这个故事听起来像电影情节,但千真万确是真实发生的。某央企的一名员工,在会议室参加内部经营分析会的时候,趁别人不注意,掏出手机对着大屏幕上展示的年度经营数据拍了几张照片。拍完之后,他打开微信,直接把照片发给了竞争对手公司的人。他以为这一切神不知鬼不觉,却不知道会议室里的监控摄像头早已把整个过程拍得一清二楚。
等公司安全部门通过监控回放发现这件事的时候,数据已经传到了竞争对手那边。年度经营数据包含了这家央企的核心财务指标、各业务线的盈利情况、重点项目的最新进展。这些东西一旦落到竞争对手手里,等于把自己家的底牌全部亮给了对方。对方可以根据这些数据精准调整自己的市场策略,在投标、定价、客户争夺等各个方面占据主动权。
这个案例的泄密链路其实非常清晰。第一环是会议管理存在的漏洞。涉及经营数据的高级别会议,参会人员应该提前进行安全审查,会议现场应该禁止携带私人手机,或者至少要有手机信号屏蔽措施。但很显然,这家央企在会议安全管理上做得不到位,让一个有外心的人带着手机进了会议室,还坐在了大屏幕前面。
第二环是信息展示环节的问题。大屏幕上直接展示年度经营数据,参会人员可以看得一清二楚。如果是有意泄密的人,掏出手机拍几张照片实在太容易了。正确的做法应该是,敏感数据的展示需要进行权限控制,不是所有参会人员都应该看到完整的经营数据。可以按照"最小知悉原则"对不同参会人员展示不同层级的数据。
第三环是监控系统的应用。这个案例中,监控摄像头起到了关键作用,成为事后追责的重要证据。但问题是,监控是事后发现的,而不是事中阻止的。如果有实时的人工智能监控系统,能在有人对着屏幕拍照的瞬间就自动报警,那泄密行为可能当场就被制止了。
这个案例对所有企业的警示意义非常大。很多企业以为自己的信息安全做得很好,但实际上漏洞百出。特别是央企和大型企业,身负国有资产保值增值的重任,信息安全更是不能有半点马虎。
那么企业应该怎么做?首先是对会议安全进行升级管理。涉及敏感信息的会议,手机等摄录设备应该统一保管,会议室内安装手机信号屏蔽器或者摄像头检测设备。参会人员进入会议室之前应该通过安检,确保没有携带任何摄录设备。
其次是在信息展示环节做安全处理。敏感数据的展示屏幕可以使用防偷窥技术,比如超窄视角的防窥屏,只有正对着屏幕的人才能看清内容。或者使用动态水印技术,在屏幕显示的内容上叠加不可见的数字水印,一旦有人拍照,水印信息就会出现在照片上,方便溯源。
第三是部署智能监控系统。现在的智能视频监控技术已经非常成熟,可以自动识别出"有人对着屏幕拍照"的行为。一旦检测到有人在敏感区域使用手机摄像头,系统可以立刻发出警报,同时自动记录证据。这种智能监控跟普通监控的区别在于,它不是在事后提供证据,而是在事中进行预警和干预。
第四是对内部人员进行定期的信息安全审计和背景审查。对于那些可以接触到核心敏感数据的员工,需要建立更严格的管理制度和行为监控机制。一个人如果掌握了大量核心信息,他的行为就应该受到更严格的监督。
说一千道一万,防内鬼永远是信息安全中最难的一环。因为内部人员具有天然的信任优势和信息获取便利,防范难度远比外部攻击大得多。所以企业必须建立起多维度的防控体系,让想泄密的人不敢拍、拍不到、拍下来也传不出去。
官网有更多的企业信息安全防偷拍解决方案,欢迎各企事业单位前来了解和咨询。保护企业的核心机密,就是保护企业的生命线。
