（工商管理专业论文）我国高新技术企业信息安全管理风险和对策研究.pdf

北京邮电大学硕士学位论文 我国高新技术企业信息安全管理风险和对策研究 中文摘要 关键词：创新、信息安全、风险、对策。 随着全球高新技术的快速发展，我国的高新技术企业逐渐成为推动技术进步的 动力和经济增长的主要力量。然而，在我国整体法律环境尚不健全、互联网发展尚 不成熟的情况下，我国高新技术企业的信息资产安全管理面临的重大风险，例如： 离职员工对企业信息资产的不良窥视，网络病毒和黑客攻击对企业信息资产的威 胁，竞争对手有组织的情报收集以及自然灾害的突然袭击等，都可能导致企业信息 资产的泄漏和灭失，从而给这些高新技术企业带来重大的损失。 本文从管理体系建设的角度，提出了企业信息安全管理系统建设可以从“组织、 技术、流程 三个方面分别加以实施，利用组织级的建设保证企业信息安全管理活 动的有效开展。只有做到“让专业化的人才，依靠定位准确的组织，按照正确的过 程，用正确的方法来做事，才能建立一个“以疏为主、以堵为辅；以i t 手段为 主、以人为手段为辅；以内部保护为主、以外部法律武器为辅；以数据安全为主、 以效率保障为辅 的符合中国国情，相对有效的信息安全管理体系。 北京邮电大学硕士学位论文 t h ei n f o r m a t i o ns e c u r i t ym a n a g e m e n tr i s ka n dc o u n t e r m e a s u r e ss t u d y o fc h i n ah i g h t e c h n o l o g ye n t e r p r i s e a b s t r a c t k e y w o r d ：i n f o r m a i t o ns e c u r i t y , i n n o v a t i o n ，r i s k ，c o u n t e r m e a s u r e s w i t ht h er a p i dd e v e l o p m e n to fg l o b a lh i - t e c hi n d u s t r y ，o u rh i g h t e c h e n t e r p r i s e sg r a d u a l l ya r eb e c o m i n gt h em a i nf o r c et oc h i n a st e c h n o l o g i c a l p r o g r e s sa n de c o n o m i cg r o w t h h o w e v e r ，t h eu n p e c tl e g a le n v i r o n m e n ta n d i n t e r n e ts e c u r i t ye n v i r o n m e n ti nc h i n am a k ei tt u r et h a tt h ei n f o r m a t i o na s s e t s f a c em a j o rs e c u r i t yr i s k ，s u c ha st h ef o r m e r sp e e pt ot h ei n f o r m a t i o na s s e t ，t h e t h r e a to fi n t e r n e tv i r u s e sa n dh a c k e ra t t a c k s ，c o m p e t i t o r so r g a n i z e d i n t e l l i g e n c e - g a t h e r i n ga n d t h es u d d e na t t a c ko fn a t u r ed i s a s t e r s a l lt h e s ew i l l r e s u l ti ns i g n i f i c a n tl o s s e st ot h ec o m p a n yd u et ot h el o s s e so fi n f o r m a t i o na s s e t f r o mt h ep e r s p e c t i v eo fm a n a g e m e n ts y s t e mc o n s t r u c t i o n ，t h i sp a p e r p r o p o s e st oc o n s t r u c ta ni n f o r m a t i o ns e c u r i t ym a n a g e m e n ts y s t e mt h r o u g ht h r e e w a y s ：o r g a n i z a t i o n ，t e c h n o l o g ya n dp r o c e d u r e o n l yt h er i g h tp r o c e d u r e ， p r o f e s s i o n a lp e m o n n e lu s e st h er i g h tw a yt oa c tr e l y i n go nt h