小公司，信息安全工作最简单能到什么程度？- 5

在开展一项新工作之前，问一下“最简单能到什么程度？”是很有好处的。它可以帮助我们分清目标的必要性、重要性和紧急程度。

下面是小公司可能不得不、一定要或优先要去做的一些信息安全工作，基于不同的理由经过补充和取舍之后，就是各个公司能接受的最简单的信息安全。

1. 要有起码的规矩

采取如下行动：

1. 有大门，有前台。
2. 研发有独立办公空间，离人落锁；财会有独立办公室，离人落锁；服务器机房独立空间，管理员才可以开门。
3. 各专用空间有门牌，并提示非请勿入。
4. 墙上贴标语：提高安全意识，保护劳动成果；非礼勿视，非礼勿听，非礼勿言；不该看的不看，不该问的不问，不该说的不说……
5. 对明显不恰当的行为，或造成事实损害的行为进行批评、教育；通报讨论，并达成改正和提高的共识。

达成如下的目标：

1. 对内，对外，宣示安全边界的存在。明确表示公司有安全保密的要求。
2. 提高安全意识，形成大家认同和遵守的意识基础。
3. 有规矩，才有管理。错了可以批评，不足可以改正。

保密守则是最好的安全意识宣贯。每个人都听得懂，记得住，知道什么不该做。

2. 采取保密行动，确保商业秘密的“保密性”不至于丧失

法律是公司保护自身利益的武器，也是底线。2019年4月修订的《反不正当竞争法》中，关于商业秘密的描述修改为“本法所称的商业秘密，是指不为公众所知悉、具有商业价值并经权利人采取相应保密措施的技术信息、经营信息等商业信息。”其中“经权利人采取相应保密措施”的说法就是商业秘密的“保密性”要求。

也就是说，如果一个公司不对自己的商业秘密采取保密措施，其商业秘密的相关主张就不会受到法律的保护。或者再直白一点，就是如果你自己不采取保密措施，出事了，也不能告别人。

所以，公司需要采取必要的保密行动，以避免商业秘密丧失其“保密性”。
此类行动可以包括：

1. 文档和代码的版权和秘密标识。在文档模板上默认的标注“内部资料 注意保密”八个字，就是一个有效的保密措施。这个措施看似微不足道，但却可能在泄密纠纷中成为一个公司的救命稻草。
2. 权限管理。最简单的权限划分就是允许和不允许。员工使用公司电脑必须要输入口令以验证身份，只有通过身份验证的合法用户才可以使用公司电脑，并进一步访问公司内部信息资源。
3. 秘密范围。最简单的范围划分就是内部和外部。员工应该能够正确判断一个信息是否可以发放到公司外部，主动减少非必要的外发。而公司网络和计算机的操作标识应该能够给员工明确、清晰的“内外有别”的标识和提示。

3. 必要的合规要求

合规首先看要求来自何方，是甲方、政府主管部门、法律法规还是平台；其次看具体要求是什么。一般情况下，合规要求都伴随着检查标准、建设指南，或者有直接提供服务的第三方公司。

最简单的做法自然就是在第三方公司的帮助下满足合规的最低要求。

最常见的一种情况是，解析至中国内地服务器的网站必须完成ICP备案才可对外提供服务。如果公司官网部署在阿里云之类的平台上，平台本身就会提供相关的备案服务，帮助客户区满足各项要求。
在ICP备案结束后还需要进行公安联网备案。只要是在中国内地可以访问的网站服务，不论是否部署在内地或非中国内地的服务器上，都需要进行公安联网备案。
在公安联网备案结束之后，还可以享受公安部三所的“全国中小网站安全防护平台”提供的免费服务。防护功能包括账号关联多主机安全态势概览，系统漏洞、配置、后门、账户异常、非法外联检测，网络攻击防护、恶意扫描防护等。防护效果包括过滤恶意访问、拦截网络攻击、避免资产数据泄露、保障网站的安全与可用性。

对于大多数只有一个非交互式企业官网的小公司而言，满足上述合规要求显然是必须的。而且借助公安部三所提供的免费网络安全服务，就足够保护自己，并不需要自己成为网络攻防的专家。

