我最早做海軍裝備的時候,由於是潛艇裝備,所以對國家要簽署保密協議,研究所每個季度會發“保密費”,到了海軍基地,標語都是“敵特就在身邊,洩密就在瞬間”。去某些地方,還需要做政治審查。港澳通行證,簽證,護照,辦理起來都很麻煩,需要通過保密局審查。我從研究所離職的時候,還簽署了保密協議,半年內不能到外企、臺資企業就職。
為什麼需要這麼嚴格的審查和保密呢?因為軍事裝備的秘密是國家軍事的立足之本。例如我們原來負責監控潛艇的螺旋槳噪聲的,那麼這個噪聲的錄音,其實是非常重要的數據。如果洩露出去,豈不是給對立的國家建立目標識別的數據庫提供便利?把自己的軍事設備徹底暴露在對立方?
這是對於一個國家的保密制度。對於企業,是不是我們也這樣呢?其實也是一樣。一個公司的員工離職,如果帶走了公司的代碼、原理圖、PCB、用戶信息、甚至員工通信錄。實際上都是給這個公司帶來某種程度上的威脅。為了防止這種威脅,很多公司都有各種解決方案,先不說大公司,就是小公司,過年放假,把本地服務器硬盤拆回家的,公司上兩把鎖的,這種情況比比皆是。大公司的信息安全防範就更多了。
我在華為企業BG的市場部混跡的一年時間裡面,跑過建行、工行、一些證券公司、中石油、中石化等大公司,這些公司也有一些保密或者信息安全的措施,但是對於華為的信息安全來說,簡直是小巫見大巫。當時,我跟建行的朋友說:華為把信息安全的解決方案拿出來賣,會很有市場啊。因為當年華為防員工比防賊還嚴厲(現在為了信息互通和員工感受,有很大的改善。)
華為的信息安全,首先是人的防護,對大家都有信息安全的培訓,到處都有信息安全的標語。所以像我這樣華為出來的朋友也都很有信息安全的意識,如果發了什麼華為相關的文章或者文檔,一定說明出處,不是我從華為帶出來的,是在百度文庫上下載的。為了防止,華為公司起訴。(比較諷刺的是,防範這麼嚴密,為什麼百度文庫上會有華為的文檔?)
曾幾何時,當智能手機剛剛興盛的時候,華為的員工都是用功能機,因為功能機沒有攝像頭。防止員工用攝像頭拍攝電腦屏幕,把公司的內部文檔帶走。當攝像頭稱為手機標配的時候,華為員工不得不購買黑莓手機。華強北大量的黑莓翻新機,大多數應該都是賣給華為員工了。進出研發部門的時候,保安要檢查揹包,是不是包裡面有U盤、筆記本電腦、數碼相機、帶攝像頭的手機等等。到最後黑莓都買不著了,特別是華為自己也開始賣智能手機了,就不再管控“帶攝像頭的手機”了。
這部黑莓手機是多少華為員工的回憶。
第二層次是,硬件防護,華為的防護機箱應該不少朋友都有所耳聞,把PC機的屁股鎖上,沒法使用計算機的所有接口,也沒法打開機箱,只有通過鑰匙才能打開機箱。
第三層就是各種軟件防護了,監控每一臺PC機的數據,通過接口數據傳輸,輸入輸出的數據是否包含保密信息,另外通過權限設置軟件,控制一些文檔的查看權限。
除非申請權限,一般員工都是沒有上Internet的權限的。(還好華為比較大,內部網站的內容也足夠多,但是互聯網上強大的知識分享,是很難在公司裡面迅速的享受得到的)
曾經有個同事,通過網線跟示波器對接,通過網絡把數據傳輸到示波器上面,再通過示波器沒有封的接口,再導出數據。但是後臺數據監控到某一臺臺式機通過網絡傳輸大量涉密文件到其他未知IP。所以這個軟件監控的能力還是很強的。
從上面的情況看,信息安全是安全了,但是嚴重影響了工作效率。曾經有一次,我從內部的共享平臺(hi3ms)上面下載一份邏輯的設計文檔,下載之後有權限設置,我根本看不了。但是我在百度文庫上,找到一篇一模一樣的文檔。發現之後,我跟信息安全部門的同事聯繫,內部涉密文檔,為什麼可以在百度文庫上下載得到?這個算不算信息安全違規?
信息安全部門的同事答覆是:公司認為,如果不涉及設計文檔,只是知識共享,如果部分流出,並不影響公司經濟利益,並且有利於公司的正向社會影響力的話,不予以追究。
這件事情,我覺得是這個公司牛逼的地方,當發現問題的時候即使糾正。信息安全是保護了公司的利益,但是帶來的信息封閉,帶來的效率低下,帶來的小集體主義的問題,在信息爆炸時代,可能給公司帶來的是致命的傷害。而且在公司技術交流平臺上面禁止文檔設置權限。這也是明顯加強了信息互通,加強了知識共享的力度。
如何在信息安全和效率上面做權衡,也許是要做的事情。但是,防護畢竟只能防君子,不防小人。如何讓員工愛這個公司,才是企業該思考的問題。
閱讀更多 硬件十萬個為什麼 的文章