ep r o p e r l y p o s i t i o n e do r g a n i z a t i o nc a no b t a i nt h ep u r p o s eo fi n f o r m a t i o ns e c u r i t y a c c o r d i n gt oo u rn a t i o n a lc o n d i t i o n ，i ti sc o n s i d e r e dt h a tt h ee f f e c t i v ei n f o r m a t i o n s u r c u r i t ym a n a g e m e n ts y s t e mi sm a i n yt op r e p r o t e c ta n db e a ts e c o n d l y ，m a i n y f o ri tm e a n sa n da r t i f i c i a lm e a n s s e c o n d l y ，m a i n yt oi n t e r n a l - p r o t e c ta n dl a w w e a p o ns e c o n d l y ，m a i n yf o rs e c u r i t ya n de f f i c i e n c ys e c o n d l y 2 独创性( 或创新性) 声明 本人声明所呈交的论文是本人在导师指导下进行的研究工作及取得的研究 成果。尽我所知，除了文中特别加以标注和致谢中所罗列的内容以外，论文中 不包含其他人已经发表或撰写过的研究成果，也不包含为获得北京邮电大学或 其他教育机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所 做的任何贡献均已在论文中作了明确的说明并表示了谢意。 申请学位论文与资料若有不实之处，本人承担一切相关责任。 本人签名： 奎堕丝 日期：佣鹋固 关于论文使用授权的说明 学位论文作者完全了解北京邮电大学有关保留和使用学位论文的规定，即： 研究生在校攻读学位期间论文工作的知识产权单位属北京邮电大学。学校有权 保留并向国家有关部门或机构送交论文的复印件和磁盘，允许学位论文被查阅 和借阅；学校可以公布学位论文的全部或部分内容，可以允许采用影印、缩印 或其它复制手段保存、汇编学位论文。( 保密的学位论文在解密后遵守此规定) 保密论文注释：本学位论文属于保密在一年解密后适用本授权书。非保密论 文注释：本学位论文不属于保密范围，适用本授权书。 本人签名：查堕遂日期： 导师签名：日期： 6 月嵋习 6 j 习埽问 北京邮电犬学硕士学位论文第1 獗共5 7 页 绪论 1 选题背景 遥些年来，随着中冒经济和教育事业的发展，中国具有较高教育程度的人才 越来越多，很多跨国企业纷纷在中国建立研发基地或者向中国转移其全球的技术研 发中心，比如：微软弧洲研究院、思科中国研究中心等等。国内的华为、海尔等企 业的研发机构更是不断膨胀，群中毽制造捧的竞争正在逐渐向“中国创造的竞争 演进。 为了应对日渐激烈的市场竞争，不少企业为了锻造企业的核心竞争力，纷纷 投入大量资源开震技术研发活动。例如：成立于1 9 8 8 年的华为技术有限公司拥有 近5 万名研发人员，其2 0 0 7 年销售收入为1 6 0 亿美元，其中1 0 以上的销售收入 投入到技术研发中，已申请专利2 6 8 8 0 余件。富士康这样一个代工企业也在技术研 发上投入巨大，单在知识产权创新管理系统创建一项就已花了将近l o 亿元，2 0 0 6 年投入的科研经费就达到1 3 亿元，有4 0 0 0 0 人参与创新研发。截止到2 0 0 7 年底， 富士康就申请专利9 0 0 0 件。这些投入已经让华为、富士康等企业快速成长，并让 竞争对手生畏。 然而，中国国内相对不够成熟和完善的法律环境和整体有待提高的法律意识， 使这些高掰技术企业往往面临创新成果的安全风险，如何蕊对这些信息安全风险， 是这些嵩新技术企业必须应对的阔题。面对呕心沥盘丽获取的技术成果，企业都不 愿意花费数年心血的研究成果却为他人做了嫁衣。为了避免技术成果失窃，它们把 研发场所打造成一个水火难进的境地，应用如影随形般的密码系统，编撰条款众多、 滴水不漏的保密协议和竞监禁止协议，常年进行保密培训。但最终往往“防不胜防謦， 导致最终企业走向法律这最后的底线，关于这一点，在这几年的中国，富士康、华 为、微软等企业都曾触摸过。当企业被迫采取法律手段的时候，警察、法院、监狱 等字眼就纷至沓来。这时，企业和企业前员工之闻的恩怨就被放大很多倍，直至前 员工锒铛入狱，而企业声誉也受到极大伤害。两败俱伤所为何事? 这是企业为了守 护自己的未来竞争力先进和核心的技术机密丙付出的代价。 我国裹新技零企堑癌惠安全繁毽菇睦和对策磷巍 北京邮电大学硕上学位论文第2 页共5 7 页 2 选题的意义和目的 随着中国经济融入全球化步伐的加快，越来越多的跨国企业加入了我国各个行 业主要竞争者的行列。根据商务部公布的外商在华投资报告，世界5 0 0 强的跨国公 司已经有4 5 0 家在华投资，并且跨国公司已经把中国作为投资的重点领域，其中高 新技术产业是其投资的热点领域之一l 。