论文部分内容阅读
摘 要:在企业的发展过程中,企业的商业秘密是关系到企业发展的生死存亡的大事。在网络环境下企业商业秘密管理是一项技术性、政策性极强的管理工作,企业商业秘密的管理需要有切实可行的管理制度做保障,适应企业社会发展的信息化技术做支撑,最根本的是要落实自我防护措施。
关键词:网络环境 企业商业秘密 管理 策略
一、商业秘密的特征
商业秘密是历史和生产力发展到一定阶段的产物,是随着商品生产的出现而产生,随着商品经济的发达而完善的结果。中国对商业秘密的定义最早见于l993年的《中华人民共和国反不正当竞争法》,根据中国法律规定:商业秘密是指不为公众所知悉、能为权利人带来经济利益、具有实用性并经权利人采取保密措施的技术信息和经营信息。
商业秘密的特征概括起来主要体现在六个方面:1.秘密性。尚未公开是商业秘密与专利技术及其他知识产权最显著的区别。2.难知性,包括两方面:一是持有者为了自身经济利益及竞争需要,已采取一切有效保密措施,因此难知;二是技术秘密应具有较高难度的创新性,而且便于保密,一般在较长时期内不易被他人总结研究而破知,此为保密的基础。3.价值性,商业秘密应当能为权利人带来现实或潜在的经济利益或竞争优势。不能创造价值的未公开信息,法律没有必要对其进行保护,企业也不必对其采取保护措施,价值性正是保护商业秘密的根本原因。4.风险性,持有者首先通过秘密方式来保护其权利不受侵害,但法律对商业秘密一般没有直接性的保护规定,不能禁止他人用正当、合法的手段或途径获得并使用相同的技术秘密。5.无限性,法律上对商业秘密的维系,没有也不可能有期限长短的规定。商业秘密维系期限长短一般受技术保密状况和技术更新的影响。迄今为止,世界上“商业秘密”保持期最长的也许要数“可口可乐”的“3+X”配方技术,长达百年无人能破解。6.合法性,所有的商业秘密须通过自己研发或继承或转让等方式获得。靠不正当手段获得的商业秘密不是法律所要保护的商业秘密。
二、提高企业保密意识,完善保密工作制度
企业的保密意识差是造成中国商业秘密频繁流失的重要原因。因此,企业增强保密意识,无疑是保障商业秘密安全的一道门槛。除了企业在竞争中自我觉醒外,企业加强保密意识还需要政府有关部门包括专门的反经济间谍部门的协助,这些部门有义务向企业进行宣传、示范和建议,帮助企业提高警惕及早采取保密措施。
由于企业人员流动频繁,尤其是接触商业秘密的人员频繁跳槽而引发的侵犯商业秘密纠纷在中国日益增多,企业应注重在遵守现有法律规定的前提下,充分利用协议制度约定他们的保密义务和泄密责任,如在劳动合同中或单行协议中约定从事知悉商业秘密的岗位人员的保密义务,包括保密范围、方式、期限、违约责任等,企业在与其它单位进行经济合作时,如果涉及商业秘密,也应与其它单位订立保密条款,以维护自己的利益。
三、利用安全防范技术,加强计算机安全管理
1.以密码技术为核心,强化对分散型计算机的管理
第一对于信息量小、流转数据少的单元,可采用单机运行方式。单机运行的计算机可安装国家保密局指定的防护软件,实现数据单向导入、功能模块受控。该系统采取软硬件结合、系统层管理、单导光缆传输、网络实时监控技术,同时配有异型接口USB存储设备。同类系统的计算机间可用异型接口USB存储设备进行数据拷贝、复制,提高数据利用率;通用USB接口可将存储设备中的数据单向导入计算机而禁止导出,可有效避免“摆渡”木马的攻击;对光盘驱动器分别设置为禁止写入、禁止读写两种模式,有效控制非法程序的安装和未经授权用户的数据拷贝;驱动层禁用网卡,使用户无法通过网卡访问互联网;对于其它网络接入方式,该机可在接入互联网的第一时间切断网络,同时向指定的服务器发送告警信息。
第二对于企业商业秘密信息量大、数据交互频繁的网络,可采用商用密码进行数据和信道双重保护。在企业信息中心机房路由器前端加装链路层密码加密设备,对传输的数据进行加密处理。各下属单位机房加装相同的链路密码机对密文进行解密还原。在网络内安装防火墙、安全网关、入侵检测、入侵防护系统等,防范来自于网络内部的安全风险。对获得授权访问重要数据库的终端客户,可采取口令或体征认证技术,防止非法访问。对于一般客户,可根据工作性质进行适当授权,如只能浏览不能复制、打印,只能打印不能复制电子文档等。
