境外商务活动中的社交工程攻击识别与防范
有一次我给一家做智能安防出口的企业做安全复盘,他们海外事业部的一位销售经理小陈在展会上认识了一个自称某中东大型集团的采购代表。两个人聊得很投机,对方对小陈公司的产品表现出极大的兴趣,还说可以帮忙引荐跟他们集团有合作的政府项目。小陈觉得遇到了贵人,加了对方的微信,在接下来的两周时间里陆续提供了公司产品的详细技术参数、报价体系和几家现有客户的大致信息。直到第三周公司发现这个人开始接触他们的竞争对手,大
2026-05-28
海外商务旅行中手机和笔记本电脑的安全设置
我带过不少去海外出差的团队,发现一个很有意思的现象:大家在国内的时候安全意识都挺强,手机设了复杂的锁屏密码,电脑也装了好几种安全软件。可一旦飞机落地,这些设置就像被忘在了飞机上一样,各种不安全的行为都冒出来了。其实手机和笔记本的安全设置,出境前和境外使用阶段应该分别做一套不同的配置。 出发前的准备工作分为三个层面:系统更新、权限清理和应用瘦身。系统更新是最基础的一步,把手机和笔记本的操作系统更新到
2026-05-28
供应链各环节信息分级管控的具体做法
做供应链保密管理,最怕的就是一刀切。把核心技术和一般物流信息用同一个标准去管,核心技术管得不够严,一般信息又管得太费劲,两边都不讨好。 信息分级是供应链保密体系的基础。先把信息分出三六九等,然后针对不同等级定不同的管控措施,这样效率和风险才能平衡。 我通常建议企业把供应链信息分四级来管,每一级对应不同的管理要求。 最高一级是核心机密级,指的是产品的核心技术参数、完整的设计图纸和生产工艺、关键配方、
2026-05-28
第三方服务安全审计应该重点看哪些环节
每次遇到企业说"我们每年都做供应商审计,没发现什么问题",我都会多问一句:你们的审计是看发票和交期,还是也看数据和信息安全管理?大部分人的回答是前者。 这其实反映了企业第三方服务审计的一个普遍缺口。采购部门做的供应商年度评审,主要关注的是价格、质量、交期这些显性指标。但数据安全、信息保密这些隐性风险,往往没有被纳入审计范围。直到出了事往回看,才发现原来供应商的安全管理一直是真空。 第三方服务安全审
2026-05-28
境外机场咖啡厅等公共场所的网络安全防护
有一次在曼谷素万那普机场的贵宾休息室,我看到旁边一位中国企业家模样的人,正用笔记本电脑连接休息室的免费Wi-Fi处理一份英文合同。屏幕虽然正对着他,但从我的角度,合同上的公司名和金额看得一清二楚。更让我捏把汗的是,他连接的Wi-Fi名称叫"Airport Free VIP",我用手机扫了一眼周围可用的网络,发现至少有四个类似的名字。这种公共场所的网络环境,对跨境商务人士来说处处是坑。 公共场所Wi
2026-05-28
代工厂技术图纸泄密的几种常见路径与防范方法
做硬件产品的朋友应该都体会过那种心情:产品样品刚做出来,市场上就已经有长得差不多的东西在卖了。价格还低一半。不用查也知道,图纸大概率是从代工厂流出去的。 我在保密行业做了十多年,处理过不少代工厂技术泄密的案子。很少有代工厂故意配合竞争对手去偷图纸的。多数泄密走的不是那条路,而是看起来平平无奇的日常管理漏洞。 常见的泄密路径是图纸打印和流转环节。技术图纸从设计部门发到代工厂,代工厂的工程师要打印出来
2026-05-28
商务出行前如何做好数据备份与设备清理
有次给一家做智能家居的深圳公司做行前培训,市场总监李总问我一个问题:出趟差而已,至于搞这么复杂吗?我说,您先回答我一个问题:如果这台笔记本电脑在境外丢了、被扣了、被窃了,公司损失有多大?他想了两秒,脸色就变了。那台电脑里存着接下来三个月要谈判的全部产品参数、定价策略和客户名单。这就是为什么出差前的数据备份与设备清理,是所有跨境商务保密动作的首要步,也是最容易被跳过的关键环节。 备份不是说把文件复制
2026-05-28
供应商保密协议签署前的三个关键审查点
去年秋天,一家做智能硬件的客户找到我,说他们的设计方案在量产前三个月就被竞争对手抢先发布了。调查后发现,问题出在一家看似不起眼的电子元器件供应商身上。这家供应商同时给两家公司供货,内部管理混乱,技术图纸和BOM清单就挂在共享文件夹里,连密码都没设。 这类事在制造业里其实不新鲜。很多企业把精力都放在研发和销售上,签供应商保密协议时只是走个过场,觉得反正有一纸合同就行。但真正出事后才发现,协议里的条款
2026-05-28
废旧物联网设备数据恢复你扔掉的旧设备可能还在泄露你的信息
废旧物联网设备数据恢复你扔掉的旧手机旧手环可能还在泄露你的信息 有一个经常被忽视的物联网数据泄露渠道是废旧设备的处置。去年我们做安全培训的时候举过一个案例。某公司行政部回收了一批淘汰下来的旧手机和旧平板,准备卖给二手设备回收商。IT部门先把设备恢复出厂设置了,然后行政就交给了回收商。后来审计人员在做后续追踪的时候,用了市场上很容易买到的一款数据恢复软件,从其中几台设备上恢复出了大量文件,包括离职
2026-05-28
AI时代企业保密培训必须升级传统内容已经不够用了
AI时代企业保密培训必须升级传统内容已经不够用了 今年年初,我受邀为一家大型制造业企业做内部保密培训的升级工作。培训之前,我浏览了他们过去的培训材料——整整一百五十页的PPT,内容非常全面,涵盖了纸质文件管理、信息设备管控、涉密人员管理、物理环境安全等传统保密领域的方方面面。但整份培训材料中,关于AI工具使用安全的内容一页都没有。培训负责人在和我沟通时说了一句话让我印象深刻:"我们不是不想把AI
2026-05-28
