企業信息安全內部控制探討

黃金曦+張攀紅

【摘 要】 我國“互聯網+”背景下，企業信息安全問題凸顯，亟需加強信息安全內部控制。為保障信息安全，中國平安信息安全部門從威脅企業信息安全的信息存儲、信息傳輸和信息使用三個層面制定了基于DLP計劃的信息安全內部控制機制，對“人”和設備進行有效控制，為我國企業信息安全工作樹立了一個典范。我國企業應在此基礎上不斷創新，構建符合自身特色的信息安全屏障。

【關鍵詞】 信息安全; 內部控制; 中國平安; DLP計劃

中圖分類號：F233 ?文獻標識碼：A ?文章編號：1004-5937（2016）03-0052-04

一、我國企業信息安全內部控制現狀

隨著我國“互聯網+”時代的到來，企業信息安全問題凸顯。2012年末“三通一達”（中通、申通、圓通和韻達）等多家快遞公司客戶信息慘遭泄漏，造成包含客戶電話、快遞單號、客戶地址等內容的數百萬條信息在網上叫賣;2013年初，我國領先的IT服務供應商東軟集團20余名核心技術員工涉嫌泄漏公司核心機密被公安機關批捕，造成東軟集團價值約4 000萬元的經濟損失;2014年末，12306網站用戶信息泄漏，包括用戶名、密碼、身份證號碼和郵箱等內容的約13萬余條用戶信息在網絡上瘋傳……信息安全問題在各個領域引起了高度重視。我國企業信息安全現狀堪憂，很多企業對信息的保護措施遠遠不夠。

信息安全不但包括電子信息安全，而且包括實物性信息安全（周衛華，2014）。電子信息方面，據我國信息安全部門的調查統計，在企業網絡中安裝防火墻的約為68%，約59%的企業部署了互聯網安全防御措施;在信息安全策略和管理方面，引入信息安全技術架構并建立相應的流程和標準的企業僅占34%，制定災難性電子信息數據恢復計劃或者持續運營方案的企業約占33%，均遠遠低于國際平均水平。相比電子信息，實物性信息在我國企業中往往更容易被忽視。很多關于信息安全的文獻幾乎千篇一律地在談對電子信息的保護，很少涉及實物性信息保護。但是，實物性信息（如，棄置物品）也可能附帶公司的重要信息，倘若不對此加以保護，同樣會對企業造成難以預料的經濟損失。因此，不論是電子信息安全還是實物性信息安全都應該引起企業管理者的重視。本文依據中國平安信息安全總監譚憲維先生在媒體中對其信息安全內部控制建設的介紹，就中國平安DLP計劃中對信息安全防護案例加以闡述，力圖為我國企業做好信息安全工作提供一個可供參考的典范，也為企業信息安全方面的研究提供一些思路。

二、中國平安DLP計劃簡介

DLP（Data Leakage Prevention）又稱“信息丟損防護”，這一概念源于國外，是目前世界公認的信息安全防御手段。它是通過采取一系列的信息安全防護措施為防止企業特定數據或信息以“非法”形式流出企業或遭到破壞，影響原始信息完整性、真實性和保密性而制定的策略。據中國平安保險（集團）股份有限公司信息安全總監譚憲維介紹，中國平安早在五年前就已經作了大量針對信息安全問題的工作，并結合本公司實際狀況專門制定了一套DLP計劃。該計劃從威脅企業信息安全的信息存儲、信息傳輸和信息使用三個層面對涉及公司信息的各個方面加以嚴格控制，包括對人和終端的控制，著重強調對“人”的控制。該計劃認為，提高員工的信息安全意識非常重要。中國平安首先制定出一系列信息安全制度，并通過平安晨會、平安報、內部信息網站和知識競答等途徑告知員工公司正在采取舉措監控他們的行為以及監控他們的原因，并讓員工明白自己怎么做才不違規。其次是針對服務器、職場設備、BYOD和用戶端口等終端的控制。通過加強這兩個方面的工作，做到安全使用的數據盡量最多，把信息安全威脅盡量降到最低。