2.加强对集中型涉密计算机系统的管理
以独立组网为基础,以虚拟技术为支撑,强化对集中型涉密计算机系统管理,企业中工作性质相对独立的部门工作用计算机基本都属于这种情况。集中型涉密计算机相互间距离小,无需使用通信运营商提供的公共线路作为传输介质,防泄密的重点主要是终端。根据集中型涉密计算机处理数据量的大小可分别采取建设工作站集群网络和服务器-瘦客户机网络模式保障数据安全。
第一对数据运算量大、传输需求频繁的部门可建设工作站式集群网络。通过将运算工作与储存工作分离,有效降低对服务器运算能力的要求。特别是当多人同时使用该网络时可有效降低因服务器性能不足而引发的数据处理、传输延时。在此基础上,通过在工作站端禁用移动存储介质端口、屏蔽非必需通讯端口实现数据流转管控目标。对打印机、绘图仪等输出设备控制连接数量,明确专人管理。
第二对数据运算量一般,以文字、数字信息处理为主的部门可建设服务器-瘦客户机网络。服务器-瘦客户机模式中的服务器端将应用作为一种服务按需交付给用户。瘦客户机使用专业嵌入式处理器、小型本地闪存、精简版操作系统。由于没有硬盘,数据全部存储于服务器端,减少了保密管控端点;由于没有光驱和软驱等外部存储器,从硬件层面解决了非授权复制问题。通过对USB端口读写权限的独立控制,有效解决了USB设备的交叉使用问题。因数据本身不在网络中流动,传输的仅仅是数据变量,因此最大程度上避免了数据被截获的风险。由于本身不带操作系统,因而从根本上解决了因使用人员系统升级、补丁更新不及时带来的安全隐患。由于非授权用户不能更改系统,实现了设计层解决病毒及黑客入侵问题。更因为不能独立运行,本身不存储数据,从而解决了因设备被盗造成失泄密的风险。 四、建设多重监管平台,加强局域网客户端管理
在企业经营管理工作过程中,大量0A文件、经济数据、人力资源配置信息、技术资料等都要通过企业局域网平台流转,因此,仅凭人力管控很难做到商业秘密管理的全覆盖、无遗漏,只能借技术监管才能取得实效。重点是做好数据进出关口的管理。一是互联网出口要“固若金汤”。为防止盗取或恶意攻击,需建设高强度防火墙,通过病毒检测、恶意攻击阻断、木马进程自动查杀等技术有效控制网络信息被盗,阻断非法数据、指令通过互联网进入企业内部网的通道。二是客户端要“身份确认”。凡是接入企业局域网用户都要“验明身份”,通过用户身份识别、行为审计、用户管理等手段对企业局域网内客户端实行对号入座,分级控制。实现计算机-使用人-内网账号-访问权限-IP地址一一对应。对于普通用户采取“用户名+密码”认证,限制浏览内容;对于重要用户采取UKey等硬件身份识别手段强化管控。三是数据拷贝要“明确权限”。实行数据的全生命管理,谁生成、谁修改、谁保管、谁拷贝、拷贝份数等信息全部受控,完善重要数据复制审批流程,根据客户的身份授予一定的权限,越权即阻止。对使用的移动存储介质进行识别,防止交叉使用,管控无序。四是VPN用户要“访问受限"。通过网络访问控制管理技术手段保证VPN用户访问权限分级管理。对VPN用户不但要实时进行身份认证,更要在调用重要数据时实行警告提示、再次确认等措施,保证客户身份真实,数据不受侵害。
在企业生产经营管理中,计算机网络技术得到广泛应用,信息存储电子化、数据传输网络化、网络连接国际化给企业各项工作带来便利,提高了企业工作效率。但网络技术的快速发展使企业对自身商业秘密的保护面临着从未有过的严峻挑战,如何在充分发挥计算机及其网络优势的同时,保障企业信息安全,归避企业运营风险,规范企业运作,加强在网络环境下对企业商业秘密的保护,是做好企业商业秘密管理面临的重要课题。面对网络信息时代泄密手段的特殊性,企业的商业秘密管理措施也要不断地做相应地调整。
参考文献:
[1]王晖.探索具有企业特色的保密管理[J].国防科技工业.2011,(08).
[2]刘凤鸣.企业保密管理之我见[J].现代商业.2011,(23).
[3]徐建.企业如何管好内部信息[J].保密工作.2011,(02).
[4]王瑛.浅论档案保密工作[]J.云南档案.2007,(03).
