我在做企业环境安全检测的时候,经常发现一个问题:企业老板们担心的是"高科技窃听"——激光窃听器、远程入侵、黑客攻击这些大问题。但实际检测中发现,大部分信息泄露都是从最不起眼的地方开始的。我整理了日常办公室中容易被忽视的泄密通道,看看你们公司有没有这些问题。
首要个不起眼的通道是打印机旁的废纸篓。我们几乎在所有检测过的企业里都能在打印区的废纸篓里找到废弃的文件。有的是打印错误的草稿,有的是只打印了一半的文档,有的是已经过时的会议材料。很多员工习惯把打印错了的文件直接揉成一团扔进纸篓,觉得"反正错了,没人会看"。但如果有心人去翻纸篓,这些废弃文件上的信息完全可以被收集和利用。建议在每台打印机旁边放一台碎纸机,鼓励员工随手销毁废弃文件。
第二个通道是会议室外走廊。我们在检测中发现,很多会议室隔音效果非常差。站在会议室外走廊上,虽然听不清每个字的具体内容,但能听出说话的人在讨论什么话题、语气是紧张还是轻松、会议气氛如何。如果隔音更差一点,站在走廊上甚至能听清楚会议中的关键数据。建议涉密会议室安装双层隔音门窗,同时设置会议室外的缓冲区,禁止在会议室外走廊长时间停留。
第三个通道是员工的电脑桌面。很多员工习惯把工作文件直接保存在电脑桌面上,理由是"方便找"。但电脑桌面上的文件不在任何档案管理系统中,没有备份、没有权限控制、没有密级标识。如果这台电脑被借给同事临时使用、被送去维修、或者被盗,桌面上的所有文件都会暴露。建议企业推行文件归位制度——工作文件必须按类别存放在服务器的指定目录中,电脑桌面只允许放临时文件,下班前清理。
第四个通道是摄像头。我说的不是监控摄像头,是员工自己的手机摄像头。很多员工在公司内部拍照时,完全没有意识到画面中可能包含了什么信息——身后白板上写着的产品上线时间表、工位上贴着的系统密码便签、同事电脑屏幕上打开的客户信息。手机拍照这么方便,拍完了还可能发到朋友圈或群聊里,一条信息链就打开了。建议企业在内部制定拍照管理规定,对可以拍摄的区域和不可以拍摄的区域做明确划分。
第五个通道是保洁人员的出入。这不是歧视任何一个职业,而是客观存在的风险。保洁人员通常在办公时间之外进入办公区,没有其他同事在场。如果他们有心获取信息,电脑开机状态的屏幕、桌面上堆放的文件、甚至垃圾袋里的废弃文档,都是信息源。建议企业对保洁服务合同中加入保密条款,保洁公司需要对员工做保密培训。同时在涉密区域安装监控,保洁人员进入涉密区域需要登记和陪同。
第六个通道是公司的快递收发。寄出去的和收到的快递,上面的寄件人和收件人信息、公司部门信息、项目代号,都可能暴露公司正在进行的业务。如果快递外包装上的寄件信息直接写着"XX公司XX项目部XX项目投标文件",那这封快递在运输过程中就可能被竞争对手截获信息。建议公司快递一律使用公司统一的寄件信息模板,不标注具体项目和部门。收件由前台统一签收后再分发,不直接送到员工工位。
第七个通道是员工之间的闲聊。茶水间、吸烟区、电梯口、餐厅,这些非正式场合的闲聊天中,稍微一不注意就会涉及到工作信息。"那个项目怎么样了""听说客户那边有点问题""新来的技术总监好像很有来头"。这些信息看起来零碎,但拼在一起就能拼出完整的业务图景。建议企业做保密培训时把办公室闲聊也作为一个场景来讲,不一定要求员工完全不能聊工作,但要掌握尺度。
北京企密安信息安全技术有限公司
企业环境安全检测:010-63711822 / jess@baomiwang.com
