引子：谈起信息安全，很多公司主管会问：“我们不是已经做过了吗？”对此，信息安全专家的忠告是：信息安全不仅仅意味着贴在墙上的口号和一年一次的宣贯会；同时，这并不只是IT部门几个网管的责任，企业中的每个人都不同程度地对信息安全负责；优秀的企业会将信息安全意识融入组织结构和企业文化中；在不久的将来，大部分企业可能都需要设置一个首席安全官(CSO)职位。 “冲击波病毒的少年作者在病毒程序的源代码里有一句名言：“比尔，别光忙着赚钱，赶紧去修补你的软件吧！”站在大多数企业的角度来看这句话，它可能是一句善意的提醒：“大家别光忙着赚钱，赶紧去修补你的信息漏洞吧

　　谁动了我的机密？

　　--- 电子行业经理人信息化手记之七

　　情景：新产品首次试产庆功大会

　　在TT移动通信公司的新产品首次试产庆功大会，公司CEO赵总在庆功会上致辞：“十几个月来，名为“大鹏”计划的项目在无数个不眠之夜终于完成了，它是大家心血的结晶：为了一个绝妙的创意能变成有效益的产品，各部门多少次加班加点，营销部门多次研究竞争对手、多次赴国外考察最新设计趋势，策划部门还高薪聘请了国外的产品设计专家联合开发，很多年纪大的技术骨干因精力透支旧病复发还带坚持工作……” 讲到这里，他不禁想起，自己也因为加班连续两年错过了女儿的生日会….他把手里的香槟举起来，用响亮的声音说：“我相信，这个战略突破是公司从加工企业转向创新企业的转折点，是我们走向国内手机市场第一阵营的转折点和里程碑！”

　　赵总把酒一饮而尽，场内发出热烈的欢呼声和掌声。

　　在正当大家陶醉在喜悦当中，赵总的手机响了，是上海代理商张老板来电。电话里，张老板的嗓音有点沙哑：他发现TT公司的竞争对手同时推出了设计相似的产品，而且声称已经可以正式量产—竞争对手似乎采用了相同的点子。

　　就象遭了晴天霹雳，赵总的脑子嗡的一片空白：申请专利？似乎也来不及了。就算有专利又怎么样？旷日持久地打官司成本太高了。这个飞来横祸对TT通讯公司来说，无异于美国遭遇到911恐怖袭击一样惨重。他的脑子飞快地转动着：谁动了我们的机密？内贼? 黑客？没有加密的email？磁盘本不慎丢失？没有经过碎纸机处理就扔掉的设计图纸？工业间谍？…..这些平时似乎不可能发生在自己身上的事情，现在似乎都可能是造成目前这个局面的原因！

　　向专家发出鸡毛信

　　当晚赵总回到家里，已是夜深人静，虽然躺在卧榻上，仍然心乱如麻，辗转反侧，忽然，一个人的脸孔在他脑海一闪而过。他想起去年在国外邂逅多年不见的老同学李刚(就是那个绰号叫“教授”，现在是科隆大学的客座教授的李刚，详见《ECM突破手机创新瓶颈》一文)，当时李曾提起他在信息安全领域也小有研究。

　　“教授可能会给我点头绪。”赵总一咕噜坐起来，打开电脑给李刚写email……

　　事实上，李刚与赵总在信息安全方面的email沟通，给了赵总很大的帮助，也为TT公司在信息安全领域的进一步完善指明了方向。下面节选了两人之间通信过程中李刚教授的回信中的部分关键内容，加上与原文内容相关的小标题，以飨读者：

　　回信一：偶然中的必然

　　发件人: 李刚 [mailto:ligang@kelong.ac.de]
　　发送时间: 2003年9月1日 8:16
　　收件人: 赵大鹏[from:zhaodp@tt.com.cn]
　　主题: 深表同情。

　　赵大鹏：

　　您好！对贵公司的不幸遭遇，我很同情，但也希望你能够平静下来，在等待公安机关破案的同时，自己深入分析事情的起因。

　　盗用商业信息的动因，归根到底是成本：善于盗用信息可大大降低在竞争中取胜的成本，《孙子兵法.用间篇》有这么一段描述：“从前殷商(朝)的兴起，在于重用了在夏朝为臣的伊尹(人名)，因为他熟悉夏朝的情况；周朝的兴起，是由于周武王重用了了解商朝情况的姜子牙，所以明智的国君和贤能的将帅都能任用智慧高超的人充当间谍来达到成功。”在现代商业社会，这个经济动因越发明显了，有这么一个真实的故事，某国内液晶显示器厂商经过几年的科技创新和跨越式发展，一举成为国内市场的行业老大，结果发现研发队伍中的某些老员工被一些手工作坊式的小厂商重金收买，并泄露了整套的设计资料，厂商于是诉诸法律，使该员工以泄露商业秘密罪被投入牢房；然而令人啼笑皆非的是，去牢房探望该服刑员工的同行厂商络绎不绝，待该员工一出狱，马上被其中一家厂商重金聘为常务副总裁。其实目前媒体上报道得沸沸扬扬的状告离职员工泄密某国内厂商，也曾经被国外厂商控告其盗用知识产权。可见盗用商业信息的行为就象一股暗流，表面上看不到动静，实际上一直在地下汩汩涌动。