[5]刘刚.危机管理[M].北京:中国经济出版社,2004
[6]施丽.论企业商业秘密的保护[J].前言,2007.7
[7]田治.企业商业秘密保护策略分析[]J.商业文化,2008.1
[8]檀民.商业秘密的保护与管理[J].企业管理,2008.1
作者简介:刘甜,河北大学经济学院国际经济与贸易专业学生
关键词:网络环境 企业商业秘密 管理 策略
一、商业秘密的特征
商业秘密是历史和生产力发展到一定阶段的产物,是随着商品生产的出现而产生,随着商品经济的发达而完善的结果。中国对商业秘密的定义最早见于l993年的《中华人民共和国反不正当竞争法》,根据中国法律规定:商业秘密是指不为公众所知悉、能为权利人带来经济利益、具有实用性并经权利人采取保密措施的技术信息和经营信息。
商业秘密的特征概括起来主要体现在六个方面:1.秘密性。尚未公开是商业秘密与专利技术及其他知识产权最显著的区别。2.难知性,包括两方面:一是持有者为了自身经济利益及竞争需要,已采取一切有效保密措施,因此难知;二是技术秘密应具有较高难度的创新性,而且便于保密,一般在较长时期内不易被他人总结研究而破知,此为保密的基础。3.价值性,商业秘密应当能为权利人带来现实或潜在的经济利益或竞争优势。不能创造价值的未公开信息,法律没有必要对其进行保护,企业也不必对其采取保护措施,价值性正是保护商业秘密的根本原因。4.风险性,持有者首先通过秘密方式来保护其权利不受侵害,但法律对商业秘密一般没有直接性的保护规定,不能禁止他人用正当、合法的手段或途径获得并使用相同的技术秘密。5.无限性,法律上对商业秘密的维系,没有也不可能有期限长短的规定。商业秘密维系期限长短一般受技术保密状况和技术更新的影响。迄今为止,世界上“商业秘密”保持期最长的也许要数“可口可乐”的“3+X”配方技术,长达百年无人能破解。6.合法性,所有的商业秘密须通过自己研发或继承或转让等方式获得。靠不正当手段获得的商业秘密不是法律所要保护的商业秘密。
二、提高企业保密意识,完善保密工作制度
企业的保密意识差是造成中国商业秘密频繁流失的重要原因。因此,企业增强保密意识,无疑是保障商业秘密安全的一道门槛。除了企业在竞争中自我觉醒外,企业加强保密意识还需要政府有关部门包括专门的反经济间谍部门的协助,这些部门有义务向企业进行宣传、示范和建议,帮助企业提高警惕及早采取保密措施。
由于企业人员流动频繁,尤其是接触商业秘密的人员频繁跳槽而引发的侵犯商业秘密纠纷在中国日益增多,企业应注重在遵守现有法律规定的前提下,充分利用协议制度约定他们的保密义务和泄密责任,如在劳动合同中或单行协议中约定从事知悉商业秘密的岗位人员的保密义务,包括保密范围、方式、期限、违约责任等,企业在与其它单位进行经济合作时,如果涉及商业秘密,也应与其它单位订立保密条款,以维护自己的利益。
三、利用安全防范技术,加强计算机安全管理
1.以密码技术为核心,强化对分散型计算机的管理
第一对于信息量小、流转数据少的单元,可采用单机运行方式。单机运行的计算机可安装国家保密局指定的防护软件,实现数据单向导入、功能模块受控。该系统采取软硬件结合、系统层管理、单导光缆传输、网络实时监控技术,同时配有异型接口USB存储设备。同类系统的计算机间可用异型接口USB存储设备进行数据拷贝、复制,提高数据利用率;通用USB接口可将存储设备中的数据单向导入计算机而禁止导出,可有效避免“摆渡”木马的攻击;对光盘驱动器分别设置为禁止写入、禁止读写两种模式,有效控制非法程序的安装和未经授权用户的数据拷贝;驱动层禁用网卡,使用户无法通过网卡访问互联网;对于其它网络接入方式,该机可在接入互联网的第一时间切断网络,同时向指定的服务器发送告警信息。
第二对于企业商业秘密信息量大、数据交互频繁的网络,可采用商用密码进行数据和信道双重保护。在企业信息中心机房路由器前端加装链路层密码加密设备,对传输的数据进行加密处理。各下属单位机房加装相同的链路密码机对密文进行解密还原。在网络内安装防火墙、安全网关、入侵检测、入侵防护系统等,防范来自于网络内部的安全风险。对获得授权访问重要数据库的终端客户,可采取口令或体征认证技术,防止非法访问。对于一般客户,可根据工作性质进行适当授权,如只能浏览不能复制、打印,只能打印不能复制电子文档等。
2.加强对集中型涉密计算机系统的管理
