随着市场经济的发展,商业竞争越来越激烈,利益刺激使各种不正当的竞争方法层出不穷,侵害他人商务安全、窃取商业秘密、毁坏资料等现象屡见不鲜,使企业商务安全受到严重威胁。而且,由于科学技术的高速发展和网络的日益普及,侵害商务安全的手段日益增多,并且越来越难以察觉,造成的损害也越来越严重,现代化的电子商务管理运作和交易模式也使得商业秘密更易被侵袭,商务安全已经亮红灯。 当前,由于办公环境安全方面的问题而导致商务安全受到威胁的形式多种多样,其中最主要的有以下二个方面:
一是窃听,窃听是通过手段在他人不知情的情况下听取、记录他人之间的谈话以获得商业秘密等为自己谋取非法利益的行为。随着当前科学技术的不断发展,窃听的涵义早已超出隔墙偷听、截听电话的概念,它借助于技术设备、技术手段,不仅窃取语言信息,还窃取数据、文字、图象等信息。
在实际检测过程中,发现过的几种主要窃听形式包括:对内部的集团程控电话进行录音;在办公室内部放置微型摄像头或者录音系统;进入到公司的传真系统,对传真进行监测;对公司高管人员移动电话的窃听等。通过多次检测的结果,发现此类窃听装置大多为非线性节点装置。令人忧虑的是,在以上检测中并未发现有公司或者个人采取反窃听的形式来防止商业秘密的泄露。
二是通过网络,利用黑客入侵的手段对商务信息进行窃取或破坏。商务信息主要包括在计算机内存储的公司核心技术资料,重要客户资料以及正常往来的商务邮件等。此方面可采取的方式多种多样,如进入公司邮箱系统或者局域网络,获取有关资料,删除重要的资料,对公司网络进行非法攻击等。
据2003年公安部公共信息网络安全监察局与中国计算机学会计算机安全专业委员会共同举办的全国首次信息网络安全状况调查,在7072家被调查单位中有4057家单位发生过信息网络安全事件,占被调查总数的58%。其中,发生过1次的占总数的22%,2次的占13%,3次以上的占23%。而时至今日这个数字会随着互联网的进一步普及而攀升,在国外、国内发达地区将更加惊人。
如此严重的商务安全威胁给了商务安全服务广阔的发展空间,一种新型的商务安全服务——办公环境安全审计随之应运而生。在国外,这类商务安全服务的发展已经小有规模,主要集中在美国和欧洲,如著名的CCS公司、SITG公司(Security Intelligence Technologies Corporation )等,已经有了一定的发展规模和知名度;日本的相关产业也有所发展。在国内,商务安全服务的开展处于滞后的状态,真正意义上的商务安全服务公司【如CNNS(安络科技)】很少,大多为开发、生产和销售安全检测设备或研发系统的科技公司,所涉及的也多为技术含量低、成本低的产品,如反窃听或者反偷拍的便携式小型设备——探测狗等,系统化、规模化地提供安全检测调查服务的公司几乎没有,使得很多商务公司没有反窃听和网络检测的途径。值得一提的是,与商务安全服务相对的业务却比比皆是,提供窃听、监控、进入他人计算机系统等侵害他人商务安全的违法产品的公司、厂家大量存在。当然,从另一个角度来看,这些公司、厂家的存在,也是激烈的市场竞争中商业公司不择手段获取商业秘密的倾向所决定的,也正因为有这些不法公司、厂家的大量存在,进行办公环境安全审计也到了迫在眉睫的时候。
在办公环境安全审计中,针对以上所述的两个方面,主要的防范方式为进行网络安全检测和反窃听检测。网络安全检测方面,因国内已经有完整的网络防范技术及相关的网络安全公司,故不再赘述。主要探讨一下反窃听的检测方式。
首先,反窃听的形式主要为办公设备的安全检测、室内检查窃听器以及其他方式的检测。
企业内部应该完善电话传真等通讯系统。机密部门的通信系统应分为内外两个部分,当内部电话在通话时,由于内部通信线路与外部是断开的,外部的窃听器无法听到内部信息;与外线通话时使用专门的通话设备或由专业接线员转接;同时,使用电话安全检测产品及反窃听产品,可使通话更为安全。
重要会议之前还要进行专门检测,以确定周围是否存在监听窃听设备;公司可购置反窃听、干扰窃听的装置,使窃听设备被及时发觉或归于无效。根据当前技术、设备、窃听方式及设备的发展,主要是对非线性节点装置进行检测,此类装置主要是安置在办公环境内,所以必须进行室内检查窃听器的工作,才能有效防止反偷拍、反窃听,是保护企业商业秘密的一个主要的手段。
再次,反窃听检测的时段可以分为定期检测、不定期检测、重点检测等。
企业应该在专业安全服务公司的指导下制定经常性的安全检测计划,按照斯缔尔公司的长期积累的经验,定期检查一般为每季度检查一次。同时对公司的重要工作部门和主要工作地(决策人员办公室、会议室等)进行不定期的检测和重点检测。
中国有句俗话——“害人之心不可有,防人之心不可无”