同時，譚憲維認為，沒有任何一個信息安全防護策略是百分之百有效的（翟艷、黃鮮宇，2014）。因此，信息數據防護不是一個單一的方案就可以的，它是一個涉及整體的工作。DLP計劃不是一蹴而就的事情，而是一個運動的、不斷優化的過程。因此，中國平安在信息安全工作中秉承“只有變才是不變的”理念，倡導準確識別公司內外部環境的變化，順應市場發展的潮流，樹立前瞻性視野，做到防患于未然的信息安全，以支撐企業的穩健發展。

三、基于中國平安DLP計劃的信息安全控制

2007年，中國平安成立了獨立于IT部門的信息安全部。該部門之所以開拓性地脫離IT部門獨立成部，主要源于其關于企業信息安全控制的前瞻性思想：信息安全應該是兼顧人、流程和技術三個領域的保障形態。因此，該公司的信息安全控制在信息存儲、信息傳輸和信息使用中均兼顧了這些領域（譚憲維，2014）。具體如下：

（一）信息存儲

1.建立備份數據中心

數據備份的意義在于當信息遭受破壞之后，通過備份的數據，完整、快速、簡捷、可靠地恢復到原有的數據保存狀態，使公司現有業務能夠迅速恢復至正常運營。高效的數據備份要同時做到資源配置和運營管理兩個方面的備份，既能保證原始信息的完整性，又能滿足信息還原的及時性要求，因此，是一個公司信息安全最根本、最基礎的保障措施。為了保證公司整個信息系統的穩定運行，中國平安在上海和深圳兩地建立起了兩大互為備份的數據中心。這兩個數據中心均采用了國際先進的NCPI和模塊化設計思想，不論是在資源的有效配置方面，還是數據的運營管理方面都能實現可靠性、完整性、靈活性和可擴展性等要求。除此之外，自2004年數據中心建立之后，中國平安在國內率先制定了“IT災難恢復計劃”，并做到每年進行一次實戰演練，對這些管理體系不斷地進行更新和完善，提高公司在一個數據中心遭到破壞之后快速恢復關鍵信息系統的能力，為信息服務的可靠性和連續性提供有力保障。

2.服務器保護

服務器承擔著數據的存儲、轉發、發布等關鍵任務，是各類基于客戶機/服務器（C/S）模式網絡中不可或缺的重要組成部分，是每個公司信息系統的核心組件之一。信息泄漏事件很大程度上都是源于黑客對服務器的攻擊。服務器存在的安全漏洞為黑客提供了攻擊的機會，他們利用這些漏洞植入惡意軟件、木馬程序和病毒等，竊取或破壞公司重要信息。中國平安在應對服務器攻擊方面不再按照傳統的“亡羊補牢”防御模式，而是依據ISO27001信息安全管理體系中的PDCA模型（圖1）進行主動、全面的未雨綢繆式的安全管理。它將整個防御過程劃分為計劃（Plan）、實施（Do）、檢視（Check）和處理（Act）四個持續循環的階段，從制度著手，制定出全面、嚴謹的服務器信息安全控制制度，依據該制度嚴格執行，并在此期間不斷進行檢視，對存在問題和隱患的地方及時進行處理。

3.對大數據的安全措施

大數據是近年來繼云計算之后出現并得以迅速推廣的全樣本數據分析工具，通常被定義為無法用現有的軟件工具提取、存儲、搜索、共享、分析和處理的海量的、復雜的數據集合，具有數量巨大、類型各樣、價值密度低、處理速度快等特點，數據更加集中。因此，相對于傳統數據而言，大數據被泄漏的風險更大。大數據包括結構性數據和非結構性數據。由于結構性信息包括了生產、交易、客戶信息等，對其保密性要求相對較高，而對于非結構性信息，由于其數據來源本來就公開，因此對其保密性要求也就相對較低。中國平安在大數據的管理方面仍然處于研究階段，對大數據的保護主要關注結構性信息。針對這些數據，中國平安采取了名為“微度漂白”的管理策略。其思路就是把客戶的敏感信息（如，客戶個人信息、銀行賬號、交易信息等）和這些數據的關聯實體相分離，即只保留了不影響數據分析的關聯性信息，即便是公司內部的數據分析員也不知曉數據的關聯實體，從而達到對大數據保護的目的。

