语 电子信息安全是跨国企业 “ 走出去 ” 的一大挑战。它涉及企业的核心机密,关系到企业的核心竞争力和口碑,对企业掌控全局意义重大,故实施电子信息安全管理势在必行。为达到目的,按安全响应体系设计的组织系统,硬件保障系统和技术支持系统三足鼎立形成信息安全管理框架。在这之下对物理链路,软件,内外网和跨境传输,以及人员权限储存硬件等进行强化管理。只有多管齐下多措并举 的从科学设计与组织管理角度对企业电子信息予以保障,跨国企业发展的动力,效应和前景才能更加明朗。 参考文献: CSI/FBI“2005 年计算机犯罪和安全调查 ”. IBM X-Force“2016 垃圾邮件趋势跟踪研究 ”.
