企业方面遇到的安全隐患更为严重，最近几年大量病毒、蠕虫邮件在网络中传播，尤其是局域网用户机器被种植木马程序，服务器崩溃，导致敏感、机密信息数据泄露。在此等防火墙无法有效抵御侵袭的严峻形势下，新生代加密软件——大狼狗应育而生。

   技术在进步，病毒种类也在不断变异，大狼狗加密软件首创“安全文件夹”功能，不仅上手简单易用、普通文件夹升级为自动加密的安全文件夹，其内容加密并能防止非授权访问与恶意删除，为用户创造一个属于自己的“保险箱”。

   保险箱固然保险，但对企业用户而言就并非无懈可击，许多公司都曾出现过高层向竞争对手泄秘以获取高额利益。全球最大的碳酸饮料制造商《可口可乐》公司将产品秘方存放在银行保险箱里，想取出秘方必须满足一个条件——三个指定加密人必须同时到场方可取得，大狼狗将世界级加密技术“数字信封”带到了自己的软件中来，加密后的数据可指定一个或多个解密人，当条件同时满足方可解密，真正确保用户无后顾之忧。

    使用大狼狗加密后安全性极高，几乎达到了文件加密安全性的颠峰，任你是多高明的黑客都无法解开！另外它与系统的结合堪称天衣无缝，您电脑中任意一个文件夹只需点击右键即可加密，设置运行密码，被加密的软件只允许您一人使用，最后强大的防删除功能可以让那些恶意破坏者无从下手。

  您需要一个正式的PC安全计划，此计划要简单易懂，并能得到员工的支持和协助执行。

   下面是安全计划一部分的5个基本要素。

   1.使用密码保护

   使用密码保护文件可以确保只有获得授权的用户才能打开数据文件。您的操作系统通常内置有密码保护系统，大多数的应用软件（包括 Microsoft Office）都让您利用密码保护文件和文件夹。

  2.选择有创造性的密码

   配偶、孩子或宠物狗的名字都不能作为密码使用。原因是：办公室里的人们都知道他们的名字，并且会猜到您会用它们作为密码。这一原则同样适用于生日、街道地址、最喜欢的乐队或歌手，以及其他可能会与您联系到一块的词语。另外，要记住，密码要由数字和大小写字母混合组成，并且要经常变更，这样的密码破解起来才比较困难。通过向公司中的所有人提供如何创建密码、何时更改以及怎样保护文件和文件夹的指南来推动密码的使用。

  3.加密

   保护企业PC上的“贵重”信息的一种方法是对数据进行加密。加密软件将数据转换为一串乱码，只有使用正确的软件密钥才能解密。加密软件通常用于限制用户对财务和客户清单等高度机密文件的访问权，以保护在办公室外使用笔记本电脑的安全，以及隐藏最机密的电子邮件。

 4.不要暴露数据

   象鼓励员工在离开办公桌之前关闭文件等一些简单的措施可以降低PC的安全风险。没有这些预防措施，午餐休息时间也能让任何经过办公室的人员看到PC中打开的文件。可通过制订要求员工关闭不使用的所有文档的制度来提高PC的安全。

 5.限制使用笔记本电脑

   使用笔记本电脑可以提高效率，但如果没有采取合适的预防措施的话，它也会威胁到企业安全。鼓励所有远程工作人员在外面保持安全意识，当他们在公共场所（如咖啡店和飞机上）处理机密文档时，要使用小字体。如果您的职员使用公共技术资源，则要向他们说明如何确保文档存储在笔记本电脑的硬盘上，而不是存储在原来的计算机中。加密也可以保护在办公室之外使用的笔记本电脑的安全。如果被盗的笔记本电脑上使用了加密软件，那么盗贼将无法打开存储在其中的文档。

   专家建议：要学会加密数据的电脑使用习惯，用户一定要慎重保护自己的个人信息，安装专业的杀毒软件、防木马软件以及加密软件。目前市场上有“大狼狗加密专家”和“PGP”两款采用国际标准算法的加密软件，由于采用商密级的非对称加密技术，使得文件被破解或非法获取的可能变得微乎其微，鉴于目前送修电脑泄密等事件频发等现象，对隐私文件加密，是保护个人隐私的最好方法。