　　仅仅在数年前，英特网的主要用户还是专家、学者，企业只使用自己建造的专用网络。今天，几乎每台个人电脑都能够连接到英特网，同时连接的还有PDA、手机和各种数字设备。在网络上面窃取信息的是成千上万的罪犯、商业间谍甚至是无聊的未成年人。最近被捕的冲击波病毒传播者帕森，就只是一个十八岁的少年，就造成了数十亿美元的损失。根据卡耐基.梅隆大学的研究，网络上发生的信息安全攻击在以每年翻一番的速度增长。

　　随着全球化和信息化两大趋势，以下出现的几个现象让信息安全问题变得更复杂：

　　各种互相关联的应用系统快速增长。

　　商业服务的水平整合与垂直整合。

　　有线和无线应用界面的增加。

　　虚拟团队和全球化营运的出现

　　为了实现远程办公，更多企业将原来的内部信息系统连接到英特网。例如，最近的一项调查显示在德国有约64%企业打算这么做。

　　总而言之，人类利用的信息技术越多，信息安全的潜在风险也就越大，两者是一个正比关系。因此，企业对信息安全的需求也应运而生。著名咨询机构Meta集团和普华永道均呼吁企业管理层不要忽视信息安全问题的重要性。根据Meta集团的一项研究，在德国有70%的企业受到了滥用信息权限的影响，而滥用的后果往往需要很长时间才能被发觉或根本没被发觉，至于商业间谍窃取商业数据的活动更是屡见不鲜。

　　因此，贵公司的这次遭遇，偶然中也有必然性…。(下文略)

　　祝愉快！

　　你的老朋友：

　　李刚

　　2003年9月1日于德国科隆

　　回信二：信息系统中的裂缝

　　发件人: 李刚 [mailto:ligang@kelong.ac.de]
　　发送时间: 2003年9月2日 8:06
　　收件人: 赵大鹏[from:zhaodp@tt.com.cn]
　　主题: 关于信息系统中的漏洞。

　　赵大鹏：

　　您好！

　　对于在贵公司的案件中，公安人员不排除内部员工泄密的可能性，您不必过于惊讶。

　　事实上，著名研究机构Gartner公司的某项研究表明，有70%的未经授权使用信息的行为来自内部人员。虽然这种行为大多数是无恶意的，但大部分的来自公司以外的信息窃取者利用了内部员工的无知。在很多情况下，当内部人员将信息泄露给心怀不轨的外部人员时，并不知道他/她是在泄密。

　　此外，为了防止泄密，很多公司对员工的高压政策和密切监视，例如在每个员工的头顶加装摄像机，也造成很多员工失去了对公司的忠诚度，导致部分人在有意和无意之间做出泄密行为，而他/她们自己并不一定了解其行为可能给公司带来的巨大损失。从这个角度看，正确的员工教育和企业文化比高压政策更有效。

　　除了黑客攻击和传播病毒等大家熟悉的蓄意破坏活动以外，很多的信息泄露，都是从不起眼的内部“裂缝”开始的，具体有以下几个方面：

　　a) 技术缺陷

　　技术从来不是万能的，尤其是新技术，问题就更多了。一方面，传统产品的缺陷越来越少见了，如果你买的是“德国制造”的金属工具，那你几乎可以肯定它在被使用多年磨损以前不会出大问题。但在新生的软件产品就不一样了，没有几个软件供应商会保证它的产品是“零缺陷”，而且在你决定使用前还要签署一份类似打擂台前的“生死状”的法律声明，表示你同意该公司“不承担用户在使用本软件过程中出现的故障而造成的一切损失”，也就是“生死各安天命”。当你驾驶你刚刚买回来的汽车驶上高速公路的时候，很少会发生不可预料、不明原因的引擎熄火并需要重点火的情况，但如果你驾御你的计算机驶上信息高速公路，你随时要做好面对软件临时“熄火”的心理准备。在保护在信息高速公路上的方面，计算机上运行的软件远不及有形产品，一个聪明的病毒或黑客就可以让大家人仰马翻。

　　b) 人为失误

　　人为造成的信息安全问题往往来自无意识的疏忽。 通常烦琐的身份认证过程和太多的密码会让人不知不觉地产生侥幸心理，并试图去简化这些令人讨厌的程序，例如我们当中的大多数人会将同一个的密码同时用于自己的几张信用卡、电子邮箱和个人电脑。

　　c) 蓄意破坏

　　说起蓄意破坏我们都会想到黑客攻击和病毒，但是，令人吃惊的是，更多的蓄意破坏竟然来自内部人员。IDC的一个研究发现， 80% 的信息安全问题来自网络内部用户，商业利益的诱惑或对组织心怀不满使少数内部人员破坏或偷盗数据。

　　d) 不可抗力：

　　台风、地震、洪水、火灾、雷击、恐怖事件….上帝之手时刻提醒着我们注意信息安全。1993年，世贸中心大楼发生爆炸，爆炸后有一半以上的企业由于无法存取重要的信息系统而倒闭或消失。9·11”事件中，由于根据19