我国企业在成长的过程中，最大的烦恼就 是企业人才的流失以及随着人才流失的企业创新成果。 中国有旬老话：“害人之心不可有，防人之心不可无 。今天，这句话同样适用 于现代企业之间的竞争。当今高新技术企业的核心竞争力就在于投入巨资开发出来 的创新成果，对公司创造的所有信息资产进行恰当的安全保护，保障公司的核心竞 争力，是我国高新技术企业面临的重要课题。尤其是在我国整体法律环境尚不健全， 员工盗窃企业的创新成果受到法律追究的风险和成本相对较低的情况下，企业更加 应该小心守护自己呕心沥血、耗资巨大而获取的技术成果。为了避免技术成果失窃， 企业就必须建设一套适合自己、行之有效的信息安全管理体系，以帮助企业有效的 管理好自己的信息资产，创造更高的价值。 因此，本文选择了高新技术企业信息安全管理风险以及如何应对的对策作为研 究对象，主要是为了从理论上和实施对策上提出成本与效率兼顾的信息安全管理体 系，希望为我国高新技术企业走向世界建设一个可行的安全防护“盾牌一。 3 选择高新技术企业作为研究对象的原因 按照国家科技部的定义：高新技术企业是指从事规定范围内的一种或多种高新 技术及其产品的研究开发、生产和技术服务( 单纯的商业经营除外) 的企业法人2 。 在我国，高新技术企业的范围一般定义为： 1 1 电子与信息技术 2 1 生物工程和新医药技术 3 ) 新材料及应用技术 4 ) 先进制造技术 1 京华时报2 0 0 5 年1 2 月1 5 日b 3 5 版 2 国家科学技术部国家高新技术产业开发区高新技术企业认定条件和办法 我国高新技术企业信息安全管理风险和对策研究 ! ! 塞塑皇奎兰堡主兰篁丝壅 一一一 蔓! 壅茎! ! 墨 5 1 航空航天技术 6 ) 现代农业技术 7 ) 新能源与高效节能技术 8 ) 环境保护新技术 9 ) 海洋工程技术 1 0 ) 核应用技术 1 1 ) 其它在传统产业改造中应用的新工艺、新技术 与传统企业相比，高新技术企业的持续发展更加需要知识和技术的不断创新， 高新技术技术人才和管理人才在企业中的地位和作用日益突出，在该产业的形成过 程中，已经逐步形成了和传统企业完全不同的产权制度和治理结构，建立起新型的 企业产权制度和治理结构。 由于众所周知的原因，我国的高新技术产业的发展是滞后于西方发达国家的， 这种相对的滞后也是造成我国与西方发达国家在贸易上价值严重不对等的重要原 因。因此，相对与传统企业而言，在西方跨国企业的挤压下成长起来的我国的高新 技术企业，在自己的家门口就面临着更为激烈的竞争，企业自身的信息资产安全对 于企业的生存和发展更是起到举足轻重的作用。因此，本文重点针对高新技术企业 的特点，分析和讨论了我国高新技术企业应该如何建设符合我国国情的企业信息安 全体系，提出我国高新技术企业在建设自身信息安全体系时应该重点关注的问题。 4 论文的主要内容及结构安排 笔者认为，企业信息安全体系是一个建设于企业现有管理体系之下的上层建 筑，是企业内部为了达到系统性地保护信息资产安全而建设的具有独特功能的管理 体系。尤其是在我国当前法制建设尚不完善，违法成本尚不足以震慑某些铤而走险 的人的情况下，企业信息安全系统的建设，对于创新型的高新技术企业而言，至关 重要。 因此，企业信息安全系统的建设应该从“组织、技术、流程三个维度来展开： 所谓组织，就是专业化的人才依靠合理的组织才能做好企业信息安全保护的责任主 体；所谓流程，就是需要有端到端的工作过程的指导。所谓技术，就是需要有专门 信息安全方法论的指导和专门保护监察工具的支撑；这三个方面缺一不可，相辅相 成，只有做到“让专业化的人才，依靠定位准确的组织，按照正确的过程，用正确 我国高新技术企业信息安全管理风险和对策研究 北京邮电大学硕士学位论文第4 页共5 7 页 的方法，使用有效的工具来做事，才能得到理想的结果。所以本文围绕“组织、 技术和流程”这三个方面展开论述，并重点针对我国高新技术企业的特点，分别从 这三个方面提出在建设过程中应该特别注意的问题。 本文第一章主要对我国高新技术企业的发展现状进行了分析，仔细分析了我国 高新技术企业所面临的信息安全风险，指出信息安全保护的重要意义。第二章主要 通过对业界信息安全风险管理的发展历程的回顾和对相关理论和标准要求的学习， 在了解业界同行的宝贵实践经验的基础上，归纳出业界成功探索对我国高新技术企 业信息安全保护的启示和借鉴意义。第三章主要针对我国高新技术企业面临的主要 问题，总结出我国高新技术企业开展企业信息安全保护的战略思维和体系架构，第 四章主要针对高新技术企业的特点，系统的论述了如何切实有效的从“组织、技术、 流程 等三个方面有效的开展符合我国国情的信息安全系统建设。最后在结论部分 对论文进行总结，并提出论文的不足和需要进一步研究的课题。 我国高新技术企业信息安全管理风险和对策研究 北京邮电大学硕士学位论文 第5 页共5 7 页 第一章我国高新技术企业发展现状 回顾过去的一个世纪，科学技术和经济的飞速发展使人类取得了前所未有的文 明进步，也使社会产生了深刻的变革。高新技术企业的发展以先进的技术和持续的 创新为基础，将知识迅速转化为产品，构成了现代知识经济中最具活力的部分，代 表了未来发展的方向。二十世纪九十年代初，为了迎接新技术革命的挑战，我国做 出了加速发展高新技术产业的战略决策，国家高新技术产业开发区也应运而生，为 加快国民经济的结构调整和培育新的经济增长点积累了宝贵经验。 