财务室和法务室,这两个部门虽然在业务职能上完全不同,但在信息安全防护上有一个共同点,就是它们保管着企业最敏感的文字信息。财务室有银行账户信息、税务报表、成本核算、薪资数据,法务室有合同文本、诉讼文件、知识产权材料、并购条款。这些资料一旦被窃取,后果可能是账户资金被盗、商业机密公开或者法律纠纷中的被动局面。
先说财务室的特点。财务人员每天的工作离不开电脑和打印机,大量的财务数据和报表需要打印、核对、存档。这个过程中产生的纸张流转路径很值得注意。很多企业的财务室在打印间和工位之间来回走动,打印出来的敏感文件如果不及时取走,就有可能被路过的人看到或者拍照。更让人担心的是打印机的硬盘,每一台网络打印机都会在内部硬盘里缓存最近打印过的所有文件。如果有人把打印机的硬盘拆走,拿回去用专业工具读取,就可以得到过去一段时间里所有经手财务室的文档。
针对打印机的防护,建议采购带硬盘自动覆写功能的打印机,而且在报废或者退回租赁公司之前,必须由财务负责人监督把硬盘进行物理销毁或者消磁处理。打印的敏感文件要做到即打即取,如果财务人员打印了重要报表又临时走开,应该设置打印密码,在打印机上输入密码后才能输出文档。
财务室的电脑安全同样需要重视。财务电脑通常连接着银行U盾、税务系统、财务软件,是数据价值较高的终端之一。要留意电脑的USB接口有没有被安装过键盘记录器之类的硬件木马,这种设备插在电脑键盘线和主机之间,看起来只是多了一个小小的转接头,但能完整记录所有的按键操作,包括银行转账密码和税务系统登录口令。财务人员在每天下班前应该检查电脑的各个接口有没有异常,每个月由IT部门做一次硬件接口的巡检。
再说法务室的特殊防护。法务室最核心的资产是合同数据库和知识产权档案。合同文本里包含合作条款、价格信息、违约责任、保密期限,这些内容对企业竞争态势的影响很大。法务室的门禁权限应该只开放给法务部门人员,其他部门人员进入必须登记。因为法务室经常有外部律师来访,来访律师在法务室期间,应该安排专人陪同,不要给外来律师单独留在法务室的机会。
法务室的档案柜也是需要重点保护的。纸质合同的存放柜应该使用带密码锁或者指纹锁的类型,而且密码要定期更换。电子合同的存储服务器或者共享文件夹,应该设置独立的访问权限,不允许法务部门以外的人浏览。有一种案例是犯罪分子通过入侵企业内网,找到法务室的文件服务器,批量下载了几百份合同,然后把这些合同卖给了竞争对手。防护方法是给合同数据做加密存储,即使文件被下载了,没有解密密钥也看不到内容。
财务室和法务室在环境检测上还有一个共同的薄弱点,就是隔音效果。很多企业把财务室和法务室安排在普通办公区,墙壁只是轻质隔断,隔音效果很差。财务人员在电话里跟银行沟通账户信息,法务人员在电话里讨论案件策略,旁边都能听得很清楚。建议对这两个房间做声学改造,加装隔音棉或者双层石膏板墙体,如果条件不允许,至少要在房间内安装白噪音装置,防止电话内容被门外的人听到。
另外一个共同需要关注的点是碎纸机的管理。财务室和法务室是公司里用碎纸机最多的部门,但如果碎纸机的等级不够,碎出来的纸片还是可以被复原。建议至少使用德国标准P-4级别以上的碎纸机,碎出来的纸条宽度不超过两毫米。更重要的是,碎纸机的位置要放在房间内部,不要放在走廊或者公共区域,防止有人在碎纸垃圾里翻找有用信息。
定期检测方面,财务室和法务室建议每季度做一次全面的环境安全检测。检测内容包括无线信号扫描、物理空间检查、线路排查、设备固件完整性验证。如果企业在这两个部门有核心人员离职或者外包服务商变更,需要立即做一次加急检测,因为人员流动期往往也是信息泄露的高发期。
