不过,无论大多数人多么讨厌广告邮件,只要有极少比例的人愿意回复,业者就可在其中挖掘商机。
从事这项副业之后,Kevin对广告邮件的态度也有转变。以前,他一看到垃圾信就删掉;如今,他会欣赏别人的广告页面设计得如何,作为自己发送邮件的参考。
此外,广告邮件虽惹人厌,防治垃圾邮件却也带来庞大商机。研究机构Ferris估计,2003年全球防治垃圾邮件服务的产值已达1.2亿美元,2008年更将成长到10亿美元。既然发信的、防毒的都有钱赚,想让广告邮件销声匿迹,看来是很难!
垃圾信息分散了员工的注意力
比病毒更常见的是垃圾信息,虽然它并不能像偷窃和灾难一样给您一个“立竿见影”的损失。但是它确实是普遍存在的,而且正在不断的消耗股东的投资,威胁着公司的正常运作。
对于那些为员工支付薪水的管理者来说,他们应该尽量减少员工处理琐碎事情的时间,避免员工每天因泛滥成灾的色情邮件,或是股市的暴跌而痛苦不堪。
内部垃圾信息让员工心神不宁
我们之所以用“垃圾信息”而没有使用“垃圾邮件”这个词汇,是因为在即时通讯风行的现在,干扰员工工作的不仅仅是定期收取的“垃圾邮件”,更多的是员工自己无法控制的“即时信息”,而这些无用的“即时信息”大多是由公司的内部员工制造。
一些小型企业购买了RTX后,并没有及时对每一个员工进行权限设置,造成每一个员工都可以向全体员工同时发送消息,而大部分消息对某一个具体的员工来讲是不必要的。QQ也会给员工造成同样的麻烦。据统计,在一个没有任何安全过滤系统的企业中,一个员工一天内所收取的即时消息中,有一小时是无用的,而且员工在收到这些垃圾消息会感到烦恼。
与通信相关的安全性服务商美国FaceTime Communications和美国IDC合作于当地时间2004年4月26日公布了关于企业利用即时信息(IM)情况的调查结果。他们发现90%不许使用即时信息软件的企业担心该种类的软件会导致"生产效率下降"、"威胁到信息和网络的安全"以及"难以遵守法规及公司内部规定"等。
对于那些习惯使用邮件通知员工的企业来讲,内部员工的垃圾邮件已经成为令员工十分头疼的事情。“公司里总是有莫名其妙的不认识的人给我发送邮件,看上去是一个群发的通知,我还不能把他当成垃圾邮件扔在一边,但看了之后,发现和我没有任何关系。”某咨询公司的公关经理抱怨道。
“到目前为止,还没有什么技术是针对企业内部垃圾邮件过滤的。只能从公司的规定中控制,”瑞星科技股份有限公司副总裁毛一丁说。
充斥互联网的色情广告邮件降低员工的工作效率
“外部垃圾信息”主要指的是垃圾邮件。在互联网上传输的垃圾邮件占用大量的资源,不但造成企业网络资源的浪费,而且一旦垃圾邮件占到企业互联网总流量的三分之一,就会造成巨大的存储需求,直接降低计算机的运作速度。
据市场研究公司Gartner公司估计,一家1万名员工的公司每年因为垃圾邮件问题而造成的生产力损失要超过1300万美元。欧盟的一项调查表明,垃圾邮件每年为欧洲造成超过60亿欧元的经济损失。
虽然企业可以运用各种垃圾邮件过滤器来减少垃圾邮件对员工的骚扰,但到目前为止,没有任何一个处理方法是完美的。名单删除法,即不在名单列表上的都被视为垃圾邮件是目前比较普遍的做法。但是,伴随着垃圾邮件的删除,一些新客户的邮件也会被视为垃圾邮件,而且七天以后被自动删除,造成的损失很大。
ISS公司收购德国Cobion AG公司之后,引进了新垃圾邮件处理系统,这个系统不采用列表删除法,而是可以查看到邮件中是否包含不健康图片,这就很大程度上缓解了垃圾邮件对员工的干扰,因为现在大部分的广告垃圾邮件是包含色情图片的。
跟踪足球赛浪费了公司的带宽