回顾我国高新技术企业的发展道路，在社会主义市场经济条件下，企业只要有 技术创新的能力，有开拓市场的本领和经营管理水平，就能够在市场竞争中很快发 展起来。进入知识经济时代，高新技术企业日益成为推动技术进步的动力和经济增 长的主要力量。由于具有知识密集、技术密集、人才密集、资金密集等特点，有很 强的辐射能力，因此，它的发展不仅能提高传统产业的技术附加价值，促进整个国 民经济高效益地运转，而且能够带动社会各个领域的进步。 1 1 我国高新技术企业发展现状3 经过十多年的蓬勃发展，我国已成长起一批有竞争力、有创新活力的高新技 术企业群体。加入w t o 后，高新技术企业加快了产业化、商品化、国际化进程。 国家从9 0 年代启动的“火炬一计划扶植了一大批的高新技术企业的成长，高新技 术企业已经成为带动国民经济增长的主要力量之一。 图l l ：我国高技术产业工业总产值增加值( 1 9 9 5 2 0 0 3 年) 3 本章数据未做特殊说明的均来自国家科技部发布的( 2 0 0 4 中国科技统计年度报告 我国高新技术企业信息安全管理风险和对策研究 ! ! 室坚皇查兰堡主兰堡笙塞 一 兰皇墨苤! ! 墨 据2 0 0 3 年国家统计数据显示，我国高技术产业工业总产值为2 0 ，5 5 6 亿元， 比上年增长3 6 ，1 9 9 5 - - 2 0 0 3 年间，高技术产业产值的年均增速达2 2 3 ，是非 高技术产业年均增速的2 倍。2 0 0 3 年，高技术产业实现增加值5 ，0 3 4 亿元，比 上年增长3 3 6 。随着高技术产业的快速发展，高技术产业规模不断扩大，20 0 3 年，我国高技术产业从业人员达到4 7 7 万人，实现历史最高，高技术产业已经成 为推动我国国民经济增长的重要组成部分。 从当前高新技术企业的就业人员的学历背景上看，大专学历以上人员占到从 业人员的1 3 左右，达到了3 7 ；其中硕士生9 万人，博士生1 6 万人，并 吸引了1 3 万名留学回国人员。这支队伍最重要的特点就是具有一批能适应科技 研发和市场经营的复合型人才，这为高新技术产业的发展聚集了重要的人才资源。 从研发费用( r & d 经费) 投入上看，2 0 0 3 年，全国经认定的2 2 万家高新技术 企业的r & d 活动经费投入达3 9 2 亿元，高新技术企业r & d 经费投入占其销售 收入的比重已经达到2 9 。 1 2 我国高新技术企业的发展特点 即使在西方发达国家，高新技术行业也普遍是一个“高风险、高投入、高回 报的“三高”型行业。相对于我国的传统行业而言，我国的高新技术企业是在二 十世纪九十年代初，改革开发后在国家政策的大力鼓励之下才迅速发展起来的。虽 然只有短短十几年的时间，但在国家“火炬 计划、“8 6 3 刀计划，。9 7 3 一计划等 宏观调控和全国纷纷建立的高新计划开发区的优惠政策的滋润之下，已经形成了一 些自己的发展特点。 1 2 1 自主创新是高新技术企业的核心竞争力 科学研究与试验发展( r & d ) 活动是高新技术企业可持续发展能力的基本 保障，是高新技术企业参与市场竞争的“杀手锏 。r & d 经费投入的规模、强度 及其结构特征宏观而言反映了一个国家的科技创新能力，是具有国际可比性的重要 指标，微观而言，反映了一个高新技术企业核心竞争力的持久性，是衡量高新技术 企业可持续发展能力的重要指标。据国家科技部统计，2 0 0 3 年我国r & d 经费已 经突破l ，5 0 0 亿元，与g d p 的比例达到1 3 1 。 我国高新技术企业信息安全管理风险和对策研究 ! ! 室堂皇盔堂堡圭堂垡堡壅苎! 里茎! ! 里 随着r & d 经费总量的大幅增加，截至2 0 0 3 年底，我国r & d 经费与国内 生产总值( g d p ) 的比例也实现了连续8 年的持续增长，从“八五一计划末期 ( 1 9 9 5 年) 的o 6 0 上升到2 0 0 3 年的1 3 1 。这一比例已高于印度、巴西 的发展水平，位居发展中国家前列，但仍低于1 6 的世界平均水平。与发达国 家2 2 的平均水平相比，也还存在十分明显的差距。 对于微观的企业而言，除了吸收国家宏观调控的研究开发资金投入以外，企 业自身也将很大比例的销售收入投入到企业的研究开发工作中去，以尽快提升企业 的核心竞争力。2 0 0 3 年，全国经认定的2 2 万家高新技术企业的r & d 活动经费 投入达3 9 2 亿元，高新技术企业r & d 经费投入占其销售收入的比重平均已经达 到2 9 。其中，一些著名的高新技术企业在研发开发经费上的投入更是达到了一 个很高的水平，例如：我国通信制造业的领先企业华为技术有限公司和中兴通信股 份有限公司每年都将销售收入的1 0 以上投入到企业的研究开发中；近年来迅速 崛起的移动存储厂商“爱国者品牌的拥有者华旗资讯公司每年将公司净利润 的8 0 投入到新产品的研究开发过程中；我国著名的计算机制造商联想集团，每 年也将把销售收入的2 投入到产品研发与技术创新，预计联想2 0 0 6 年的研发投 入约为2 5 亿元。4 在持续高研发投入下，这些企业取得了可观的回报大量的自主创新成果， 而这些技术成果已经逐渐成为高新技术企业参与市场竞争的核心竞争力，成为企业 区别于其他竞争对手的重要竞争优势。