（二）信息傳輸

信息傳輸方面主要分為電子信息（如，電子協議、電子印章和電子郵件等）傳輸和實物信息（紙質文件、行銷資料等）傳輸。

1.電子信息傳輸

公司內部（包括總公司和子公司之間）電子信息的傳輸主要通過公司內網提供的內部郵箱在互聯網中經由加密傳輸通道VPN實現，同時，使用微軟公司的OUTLOOK軟件管理個人郵件。為了防止內部員工有意或無意通過郵箱向無關的外部泄漏內部信息，公司給予每個郵箱使用者不同的權限。主要業務在公司內部的部門（如，企劃部、財務部等）郵箱使用者只有內部收發和接收外部郵件的權限，而沒有向公司外部發送郵件的權限。對于需要與外部溝通較多的部門（如，采購部等），則僅開通個別用戶外發郵件的權限，而且外發的郵件必須抄送至相關部門長，否則將受到不同程度的懲處。此外，相對于對外網資源要求較多的QQ等即時傳輸工具，中國平安的郵箱文化更具有可控性和可存儲性。同時，在網絡通訊環境中建造一個郵件監察策略，掃描電子郵件中的敏感信息，識別可能涉密的郵件。考慮到檢測工具的判別并不是百分之百準確，因此，還要輔以人工識別，以兼顧監測的效率和效果。

2.實物性信息傳輸

近年來，物流公司泄漏客戶信息的案件層出不窮。對于實物性信息的傳輸控制方面，如公司重要的紙質文件、行銷資料及運營設備等在公司內部或母子公司間傳輸過程中，若使用外部物流將會導致信息泄漏風險大大增加，尤其是對于涉及公司關鍵經營決策的信息泄漏可能引起難以估量的經濟損失，鑒于這些考慮，中國平安建立了自己的名為“箱包”的內部物流。對于價值密度高、信息泄漏風險大的實物信息均采用內部“箱包”的形式進行傳遞。同時，考慮到內部物流成本較高等因素，對于價值密度較低的基礎性實物，由于其信息泄漏不會對公司經營產生較大影響，則可以考慮采用外部物流進行傳遞。對于數量較小的紙質文件，即便采用內部物流也難免存在丟失等風險，因此，這部分文件采用傳真傳輸的方式更能保證其安全和完整。

（三）信息使用

1.制度宣導

信息安全存在的最大問題還是“人”的問題，歸根到底是每一個公司員工的責任。幾乎每一個員工都或多或少地掌握公司部門信息，他們很容易有意或無意間將信息泄漏出去。因此，必須在員工心里樹立一個分辨敏感信息的判斷標準。中國平安獨創性地把“人”當作一種資產，而不是像其他公司當作資源進行管理。這樣就要對進入公司的員工的行為負責，能夠更準確地衡量其操作風險。中國平安在公司內部建立了專門的信息安全內部控制部門，他們不是信息安全的實施者，而是推動實施者進行信息安全管理工作，每年都會通過信息服務網、晨會、平安報刊、知識競賽等活動平臺為本公司內部人員組織大量信息安全知識培訓，讓他們不斷地接收新的知識和理念，并通過案例講解其中的利害關系，以此改善信息安全狀況，提高公司中每個員工的防御意識和能力，組建一個“全民皆兵”的防御戰線。同時，通過建立制度并強化公司內部信息安全形態、提供咨詢顧問服務、進行審計監督等一系列持續不斷的工作，推動信息安全的穩健發展。

