每家公司都有影响自己业务的商业机密,如公司市场策略、生产过程、产品配方,甚至是公司领导的家庭号码和住址,这些敏感的信息都需要对公众和不相关的普通雇员保密。

       而这些敏感信息一旦泄漏,将会对公司的业务乃至声誉造成严重影响,因此保证公司机密数据的安全是公司一项重要任务,在实施时需要管理层和信息安全部门的仔细筹划和多方策略。
如何保护公司敏感数据?我们建议使用以下的技术和管理手段:
网络安全:
每个公司都需要适合的网络安全计划以保护机密文件不被非法攻击者所获得。除了采用一般的软件和硬件保护,你还可以使用密码来专门保护比较敏感的文件;由于密码可能被盗或者被人破解,还可以采取重要的信息保存在磁盘至少两个独立安全位置的策略,这样做能进一步提升这些信息的安全保护级别
无线安全:
如果无线网络不够安全,就可能为黑客提供进入你公司内部网络的机会,这样会将公司重要数据暴露在各种恶意攻击面前,如驾驶攻击、员工非法使用的不安全接入点和其它嗅探技术等。因此为了建立牢固安全的无线网络,可以应用WPAWPA WPA2)系统进行加密,也可以使用AirMagnet nc. Aruba Networks Inc等厂商提供的工具,可以帮助您快速检测到任何无线网络中存在的流氓设备。采取这样的步骤,可以记录公司周围无线网络存在的非法接入点,保证公司无线网络的安全。
驾驶攻击 Wardriving也称为接入点映射,这是一种在驾车围绕企业或住所邻里时扫描无线网络名称的活动。要想进行驾驶攻击你就要具备一辆车、一台电脑(膝上型电脑)、一个工作在混杂模式下的无线以太网网卡,还有一个装在车顶部或车内的天线。
文件加密:
       加密文件是一个非常简单的操作,加密后的文件只有拥有相关权限的用户才能访问,同时加密文件还能有效阻止非法用户进入文件。即使我们存有加密文件的电脑或磁盘被盗或丢失,其他人也很难对加密文件进行解密。目前较好的文件加密工具运营商和产品包括:PGP、代码开源工具TrueCryptDESlock+, FileLock T3 Basic Security
电子邮件加密:
       电子邮件的编写和传输就像写明信片并投递,即便你使用了SSL安全也不能高枕无忧,因为SSL仅仅能保证你和SSL服务器之间是加密安全的,但是,电子邮件通过Internet需要经过各种路由器和邮件中继服务器,能够捕获数据的节点实在太多了。
所以,真正安全的电子邮件保密技术需要满足如下几个原则:
       首先,得方便使用,不需要你懂得复杂的专业知识就能轻松使用; 另外,最好是使用GPG或者PGP这样的历经几十年的检验后被证明是不可破解的加密算法作为邮件的加密核心算法; 还有,要用一家值得信赖的安全公司的技术。 基于以上几点,您可以关注一下Gwebs.com的电子邮件加密新产品MailCloak 3.0 (官方已经放出消息,估计很快我们就能看到软件放出来免费下载了。
[url]http://blog.gwebs.com/index.php/2008/02/25/mailcloak-30-sneak-preview/[/url]),我参与测试过这个产品,在强烈的对比之下,你一定能感觉到这个系统的巨大优势和价值。这是一个老百姓都可以轻松使用起来的隐私保护软件。
设备控制:
内部人员可能会利用移动硬盘、USB设备、移动电话和媒体播放器等移动存储设备盗取企业的商业机密和敏感数据。为了阻止这种事情的发生,你可以在公司电脑卸掉或者用胶类封住USB接口和FireWire端口
文件追踪:
       所有机密和敏感的文档只能通过具有文档追踪功能的应用软件进行访问,使用带有这种功能的应用程序,公司就可以准确追踪到文档处理的每个阶段:如谁在看某一特定文件,查看文档的日期和时间以及是否做修改过文档等。
物理安全:
公司与业务相关的核心机密不应该储存在网络服务器、桌面或笔记本电脑上。很多公司都会将公司重要数据保存在银行金库中,只允许很少的个人可以查看。公司保险箱或者上锁的房间都可以起到银行金库的作用。存放在保险箱或银行内的文件一般不容易被贼或者图谋不轨的雇员所盗取。不过要记住,拷贝同样一份的文档放在另外的地点,是防止公司保密文档由于自然灾害或人为事件而遭破坏的好主意。

公司政策规定
       公司需要制定安全/隐私政策和确定相关责任,并告知公司员工和商业合作伙伴。通过双方签订保密协议来实施安全方针也是一个不错的主意,这样签署协议的人就可以依法保护某些信息的安全,保证不泄露给第三方。

         总之,我们应该意识到这一点:一旦秘密泄露,将永远不再是秘密。