这一点从每年的电子信息百强中，华为等企 业的表现可以得到证实。 1 2 2 频繁的技术更新决定了企业自主创新的持续性 1 9 6 5 年，也就是集成电路发明之后不久，美国人戈登莫尔( g o r d o nm o o r e ) 曾预言计算机芯片的晶体管的集成密度将每年增长一倍。后来他又预言芯片的集成 度每隔两年翻一倍。事实上微电子界所接受的莫尔定律是一个平均值，即计算机芯 片的集成度每1 8 个月翻一番，这就是著名的莫尔定律。 莫尔定律，即意味着同等价位的微处理器速度会变得越来越快，同等速度的微 处理器会变得越来越便宜。作为迄今为止半导体发展史上意义最深远的莫尔定律， 42 l 世纪经济报道2 0 0 5 1 2 2 4 我国高新技术企业信息安全管理风险和对策研究 ! ! 室坚皇盔堂堡主兰篁垒茎 一 兰! 蔓茎! ! 墨 集成电路数十年的发展历程，令人信服地证实了它的正确性。它并不是严格的物理 定律，而是基于一种几乎不可思议的技术进步现象所做出的预言：4 0 多年的实践 证明，半导体工业还是按照d r a m 每1 8 个月、微处理器每2 4 个月翻倍的规律发 展着。 对于高新技术企业而言，其区别于传统企业的最大特点就是通过科技创新对于 高新技术的产品化应用为人类的生活创造价值，因此，在技术创新的基础上不断的 更新高新技术产品就成为高新技术企业在竞争中得以取胜的“不二法宝。谁的产 品更好用，谁的产品更便宜，谁的产品更加能够满足客户对于高品质生活的追求， 谁就能在竞争中得到最终用户的青睐，成为竞争中最后的胜利者。 如果我们继续研究高新技术企业技术创新的动力，我们就会发现，除了被动跟 随业界动态的原因，例如：i n t e l 的芯片升级了，相关应用产品如果不升级，就无 法面对客户怀疑的目光：是否企业停止这些产品的研发，准备放弃这方面的产品销 售了等等，还有一个更重要的原因是高新技术企业自身主动竞争的需要：只有开发 出更新更好的产品，才能是企业在市场竞争中更加具有竞争力，才能在如今这个供 大于求的市场环境中生存和发展。这也就决定了企业在研发投入上必须保持一种持 续性，持续不断的投入才能创造出更多更新的技术成果，从而增长企业竞争的实力。 1 2 3 对高素质人才的竞争导致高新技术企业人员流动率偏高 与传统企业相比，高新技术企业的持续发展需要知识和技术的不断创新，因而 更依赖于高素质人才的贡献。高素质人才在企业中的地位和作用日益突出，这使得 高新技术企业的人力资源与物质资源的轻重关系与传统企业呈现出迥然不同的特 征。高新技术企业正是基于两种资源的新型关系和内在互动规律，摒弃了传统企业 的治理结构，建立起新型的企业管理制度，这是高新技术企业快速、持续发展的制 度保证。 2 0 世纪9 0 年代以来，我国高等教育发展迅速，拥有大专及以上学历或学位 的人口迅速增加，高新技术企业所需的高素质科技人才资源总量也随之增长。1 9 9 0 年，我国大专及以上学历或学位的人口为1 ，6 1 3 万人，2 0 0 0 年增加到4 ，4 0 2 万 人，2 0 0 3 年达到了6 ，6 0 6 万人( 根据全国人口抽样统计数据推算，抽样比为o 9 8 2 ) 。科技人力资源总量从1 9 9 0 年的l ，2 2 0 万人增加到2 0 0 0 年的近3 ，2 0 0 万 人，2 0 0 3 年则达到了3 ，8 5 0 万人。 我国高新技术企业信息安全管理风险和对策研究 ! ! 室塑皇奎兰堡主兰垡笙奎笙! 蔓茎! ! 戛 拥有大量低成本且接受过高等教育的科技人力资源是我国高新技术企业相对 国际跨国公司在企业竞争中的比较优势。与发达国家和新兴工业化国家相比，我国 在r & d 人员规模上也占有一定的优势。但由于受到综合物价水平等因素的制约， 我国的高科技人才的成本相对国外企业而言，有着较强的竞争力( 据简单估计，国 内技术工程师和国外同等水平的工程师的薪资水平基本和人民币与外币的汇率基 本一致) 。因此，在各跨国公司大量进入中国，以相对比较诱人的薪资水平争抢我 国高新技术领域的科技人才，我国高新技术企业在人力资源的争夺中面临着严峻的 挑战。 正因为企业对高新技术人才的这种依赖性和各种各样诱惑的存在，“跳槽”已 经成为高新技术企业从业人员中的一个热门话题，各种各样的“猎头公司也纷纷 应运而生。对于企业需求的高素质人才的竞争已经成为国内外高新技术企业之间竞 争的核心内容，是高新技术企业在直面企业竞争中面对的头等大事。相比传统型企 业，高新技术企业的人员流动率相对偏高。 1 2 4 竞争与合作是高新技术企业竞争的主旋律 在现代复杂的市场竞争中，竞争对手的概念是一个相对的概念，既没有永远的 对手，也没有永远的朋友。尤其在高新技术领域，由于“高投入 的关系，企业的 研究方面必须一定程度上进行聚焦，做自己最擅长的领域，生产自己最有竞争力的 产品，为了为客户提供一整套的服务，就必须寻找自己的战略合作伙伴，正因为如 此，竞争与合作正逐渐构成了高新技术企业之间竞争的主旋律。 从我国高新技术企业的发展来看，这种开放性的竞争与合作已经逐渐为更多的 企业所接受。