2.辦公職場設備控制

辦公職場設備是公司員工日常辦公、維持公司業務正常運營的基礎設施。公司員工對這些設備接觸最多，也最為熟悉，同時也比較容易導致員工的疏忽大意，也許一個普通員工不經意間的行為就可能導致公司重要信息的泄漏或破壞。因此，這是公司信息安全方面最容易出現問題的地方之一。中國平安對辦公職場設備的管理主要是針對電腦、電話、打印機和傳真機等的管理。具體如下：（1）電腦，電腦是中國平安員工最重要的辦公設備，它是訪問公司數據庫信息的入口，是存儲辦公資料的倉庫，是員工交流的工具，幾乎儲存了一個員工日常工作涉及的所有信息。因此，首先就是要控制登錄入口。每個員工分配一個UM賬號，并由員工自行設定一個包含字母、數字和特殊符號的密碼與之匹配。為了保證密碼的可靠性，每個員工必須在每三個月至少更改一次密碼。其次是對其訪問的站點進行控制。每臺電腦根據員工的崗位類別只可以訪問與自己工作密切相連的站點，而不能訪問工作以外的站點。如，稅務會計只能訪問公司財務系統、國（地）稅局網站，而不能鏈接到新浪網、搜狐網等。此外，一般禁止自行安裝非制定軟件（如，QQ等）程序。若確實有需求，需在部門長審批之后由IT部門負責調試。最后，為了保證用戶離開座位期間的信息安全，電腦在長時間未操作的情況下會自動鎖定。（2）電話，電話通訊的控制主要體現在對通話時間、時長和通話對象的監測方面。公司會定期對員工的可疑通話進行記錄和檢查，確保員工電話通訊安全。（3）打印機，打印機是每一個員工都要用到的數據輸出設備，直接由每個部門長對該部門的打印機負責。涉密文檔的打印必須事先發送至部門長備份方可打印，并由打印者對打印文件的去向負責。此外，IT部門定期對每個部門打印機的打印數量、打印時間和打印內容進行檢查。（4）傳真機，由于傳真機具有向公司外部發送數據的功能，因此，對其管理較為嚴格。一般每個部門由部門長直接負責，傳輸的內容需由部門長備份，并傳送至上級部門，使用完畢，立即清除機內存儲的數據。同時，由IT部門不定期進行抽查。

3.BYOD控制

伴隨著智能終端和移動互聯技術的迅速發展，便攜式計算機、智能手機和平板電腦等移動設備在日常辦公中得以普遍推廣和應用，越來越多的員工將移動設備引入到工作環境中，自帶終端上班BYOD（Bring Your Own Device）已經成為一種潮流。中國平安2011年就開始制定BYOD政策，以便更安全、可靠地利用這一不可逆轉的趨勢為企業創造價值。但是，近年來由于智能操作系統漏洞、刷機風險和木馬程序的存在，使得移動終端設備不斷面臨威脅。據移動威脅檢查數據顯示，目前平均每秒鐘就有3.5個安全威脅產生。針對移動終端設備的安全問題不容小覷。

針對這些問題，中國平安依然先從“人”的角度著手，制定出一些列BYOD管理制度。根據這些制度，員工應學習個人設備用于工作環境時應該準守的規則，簽訂信息安全協議，并允許IT專員為其設備部署控制措施。此外，技術方面做到將個人使用與BYOD辦公嚴格區分，建立一套包含以下方面的信息安全防護策略：（1）認證設備，BYOD設備要接入企業網絡需要認證設備使用者的身份信息并確認授權;（2）按要求配置設備，BYOD設備經授權確認后需要按照信息安全規則實施密碼標準和失敗、嘗試限制、安全鎖定等管理配置要求;（3）企業數據保護，BYOD設備一般只能訪問企業數據而不能下載儲存，若必需保存企業數據時，應做到企業數據與個人數據的明確分離;（4）數據棄置，當BYOD設備脫離公司（如，員工離職或設備丟失）時，應做到可遠程清除設備上的企業數據。