一、文件夹加密的方式有几种？
　　在Windows平台下，文件夹加密的方式归纳起来有两种：
　　一种是简单地对文件夹进行各种方式的隐藏，甚至利用Windows的漏洞进行隐藏，这种软件根本就没有对数据进行任何加密处理，所以才宣称“加密速度极快，上百G的数据仅需1秒钟完成。没有大小限制。”但是，这种文件夹加密方式的加密效果极其脆弱，只能防范一些电脑菜鸟偷看你的资料。因为软件编写者利用了Windows的漏洞，而这些漏洞对于一个稍微有点电脑知识的人，完全是常识，他们最多在3分钟之内不要密码即可找出你的所有“加密”文件夹！（至于怎么手工解密后面再详细说明）。市面上我观察了一下，什么《高强度文件夹加密大师》，什么《加密金刚锁》，什么《电脑万能锁》之类的软件，都是属于这种垃圾软件。凡是宣称一秒钟之内加密多少个G数据的软件都是属于吹牛不脸红的那种！一句话，这些软件不但没有任何使用价值，还会极大地威胁你的数据安全！！！使用这些软件就好比把你的重要文稿放在熊熊燃烧的火炉边，稍有不慎，火苗就会把你的心血吞噬！

　　另一种是利用WIndows内核的文件操作监控来对文件和文件夹进行安全保护。这是目前最优秀，最安全的加密方式。这方面的代表软件是国产的大狼狗加密专家和美国的PGP加密软件。这两种软件的核心思想是利用逻辑分区保护文件，比如，逻辑分区E：是受大狼狗和PGP保护的硬盘分区，那么，每次打开这个分区的时候，需要输入密码才能打开这个分区，在这个分区内的文件是绝对安全的。不再需要这个分区时，可以把这个分区关闭并使其从桌面上消失，当再次打开时，需要输入密码。没有密码，软件开发者本人也无法解密！目前大狼狗加密专家和PGP是最流行的文件夹加密软件。它的源代码是公开的，经受住了成千上万顶尖黑客的破解挑战，事实也证明了大狼狗加密专家和PGP是目前世界上最安全的加密软件。但是PGP有个缺点是目前还没有中文版，而且正版价格极其昂贵。因为PGP技术是美国国家安全部门禁止出口的技术。汉化中文版的PGP我还没有发现过。所以现在最好最实惠的文件夹加密软件是大狼狗加密专家。

  二、文件夹隐藏骗术大揭秘
　　国内有些共享软件，绝大部分都是一些编程菜鸟搞出来糊弄比他们更菜的菜鸟的。就拿那款让我和我爱人捶胸顿足的共享软件《高强度文件夹加密大师》来作为例子说明吧。（以下简称《文件夹加密大师》）比如我在C:\下有一个文件夹Data。Data内部还有许多重要的文件。很自然，我想对Data加密，我希望加密后的Data在双击打开它的时候会要求输入密码，否则打不开。用《文件夹加密大师》加密，并且输入了初始密码。Data文件夹不见了，取而代之的是另一个名叫Data.mem的文件用另外一种图标显现在原位置。真正的Data文件夹被移动到了C盘的回收站中，即C:\Recycled\下面，而且用了一些特殊字符作为文件名存储。在回收站中的文件夹在资源管理器中看不见，在DOS下也看不见，但是如果知道目录名，仍然可以进去。

   《文件夹加密大师》用了两个技巧：1），采用了空白文件夹名，使我们不能轻易地用CD命令进入，可以手工或编程对文件夹重命名，之后便可随便进去。2），采用了特殊文件名，使我们不能在资源管理器和DOS下轻易地删除这个文件夹，但用编程的方法可以轻易删除这个文件夹！这两个技巧我现在看来简直是在对共享软件用户犯罪！！！因为很多优化软件会定期强制删除回收站以节省空间，只要回收站被强制删除，你的所有数据都烟消云散了，我爱人的数据就是这样永久丢失的！！！现在想来仍然对此类垃圾软件充满刻骨的仇恨！！！不信大家可以试一下：只要把加密文件夹所在的分区的回收站移动一个位置，解密就一定出错！！！把回收站放回原来的位置，解密就会成功。呵呵，真是弱智呀！！！想不到世上居然还有这样开发软件来骗钱的！！！把用户的数据安全视同儿戏！！！要是用户不小心删除了回收站，后果之严重可能只能用“欲哭无泪”四个字来形容！！！