以独立组网为基础,以虚拟技术为支撑,强化对集中型涉密计算机系统管理,企业中工作性质相对独立的部门工作用计算机基本都属于这种情况。集中型涉密计算机相互间距离小,无需使用通信运营商提供的公共线路作为传输介质,防泄密的重点主要是终端。根据集中型涉密计算机处理数据量的大小可分别采取建设工作站集群网络和服务器-瘦客户机网络模式保障数据安全。
第一对数据运算量大、传输需求频繁的部门可建设工作站式集群网络。通过将运算工作与储存工作分离,有效降低对服务器运算能力的要求。特别是当多人同时使用该网络时可有效降低因服务器性能不足而引发的数据处理、传输延时。在此基础上,通过在工作站端禁用移动存储介质端口、屏蔽非必需通讯端口实现数据流转管控目标。对打印机、绘图仪等输出设备控制连接数量,明确专人管理。
第二对数据运算量一般,以文字、数字信息处理为主的部门可建设服务器-瘦客户机网络。服务器-瘦客户机模式中的服务器端将应用作为一种服务按需交付给用户。瘦客户机使用专业嵌入式处理器、小型本地闪存、精简版操作系统。由于没有硬盘,数据全部存储于服务器端,减少了保密管控端点;由于没有光驱和软驱等外部存储器,从硬件层面解决了非授权复制问题。通过对USB端口读写权限的独立控制,有效解决了USB设备的交叉使用问题。因数据本身不在网络中流动,传输的仅仅是数据变量,因此最大程度上避免了数据被截获的风险。由于本身不带操作系统,因而从根本上解决了因使用人员系统升级、补丁更新不及时带来的安全隐患。由于非授权用户不能更改系统,实现了设计层解决病毒及黑客入侵问题。更因为不能独立运行,本身不存储数据,从而解决了因设备被盗造成失泄密的风险。 四、建设多重监管平台,加强局域网客户端管理
在企业经营管理工作过程中,大量0A文件、经济数据、人力资源配置信息、技术资料等都要通过企业局域网平台流转,因此,仅凭人力管控很难做到商业秘密管理的全覆盖、无遗漏,只能借技术监管才能取得实效。重点是做好数据进出关口的管理。一是互联网出口要“固若金汤”。为防止盗取或恶意攻击,需建设高强度防火墙,通过病毒检测、恶意攻击阻断、木马进程自动查杀等技术有效控制网络信息被盗,阻断非法数据、指令通过互联网进入企业内部网的通道。二是客户端要“身份确认”。凡是接入企业局域网用户都要“验明身份”,通过用户身份识别、行为审计、用户管理等手段对企业局域网内客户端实行对号入座,分级控制。实现计算机-使用人-内网账号-访问权限-IP地址一一对应。对于普通用户采取“用户名+密码”认证,限制浏览内容;对于重要用户采取UKey等硬件身份识别手段强化管控。三是数据拷贝要“明确权限”。实行数据的全生命管理,谁生成、谁修改、谁保管、谁拷贝、拷贝份数等信息全部受控,完善重要数据复制审批流程,根据客户的身份授予一定的权限,越权即阻止。对使用的移动存储介质进行识别,防止交叉使用,管控无序。四是VPN用户要“访问受限"。通过网络访问控制管理技术手段保证VPN用户访问权限分级管理。对VPN用户不但要实时进行身份认证,更要在调用重要数据时实行警告提示、再次确认等措施,保证客户身份真实,数据不受侵害。
在企业生产经营管理中,计算机网络技术得到广泛应用,信息存储电子化、数据传输网络化、网络连接国际化给企业各项工作带来便利,提高了企业工作效率。但网络技术的快速发展使企业对自身商业秘密的保护面临着从未有过的严峻挑战,如何在充分发挥计算机及其网络优势的同时,保障企业信息安全,归避企业运营风险,规范企业运作,加强在网络环境下对企业商业秘密的保护,是做好企业商业秘密管理面临的重要课题。面对网络信息时代泄密手段的特殊性,企业的商业秘密管理措施也要不断地做相应地调整。
参考文献:
[1]王晖.探索具有企业特色的保密管理[J].国防科技工业.2011,(08).
[2]刘凤鸣.企业保密管理之我见[J].现代商业.2011,(23).
[3]徐建.企业如何管好内部信息[J].保密工作.2011,(02).
[4]王瑛.浅论档案保密工作[]J.云南档案.2007,(03).
[5]刘刚.危机管理[M].北京:中国经济出版社,2004
[6]施丽.论企业商业秘密的保护[J].前言,2007.7
[7]田治.企业商业秘密保护策略分析[]J.商业文化,2008.1
[8]檀民.商业秘密的保护与管理[J].企业管理,2008.1
作者简介:刘甜,河北大学经济学院国际经济与贸易专业学生