员工利用公司资源处理私人事务同样会严重影响工作效率。据调查,在2002年世界杯期间,欧洲有5000万以上的员工违反公司规定在办公电脑上跟踪比赛,这给欧洲企业带来了巨大的麻烦。由于太多人在线收看比赛,导致过渡占用公司网络带宽,影响了正常交易。
公司员工在工作时间不遵守公司规定,随意的下载音乐和电影、上网炒股、收看在线比赛甚至搜索色情网站,这些导致网络堵塞的现象在中国的企业中也时有发生。而更糟糕的是,许多企业领导仍然没有意识到员工随意占用公司带宽是公司安全的一部分。
“我们公司没有任何政策规定员工不许占用公司带宽下载电影、音乐,直到有一天我们的总裁无法收取他的邮件为止。”某大型企业的职员透漏说。
目前,多数大型跨国公司采取的是路由器监控,也就是严格监控员工曾经链接过的网站。虽然中国企业现在也渐渐开始引进这项技术,但有所不同的是,一旦员工违反公司规定,利用公司的网络资源处理私人问题,跨国公司会立刻 “逮捕”这名员工,并且进行严厉的惩罚,而且这种惩罚是实实在在的现金罚款。
麦格劳希尔公司也正是通过这种严格的政策来保证公司职员不会浪费公司的网络资源。中国科学院高能物理研究所计算中心许教授所说:“有了技术,有了制度,没有执行,企业信息安全保障体系仍然等于零。而公司管理者能够做的就是制定严格而易于执行的游戏规则。”
结语:解读信息安全公式
信息安全公式:
信息安全=先进技术+防患意识+完美流程+严格的制度+优秀的执行团队+法律保障
加强意识 防患未然
《中国财富》所指向的信息威胁远远超过黑客攻击、病毒肆虐的范畴,信息安全也远不是“技术”二字可以解决的问题。我们自己的安全自然要加倍保护,而首先即是加强防患意识,不要在技术上已近乎完美,却因一时疏忽而满盘皆输。千万不要像有些公司的总裁,严格规定不允许任何员工随意进入自己的办公室,但却忘了防范清洁工;也不要像有些银行完全有能力向NEC购买故障率为千万分之一的服务器,却使监控录像带轻易流入二手市场;不要等到某一天公司的一个普通员工捧着一叠董事会的协议交给你,说是从他身旁的打印机取出来的;也不要等到竞争对手对自己第二年的战略规划已了如指掌,只因花几百元买通普通员工轻易取走了你上一年的人事变动情况表,才恍然大悟。
金诺网络安全技术有限公司(KINGNET SECURITY INC.)总裁金波说:“国内许多企业缺乏的是安全意识的培养。举个很简单的例子,黑客攻击往往利用的是最古老的漏洞。可以看出,这种安全问题绝不是技术层面上的。”而那些购买了瑞星、金山的杀毒软件后从不升级的企业,在遇到最新病毒时无法应对则是缺乏意识的另一个印证。危机总是在你意识最薄弱的时候发生,不要等到中毒后才开始寻找解药。
规范制度 确保实施
意识之后,就是制度和执行的问题。
本刊记者专访首次来华的麦格劳希尔公司全球CIO Mostafa Mehrabani时,这位曾被评为世界百名信息技术最佳领袖,带领全球技术队伍为公司以及所有客户提供信息解决方案的CIO一开始就提出保卫信息安全的四大要素:技术、制度、流程和人。
“合适的标准、完善的程序、优秀的执行团队,是一个企业信息化安全的重要保障。技术只是基础保障,技术不等于全部,很多问题不是装一个防火墙或者一个IDS(Intrusion Detection System 入侵检测系统)就能解决的。在组织架构上,我们有两个小组,一是规模较小的一组人,专门制定安全政策和规则,另外一组是负责执行的员工,分散在软件、硬件以及网络等相应部门。制度很重要,而如何执行这个制度更为重要,没有执行一切都为零。我们能保证一旦遇到紧急情况,散落在各地的应急响应小组能在最短时间内集合起来。一旦有成员违反规定,我们将有十分严格的惩罚措施。”