  三、对用户的强烈建议
　　凡是加密之后，多出几个回收站图标的软件，或者删除（移动了）回收站就无法解密的软件，一律是垃圾软件，有百害而无一利，完全可以认为是病毒，一定要除之而后快，否则贻患无穷！选择文件夹加密软件一定要采用PKI加密原理和加密方式的软件。最好使用大狼狗加密专家和PGP原版软件。

 2：良好的上网习惯，不去小网站浏览和下载东西，哇嘎之类的涉黄软件不安装，下载用迅雷5还有卡巴斯基下载安全组件，下载安全放心。

 3：所有软件全采用正版，除了办公软件是联想预装的盗版没办法，我电脑上所有的软件全为正版，为此付出的大量钞票无怨无悔！只有这样，我国的正版事业才会健康蓬勃的发展起来，才能超印赶美！

 4：安全软件搭配：现在的病毒木马越来越猖獗，单一防病毒软件已经不能阻挡住其进攻了。所以在不拖慢系统速度的前提下，合理搭配自己安全软件是个不错的主意。大家看看我的配置：

  卡巴斯基互联网安全套装最新版 + AVG7.5 + 天网防火墙 +大狼狗加密专家+木马克星以及360安全卫士

  这些软件的使用：

  开着卡巴、天网和AVG的实时监控，木马克星2007过两天拿出来升升级，因为AVG7.5有时对国内木马也不敏感（当然这是很少的情况），360安全卫士也是如此。

  及时升级病毒库也是我上网的一个良好习惯，因为卡巴是一小时升级一次，所以我每次开机前或者是使用了一会就会手动升级，当然也会自动升级的。

  要学会有加密数据的电脑使用习惯，大狼狗加密专家让我对其自己的重要和隐私文件进行加密，那样我的信息就不会泄密了。

 5：使用U盘时，先把系统的自动播放关闭，再用升级到最新病毒库的卡巴扫描，再用AVG7.5扫描，确保双保险！

 6：使用优化大师2007定期清理系统垃圾文件以及一个月整理一次磁盘碎片。

 7：使用QQ上网聊天，不点击对方发过来的网址和数据包。

 8：我不在家，妹妹用我的电脑上网，我事先把怎样安全上网写个字条贴在她目所能及最明显的地方！

 9：遇到电脑高手，谦虚的向人请教、学习，上一些学习电脑知识的网站充实自己，因为我不能被病毒击倒，我周围的朋友电脑水平更菜，所以求人不如求己，当然也不会少麻烦百度知道上这么多的热心网友！

 10：使用Firefox浏览器2.0.0.7和遨游2.0正式版上网，虽然我也有IE7.0，Firefox浏览器以其较少的系统资源占用和个性实用的功能，以及良好的安全性深受我的喜爱。但是升级到最新版之后资源占用要比以前高很多了，不过还可以承受。

  加密系统

   现在有几种电子邮件加密方法。端到端的加密是从源设备到接收设备的完全加密。这种方法通过禁止插入点而提供最高级的安全，因为在这些插入点上纯文本数据就可以被任何人读取。其缺点是这种模式实施和管理方面也是最为复杂的。这种复杂性主要来源于这样一个事实：加密软件必须要安装在端点上并进行维护，端点必须与客户端的电子邮件阅读软件相集成。

   网关到端点的加密是一种简化的加密，它提供了从发送方网络内的网关系统到接受端点的完全加密。在这种方案中，消息以纯文本的形式从发送方的桌面发出，并在相对邻近于电子邮件服务器的网关上进行加密。这种模式取消了对任何加密软件的需要，或者取消了发送方的干预。

   另外一种加密方法是网关到网关的加密。这种方法就像网关到端点的加密，不过它在收受方一端增加一个加密网关，从而也就无需桌面软件和管理成本。

   最后，还有一种网关到Web的加密，可以通过一个Web服务器提供对敏感数据的访问。数据通常是通过传输层加密来加以保护的，如使用加密套接字协议层（Secure Sockets Layer (SSL)）。这就保证了与任何接收方的通信安全，而不管其架构或复杂水平。

  在这种方案中，一个标准的消息被发往接受端，并通知： 有一个安全消息正在网关处等待。接收方通过一个安全连接找到这个消息，这需要通过由out-of-band机制提供的机密信息进行身份验证。