例如：联想集团在2 0 0 5 年兼并i b m 的个人电脑事业部的行为，使两 个原来的竞争对手成为合作伙伴；华为公司在继成功的和美国3 c o r n 公司成立面向 数据通信领域的合资公司以及和德国西门子公司成立面向t d s c d m a 的合资公司 以后，最近又刚刚和赛门铁克公司成立了新的合资公司。既竞争又合作，在竞争中 寻求合作，在合作中共同竞争已经逐渐成为我国高新技术企业领导人的共识。 在企业竞争中，随着竞争双方的力量对比或者战略改变，原来的竞争对手可能 由于实力的削弱，构不成足以匹敌的竞争力量，也有可能由于原来的合作者由于对 价值链上下游的整合，增强了和企业自身竞争的实力，从而成为潜在的竞争对手。 我国高新技术企业信息安全管理风险和对策研究 北京邮电大学硕士学位论文 第l o 页共5 7 页 因此，我国高新技术企业既要适应这种发展形势，也应该逐步学会利用这种武器， 为企业的竞争力提升增加实力。 1 3 我国高新技术企业面临的信息安全管理风险 随着信息化水平的发展和普及，我国高新技术企业i t 系统的建设往往比较发 达，而员工的层次和受教育程度普遍较高，因此，有意识的“智能犯罪更加难以 防范。随着企业信息化的不断深入、局域网络和i n t e r a c t 技术在高新技术企业中发 挥的作用越来越大。由于网络技术本身和企业网络应用的特点，其安全问题也日渐 突出。总体而言，我国高新技术企业面临的信息安全管理风险主要来自以下方面： 1 3 1 离职员工带来的信息资产安全隐患 随着信息系统在企业的应用，企业的每个员工都或多或少的拥有一定的访问权 限。但当员工由于某种主客观原因决定离职或者被企业解聘之后，大多企业却没有 适当的管理机制来确保员工在离职期间或者离职后不再拥有访问的权限，导致员工 在离职前大量剽窃企业的信息资产，通过各种途径将企业的信息资产带出，作为奉 献给下一位雇主的“见面礼 。据统计，在企业的商业活动中，8 0 的泄密事件是 由内部职员因为离职或者其它个人利益所导致，离职员工带走企业信息资产的途 径，我们可以总结为以下9 种： 1 将资料通过软盘、闪存盘或移动硬盘从电脑中拷出带走； 2 通过互联网将资料通过电子邮件、q q 、m s n 等发送出去或发送到自己 的邮箱内； 3 将电脑上的文件打印后带出公司； 4 将文件复印后带出公司； 5 将办公用便携式电脑直接带回家中； 6 谎称电脑硬盘丢失，赔偿后，将原硬盘上的资料带走； 7 将私人的笔记本连上公司局域网，窃取资料； 8 趁同事不在，开启同事电脑，浏览、复制同事电脑里的资料； 9 在公司外部，利用自己没有被清理的帐号通过网络进入企业内部网络， 窃取机密文件。 我国高新技术企业信息安全管理风险和对策研究 北京邮电大学硕士学位论文 第l1 页共5 7 页 企业员工之所以敢于干出上述违法行为，一方面可能由于法律意识淡漠，另一 方面，我国关于法律环境的不健全也是很重要的原因。目前，大多数公司对于商业 秘密的权利意识越来越清晰，然而与统属知识产权的其他几项权利如商标权、专利 权、著作权相比，有关商业秘密的法律规定还是过于简略。当下我国知识产权领域 的司法鉴定相对滞后，特别是司法鉴定缺乏统一的法律，导致了某些争端纷纭难清。 在司法部，1 9 9 8 年以来相继颁发了 司法机关登记管理办法和司法鉴定人管 理办法两个规范性文件，对面向社会鉴定机构的设立条件、鉴定人的资格等设定 了标准，但同时，不少省级地方也自己出台了相关的地方性司法鉴定法律法规。这 种不统一自然会给执行层面带来诸多问题取证难，取证之后，证据鉴定更难。 由于鉴定机构多头，鉴定效力无统一之标准，鉴定的法律责任无统一的确认体系， 不但增加了企业在追究商业秘密侵权时的难度，而且使得案件迁延时日，即使打赢 了官司，通常也要付出很大的代价。这也最终成为一些不法员工决心“铤而走险一 的心里安慰。 1 3 2 知识产权意识不足导致的版权纠纷 相比传统行业的企业而言，高新技术企业更多是现代高科技发展下的产物。在 企业内部，计算机系统成为开发和办公的必备工具。而在中国当前版权意识尚不普 及的前提下，很多员工对于知识产权的意识相对薄弱。在大学中随意购买盗版软件， 从网络随意下载开发工具，开放源代码等行为在当今很多大学生看来是天经地义的 事情。虽然从法律的角度看，个人处于非商业目的使用盗版软件并不会受到犯罪的 追究，但当进入企业之后，尤其是进入高科技企业之后，这种习惯如果不能够得到 即使的纠正和改变，就往往容易给企业带来现实的或者潜在的威胁。当企业成长到 一定程度后，一些高举知识产权大旗的软件厂商将会“非常及时”的出现在企业快 速发展的路口，版权纠纷经常给一些企业成功道路上致命的一击。 2 0 0 6 年6 月6 日，曾经在中国数据通信行业创造了多个奇迹的北京港湾网络 技术有限公司被华为技术有限公司收购，结束了6 年的创业路程。在其成长的过程 中，可以说起步一直一帆风顺，连续几年取得了高速稳健的发展，2 0 0 3 年实现合 同销售额1 0 亿元，比上一年增长1 2 2 。在万兆i p 电信网、n g n 综合接入网、高 效多业务m s t p 智能光网络、大客户接入网、行业纵向网等领域均取得了快速的 增长，产品规模服务于电信、网通、移动、联通、铁通等各大运营商和政府、教育、 我国高新技术企业信息安全管理风险和对策研究 北京邮电大学硕士学位论文第1 2 页共5 7 页 金融、电力等行业市场，同时一定规模地进入北美、日本、东南亚等海外市场及香 港地区，已经逐步成为广大客户值得信赖的宽带网络主流设备供应商。