数据泄露存在多种形式

4. 研发、生产或设计数据的防泄密

对于一个处在快速发展壮大之中的公司，泄密才是真正的问题。防泄密就是保前程！

一般而言，防泄密通常是一个公司最难解决的安全问题。在行动之前，正确认识自己的问题是必要的。

4.1 终端数据防泄露 vs 业务数据防泄漏 vs 其他数据安全

数据安全是一个很宽泛的概念，其中包含很多细分行业，技术路线和解决方案，各种概念和新名词层出不穷，即便是专业人士也会犯糊涂。这里提供一个简单实用的辨别方法，可能不精确，但的确有助于避坑。

1. 终端数据防泄漏保护的是员工办公电脑上的数据（主要是文档、代码、设计图纸）。假想敌是使用电脑的员工本人。目的是防止员工自己无意识地，或有意悄悄地把信息泄露出去。
2. 业务数据防泄漏保护的是业务服务器上的数据（主要是数据库，用户隐私或用户数据，业务数据等）。假想敌主要是外部攻击者，部分包括IT管理人员或云平台服务提供者。比如前面全国中小网站安全防护形态提供的“避免资产数据泄露”服务，针对的就是服务器上的数据资产（信息安全中的资产，就是数据，而非银行或金钱相关的资产概念）。
3. 其他数据安全包括比如防篡改，数据脱敏，漏洞检测，防勒索，微隔离，大数据安全等等。各个细分领域都有各自不同的具体场景，有的与泄密有关，有的关系到数据的可用性和真实性。

4.2 列举泄密的数据类型、动机和方式

列举泄密的数据类型、动机和方式，并且挑出与公司业务关系最密切，现下最担心的几条。挑选的结果就是公司目前最优先需要解决的安全问题。

常见的动机有：

1. 离职换工作后，用作参考；
2. 发布到网上论坛，换积分，或单纯的炫耀；
3. 无恶意的操作失误，不小心外发；
4. 窃取信息，并卖给黑产，卖给竞争对手，或提出勒索；
5. 单纯的黑客攻击，只是为了练手或炫耀攻击能力；
6. ……

常见的泄密方式有：

1. 外设拷贝。数据量大，行为隐蔽。
2. 微信、钉钉等即时通讯软件外发。容易因为大意而导致错误外发。一旦发生，极难挽回。
3. 邮件错误外发。
4. 网站、应用或服务器被攻击后，因权限错误而导致泄密。
5. 网站、应用或服务器被攻击后，数据库被远程导出。
6. 服务器或终端电脑硬盘被盗。
7. 笔记本电脑丢失。
8. ……

数据类型、动机和方式，单列出来或他们的组合都构成安全问题。而如果公司已经采用了某个安全产品或管理方案，产品和方案本身又会带来新的脆弱性。这样安全问题清单就会变得越来越长。

显然，假设一个最简单的安全管理方案，其实是回归原始需求，避免干扰，抓住重点的好办法。

相比之下，更多的公司在面对这个最简安全方案的设定时，会选择终端数据防泄露。
原因包含两个方面：

1. 一般小公司，终端数据关系的是研发、设计之类相关的竞争优势。而业务数据关系的是面对客户的服务保障。
2. 终端数据的保护与具体的人相关，与经营活动或团队管理相关，每个公司情况都不一样。而业务数据（或服务器数据的安全）可以交给第三方团队或选择云平台安全服务来保障。

后面的讨论，也以终端数据防泄漏为假设背景。

简化之后的预演

5. 小结

一个小公司信息安全工作最简单的情形可能是上述4种情况的组合之中的一种。可能的组合方式包括1, 1+2, 1+2+3, 1+2+3+4，或1+2+4。具体要看公司的主营业务和发展程度。

借助这个假设情形的分析，不仅有助于公司更好的规划自己的信息安全方案，更有助于管理者站在一个更开阔的视野上理解信息安全。比如：

1. 司空见惯的门、锁、门牌和办公区域划分，是必要的，而且对信息安全有深刻的价值。
2. 版权和密级标识不是形式主义，而是安全管理中性价比最高的存在，与管理、技术、法务等是有机结合的关系。
3. 对于处在快速发展阶段的初创企业，终端数据防泄露比网络安全具有更大的现实价值，却容易被人忽视。