4.內外網端口控制

對內外網端口的控制主要針對USB接口、U盤（包括移動硬盤等存儲設備）、藍牙和WIFI等內外設備聯通端口的管理。具體控制措施如下：（1）USB端口是公司內外部數據傳輸最為便捷的路徑，也是電子信息泄漏風險最大的出口。為了加強對USB端口的控制，中國平安嚴格限制員工電腦端口的傳輸權限，即，禁用普通用戶通過USB端口拷出資料的權限，而只能拷入與工作內容相關的文檔和圖片數據，對文檔和圖片以外格式的文件和程序則沒有權限訪問和使用。但是，日常工作中難免會遇到必須拷入和拷出的情形，為了保證日常工作的正常進行，公司在IT部門預留兩個具有完全權限的USB端口，普通員工使用該端口前需提前向部門長提出申請，并向端口負責人備份存檔。（2）U盤等存儲設備，由部門長指定專人負責其存在性和安全性，即，防止其丟失和及時清除敏感數據，并由部門長不定時抽檢。（3）藍牙和WIFI，公司對藍牙的應用較少，因此全部處于關閉狀態。此外，由于中國平安在2015年初推出了一個全國熱點區域“免費平安WIFI計劃”，因此，WIFI主要是對員工休閑娛樂的福利，與辦公網絡（有限網絡）采用完全分離的線路，保證了二者互不干涉。

5.日志審查

為了進一步監管員工在工作中對電子信息數據的處理，記錄所有用戶的全部操作，同時也為了在員工具有泄密嫌疑時及時拿出有力的證據，中國平安建立了一套電子信息數據日志審查制度。該制度要求IT部門對每位員工的日常操作進行實時抽檢、跟蹤和記錄，一旦偵查到敏感信息的交換時要及時提出預警，提示信息安全管理部門及時加以關注，并回溯該用戶的操作歷史進行綜合評估，以達到降低普通用戶操作風險的目的。

6.丟棄文檔和棄置物品控制

丟棄文檔和棄置物品具有公司最容易忽略的信息安全風險。一張隨手扔掉的廢紙可能記載了重要的客戶信息，一個丟棄的打印機可能儲存有打印過的會議資料。因此，對丟棄文檔和棄置物品的控制具有很重要的意義。中國平安對此要求也十分明確，不論是丟棄的紙質文檔還是棄置物品均需事先“毀掉”其附帶的信息。每個部門丟棄的文檔和棄置物品必須打包并列示清單，報至部門長審批銷毀，并由兩人或兩人以上監銷人在銷毀清單上簽字。

四、結語

伴隨著科學技術的不斷進步和商務模式的日益復雜，信息安全問題開始困擾我國企業的穩健發展。本文在我國全面深化經濟體制改革的背景下，通過對中國平安DLP計劃進行分析，為我國企業加強信息保護方面的工作提供一個可供參考的案例，同時希望對企業信息安全工作的深入研究有所幫助。正如中國平安信息安全部總監譚憲維先生所言，企業信息安全是我國企業亟需面對而且不斷發展變化的問題，需要每一個企業用發展的眼光結合自身實際情況搭建個性化的信息安全屏障。

【參考文獻】

[1] 周衛華.信息化環境下內部控制實施流程優化研究[J].財務與會計，2014（11）：56-58.

[2] 翟艷，黃解宇.上市公司內部控制的風險評估解析[J].會計之友，2014（19）：67-70.

[3]譚憲維.DLP計劃助力企業數據防泄漏[EB/OL].http：//sec.chinabyte.com/116/13055616.shtml，2014-8-22.

[4] 宋建琦.基于會計信息化的企業內部控制優化研究[J].會計之友，2013（24）：83-85.

[5] 張同建，呂寶林.信息化創新、內部控制和操作風險控制的相關性研究[J].軟科學，2010（12）：13-18.