2 0 0 5 年9 月，正在其紧锣密鼓的筹备到纳斯达克上市的当口，港湾网络法务部收到一封来自 华为公司的律师函，华为表示将就港湾网络侵犯其知识产权提起诉讼。根据纳斯达 克的上市要求，申请在纳斯达克上市的企业不能有知识产权方面的纠纷，这也被看 做上市的基本要求之一。港湾网络正是在企业发展的关键时刻陷入知识产权纠纷之 中，导致其上市流产。从而从高速发展的过程中快速滑落，在第二年就被华为以低 价收购，成为高科技行业的一颗流星。 1 3 3 对外交流中无意识的泄密行为 对于当前的高新技术企业而言，全球化的市场带来的是开放合作的经营理念。 在企业正常的运营中，对外交流和合作是必不可少的工作环节。在和客户、供应商 的交流中，在同行云集的业内论坛上，通过人与人之间的交谈，很多的信息会很自 然的进入到他人的耳中。说者无心，听者有意，如果企业员工在对外交流中缺乏必 要的保密意识，竞争对手将很容易从产业链的各个环节轻易的得到我们在不经意中 泄漏的信息，从而成为其决策的重要商业情报。也许就在我们对外交流中不经意的 午餐闲聊、喝茶聊天中，一不小心就将企业的信息泄漏给对方，给企业带来不必要 的损失，而我们自己往往还并不自知，等到恶果来临之时，方才悔之晚矣。 中国宣纸有 千年寿纸竹、什纸中之王”的美称，尤以安徽宣州泾县所产者为最。 日本人对奥秘垂涎已久，曾派出情报人员到宣州转悠，后发现泾县宣纸厂漆着标志 的车，旋尾随而至。但这回碰了壁，泾县厂方谢绝参观，后来还下令将所有厂车的 标志涂去。但是，次年，另一批日本人到了浙江的一个县，一家造纸厂热情款待， 有问必答；连蒸煮原材料的碱水浓度这样的细节也言无不尽，临别更赠送檀树皮、 长稻草浆和杨桃藤，而这家纸厂正是在泾县的扶持下建立的! 此后，日本人志得意 满地宣布：世界宣纸，安微泾县第一，日本第二，浙江第三，台湾第四! 曾经，中国的”两步发酵法生产维生素c ”通过鉴定，为国家重大科技发明，这 是人类需求极大、前景无比广阔的科学成果，世界两大产业国瑞士和美国闻风而至， 竟相出价要买下这项技术专利。没想到，一星期后，争得脸红脖子粗的两国代表 和气生财”，欢天喜地地回老家去了。原来这项专利便宜到只值一本杂志的价钱! 某学报将全部研制过程、细节、配方、剂量刊登无遗。稍有化学常识者，回去按谱 我国高新技术企业信息安全管理风险和对策研究 ! ! 窒堕皇查兰堡兰垡笙塞釜! ! 鉴茎! ：墨 炒菜即可，真是得来全不费工夫! 还曾经，日本人在参观景泰蓝厂时，中方慷慨地 允许其拍下全部制作工艺流程，不出两年，大陆传统的出口创汇产品景泰蓝直线贬 值，原因是日本货杀来了! 所有这些事实都无情的告诉我们：商场处处有陷阱，我们在对外交流中一定要 打好十二分精神，保护好自己的信息安全，否则就会给企业带来不可挽回的损失。 1 3 4 企业信息网络面临病毒肆虐和天灾人祸的危险 说起病毒，很多人往往“谈毒色变”。长期以来，企业网络已经成为高新技术 企业开展业务的关键基础设施。然而，从2 0 0 6 年开始日渐泛滥的网络病毒、木马、 恶意软件、间谍程序却此起彼伏，在此过程中，以往一些号称安全到位的大型企业 用户纷纷中招：从冲击波、红色代码、熊猫烧香、一直到最近的磁碟机，安全威胁 仿佛越发“智能”，传统的安全防御体系频频失守，这不能不令人忧虑。随着信息 网络的发展，病毒已不再是黑暗中隐藏的“黑手”，而是已露出凶相的“狼群”。据不 完全统计，在2 0 0 2 年，全球的计算机病毒已有6 万种，目前每年还以近2 万种的 数量在激增。 2 0 q 4 至2 0 0 6 辈新瘸毒数羹对比圈 鲞 图l 一2 ：2 0 0 4 2 0 0 6 年新病毒数量对比图5 说到天灾，让我们很自然的想到了今年5 月12 日发生在我国四川省汶川县的 8 级大地震。在大自然的威力面前，人类的一切行为都显得那么微不足道，在四川 5 赛迪网报告称我国已成为全球第三大黑客来源地 我国高新技术企业信息安全管理风险和对策研究 ! ! 室墅皇查兰堡主堂垡笙茎 一 苎! ! 墨苤! ! 墨 成都的大量高科技企业的领导人想必大都吓出了一身冷汗。作为高科技企业，其赖 以生存的核心资产就是高素质的人才和高价值的信息资产。在大地震中，人们首先 想到的是救人，在恢复重建中，对于高科技企业而言，如果信息资产在地震中灭失， 要想在短期内恢复重建是根本不可能的事情。就如同美国9 1 l 事件后，在世贸大厦 中的很多小型高科技公司都很快销声匿迹一样，没有科学的信息容灾备份系统的企 业是经不起这样的天灾考验的。 说起人祸，当前网络黑客横行的时代，脆弱的企业信息系统极易受到网络黑客 的攻击。企业的核心信息资产一旦被盗，企业的商业机密和技术成果被竞争对手获 取后，等待企业的将是一场完全不平等的竞争，企业将很有可能由此遭致灭顶之灾。 1 4 本章小结 自二十世纪九十年代初，为了迎接新技术革命的挑战，我国做出了加速发展 高新技术产业的战略决策，回顾我国高新技术企业的发展道路，我国的新成长起来 的一批高新技术企业日益成为推动技术进步的动力和经济增长的主要力量。本章主 要是根据一些统计资料，来分析我国高新技术企业的发展特点，以便为后续提出符 合我国国情的高新技术企业信息安全管理系统提供思路。 