安氏CTO陈政表示:“给企业提供的安全服务再周到,如果企业的执行力度不够,只能发挥其中的一小部分功能,1加1不一定等于2。” 任何问题归根到底都是人的因素,加强对员工的管理,对企业管理者来说比单纯购买产品或者制定规则重要得多,像我们国家许多保密部门信息化安全部署得很全面,但只要一个员工不按规定办事,上班时偷偷连上外网,机密很有可能就这样流出。“本来以为规定就足够了,但是人的心理是没办法监控的。所以对人的管理应该是信息安全最为重要的问题。”许教授说。
电子取证 法律结合技术解决安全问题
而对人的管理还需要通过法律来约束,前提又是技术做保障。
当年,安然公司为了销毁证据,公司里的碎纸机整天不停地高速运转,大量文件资料被销毁,却不能公然焚烧,他们就把这些碎纸装进麻袋里,放在卡车上,装了好几辆卡车,装上卡车又不知道往哪儿开。于是公司高层下达命令,让这些满载碎纸的卡车在高速公路上开下去,一直开了一两个星期……
另一方面,公司电脑存有大量重要资料,包括财务报表等,他们必须销毁这些证据。FBI预料他们要进行大规模的破坏,卡车是找不到了,但电脑跑不了。他们就以最快速度赶到公司,一个早晨便将100台电脑全部封锁。当场运用取证技术,电脑有无口令都无所谓,因为可以直接把硬盘镜像过来。这种技术原理不复杂,相当于照一张相,而现场不加任何改动。镜像后加自己的软件,对磁盘结构进行专门分析,研究删除的文件怎么恢复,最终获得大量辅助证据。
电子取证技术已经在辅助公安部侦破犯罪方面发挥了很大的功效。在我国,许榕生教授和他的学生们恰好正在研究这个课题并计划投入生产。许教授说:“这种取证技术可以记录黑客入侵的每个行为,时间精确到秒,而且还可以恢复已被删除的文件。”许教授目前正在研究“白匣子”。与“黑匣子”记录黑客入侵行为不同,“白匣子”专门记录知识产权。“如果你的文件在这个匣子上拷贝一次,就留下证据,后面的人如果拿不出其他证据证明在之前拷贝过,就足以证明它的产权是你的。”对员工的每一次拷贝行为都有记录,那么再处理员工偷盗问题时,就有技术和法律做保障,加上制度的制定以及对员工价值观的培训,企业信息安全防线就会更加稳固。
我们终究不能像电影《黑衣人》或者《记忆的裂痕》那样,通过消除员工的记忆来保证企业机密不被泄露,我们也永远无法阻止地震或火灾的发生,但是我们有办法让我们的企业更安全。
信息块:
企业信息安全重要附加提示:
在越来越依赖信息化的今天,企业不要完全放弃传统方式。
在校学生王臻在国内一家著名证券公司实习时,曾亲身经历了证券公司一次停电事故。王臻回忆说:“当时主机和副机同时停止运转,股民马上产生骚动。总经理给副经理打电话,两人在3分钟之内做出决定,改用手工操作、人工报盘的形式,打电话了解行情。整个断电过程持续了3小时,但是我们几乎没有遭受任何损失,第二天媒体也未对此事进行报道。”
在把企业信息工作外包给技术公司时,要把核心业务牢牢掌握在自己手中。
上海农工商超市主管信息化的周勇说:“像我们的核心资源商店、门店、以及总部信息都有我们自己来做,包括配送中心。而像电子商务、财务、人力资源、呼叫中心、供应链等就外包出去。这样做主要从安全的角度来考虑,自己永远要掌控最核心的信息资源。”
与数据备份相比,人员备份更为重要。
周勇还说:“除了数据备份,人员的备份也非常重要。即做信息安全的人,两个人的权限有交叉,那么就不怕人员的流动。”另外,在亿阳集团工作的刘然说:“探讨信息安全,一个最重要的环节是对管理员自身的管理。管理员本身就是漏洞。其他人都不能上网,但是管理员自己能。当老总不懂这些时,管理员的权限就无限扩大了,一旦管理员自己出了问题,后果将更加严重。”