第一节主要回顾了我国高新技术企业发展的整体状况，经过十多年的蓬勃发 展，我国已成长起一批有竞争力、有创新活力的高新技术企业群体，高新技术企业 已经成为带动国民经济增长的主要力量之一。 第二节主要介绍了我国高新技术企业发展过程中呈现的四个重要特点：巨额 研发经费的投入，高素质人才的竞争，技术更新导致的产品快速升级，竞争与合作 等是我国高新技术企业区别于传统企业的特点，也是我们在考虑其信息安全管理系 统建设时应该重点考虑的客户化的因素。 第三节主要结合笔者对于高新技术行业多年的观察和思考，总结归纳了我国 高新技术企业当前面临的重要信息安全管理风险，为后续有针对性的提出我国高新 技术企业信息安全风险对策研究提供参考。 我国高新技术企业信息安全管理风险和对策研究 北京邮电大学硕士学位论文 第1 5 页共5 7 页 第二章企业信息安全风险管理理论和实践探索 我们谈论企业信息安全工作，首先就要搞清楚什么是信息安全和信息安全具 体要做什么两个问题。关于信息，1 9 4 8 年，信息学之父克劳德香农( c l a u d ee l w o o d s h a n n o n ) 在b s t j ( b e l ls y s t e mt e c h n i c hj o u r n a l ) 上发表的著名论文通信的数学 基础( am a t h e m a t i c a lt h e r o yo f c o m m u n i c a t i o n ) 认为：“信息就是用来消除不 确定的东西 ，我国信息专家钟义信则认为：“信息是指事务运动的状态及其变化 方式6 ；而关于信息安全，国际标准化组织( i s o ) 认为：“信息安全是在技术上 和管理上为数据处理系统建立的安全保护，保护计算机硬件、软件和数据不因偶然 和恶意的原因而遭到破坏、更改和泄漏。而我国信息安全专家沈昌祥院士则认为 信息安全是保护信息和信息系统不被未经授权的访问、使用、泄漏、修改和破坏， 为信息和信息系统提供保密性、完整性、可用性、可控性和不可否认性7 。 因此，关于我们本文所强调的信息安全管理的内容，我们采取了信息安全学 界比较公认的说法，主要包括： 1 ) 实体安全：就是保护计算机设备、网络设备以及其他通信与存储介质免受 地震、水灾、火灾、有害气体和其他环境事故( 如电磁污染) 破坏的措施 和过程： 2 ) 运行安全：就是保障系统功能的安全实现，提供一套安全措施( 如风险分 析、审计跟踪、备份与恢复、应急措施) 来保护信息处理过程的安全； 3 ) 数据安全：就是防止信息资源被故意地或者偶然地非授权泄漏、更改、破 坏、或者使信息被非法系统辨识、控制和否认，即确保信息的保密性、完 整性、可用性、可控性和不可否认性。 4 ) 管理安全：就是通过信息安全相关的法律法令和规章制度以及安全管理手 段，确保系统安全生存和运营8 。 6 钟义信，信息科学原理( 第3 版) 。北京邮电大学出版社2 0 0 2 7 沈昌祥，信息安全工程导论。电子工业出版社2 0 0 3 o 王代潮，曾德超，刘岩，信息安全管理平台理论与实践。电子工业出版社2 0 0 7 我国高新技术企业信息安全管理风险和对策研究 北京邮电大学硕士学位论文 第1 6 页共5 7 页 总之，随着信息技术和应用的不断深入，信息安全的内涵也在不断的延伸， 从最初的信息保密性扩展到“攻( 攻击) 、防( 防范) 、测( 检测) 、控( 控制) 、 管( 管理) 、评( 评估) 一等多方面的基础理论和实施技术， 2 1 信息安全风险管理理论的发展过程9 信息技术作为推动社会发展最强有力的因素之一，己成为世界经济增长的重 要动力。而计算机网络在全球迅速普及，不仅极大地影响着人们的生活、学习和工 作方式，而且使国家政治、经济、军事及整个社会对基于网络的信息系统的依赖越 来越大。与此同时，信息系统的脆弱性将会对国家关键基础设施构成直接威胁。由 此可见，信息系统信息安全已成为国家安全的基础之一，是实现社会信息化和可持 续发展的基本保障、是生产力潜能能否成为现实的保障、是企业走向成功的重要基 石。 现代风险管理理论产生于西方资本主义国家，它是为制定有效的经济发展战 略和市场竞争策略而创造的一种理论、方法和措施。风险管理理论由于它的广泛适 用性，现已应用于各国社会与经济发展、国家建设、国家安全、公共安全和信息安 全诸多领域。风险管理理论应用于信息安全领域始于2 0 世纪6 0 年代。分析研究 信息安全风险管理的历史，探讨其发展趋势，必然能够更好地进行信息的安全管理、 决策。 2 1 1 世界信息安全风险管理发展历程 2 0 世纪6 0 年代，随着资源共享型计算机系统和早期计算机网络的出现，计 算机安全问题初步显露。1 9 6 7 年1 1 月，兰德公司、迈特公司( m i t i e ) 及多个科研 机构和企业接受美国国防科学委员会的委托，开始着手研究计算机安全问题。进行 了历时两年半的美国历史上第一次大规模的、主要对当时的大型机和远程终端的计 算机安全风险评估，并于1 9 7 0 年初出版了一个长达数百页的机密报告计算机安 全控制，该报告拉开了信息安全风险管理研究的序幕。 9 翟雪荣，刘志刚，卞春，信息系统信息安全风险管理的发展趋势分析。农业网