  PGP加密

  PGP提供了几种安全而简单的电子邮件加密方法。PGP Universal Server使得组织能够控制用户的部署和密钥的管理，增强策略，以及对一个或多个加密应用程序进行集中报告，并可以实现自动化。公司可以从一个简单的加密应用开始，然后在企业中逐步强化其应用，并将其扩展到客户和合伙人。随着新的系统的加入，这个应用不断扩充并与现有的架构能够轻易地集成。PGP Universal Server能够自动创建用户账户，管理用户密钥，对应用程序提供策略更新，软件安装的更新，并可以对其记录和监视。

  PGP Universal所管理的PGP Desktop Professional提供辅助作用，共同保障邮件系统、存储在磁盘上的数据和AIM通信的安全，还提供数字签名特性。

  PGP的整个磁盘加密技术（PGP Whole Disk Encryption）用于完整的磁盘加密，保障全部的数据安全，包括不被重视的临时文件、交换文件以及其它包含敏感数据的文件。因此我们建议那些成长中的企业，或者需要更高的带宽和安全性的企业升级最好升级到PGP Universal Series，这是一个强健的可升级的电子邮件加密平台。

  一个Windows下的PGP Desktop Email永久性许可证大约需要花费149美元。

 大狼狗安全邮件专家

   大狼狗安全邮件专家是国内领先的专为计算机终端用户设计的一套邮件加密系统。采用国际标准的高强度PKI加密技术，能有效保护邮件内容泄露，防止敏感信息外泄而带来的损失与不便。

  授权解密

  大狼狗安全邮件专家针对收件人进行加密，邮件发出后只有收件人（包含抄送、密送）才能够解密邮件，并且无需为邮件设置密码。

  附件、多媒体加密

  大狼狗安全邮件专家不仅能对邮件的正文加密，还能对邮件的附件、邮件中的图片、音乐等多媒体格式进行加密。

   广泛选择

   在这里给大家提出一些关于电子邮件加密的建议： 电子邮件加密的难点是选择一个能够适应企业不断成长和变化的方案。电子邮件架构也会由于那些非电子邮件应用程序对加密服务的要求而得以推动。对于一个公司来说，不仅对电子邮件而且对包含敏感数据的文件采用最高级别的保护加密都是至关重要的。如果敏感数据暴露给那些未授权的人员，其结果将是高昂的破坏性的倒退。

  据调查，大约有84%的高成本安全事件的发生是由于内部人员将机密信息在没有适当加密的情况下发送到了公司的外部。

  不同的公司有不同的需要，因此应在决定实施一项安全方案之前评估其自身的风险。此外，为了与其不断变化的规章制度相适应，一家企业经常审计其安全程序、过程、技术是极其重要的。

   一、轻信：这里的轻信不仅指轻信别人，还可以指以下几种情况：轻信某种品牌，如认为有了某种防病毒软件系统就不可能感染病毒；轻信某种并不信任用户的安全系统；轻信自己的判断能力，过度相信自己构建的安全措施的绝对可靠。这些都是安全性的大敌。要记住，安全是相对的。

   二、无知：这与上一条有相通之处。正是因为无知才容易轻信。我们多数人可能知道模糊性并非安全性。这并不是说我们并不设法将模糊性用作安全性，有时我们甚至并不知道我们所做的事情。一个很现实的例子就是我们对谷歌和雅虎的索引Flash内容效果的认识。这种索引表明，许多敏感信息都被天真地编码进入了Flash对象中，这就有可能被一些深谙此道的人所利用。许多人创建了安全过滤，却没有认识到他们实际上是在依靠模糊性而非安全性。许多情况下，问题就在于用户并没有真正理解所使用的技术，他们认为固若金汤的一些东西有时只不过是对某种技术的模糊认识。因此，请不要再犯同样的错误。请努力地理解你所使用的技术的真正含义，拒绝模糊！

   三、不安全的邮件。有些人通过电子邮件发送企业的秘密资料，有些网站提供通过电子邮件恢复口令的方法。可想而知，如果这些邮件没有加密，那么你就是在将密码交给想得到它们的任何人。因此，请为你的邮件传输加密！但是，简单的加密就安全吗？ 请采用高强度PKI加密技术。

   四、不安全的加密。不要以为加密就是治愈安全病的灵丹妙药，它也有可能是不安全的。为了让OpenPGP加密可用，并且能够保护通信，你必须能够解密所收到的任何加密消息。为了保障它的安全性，你必须保持私钥的私密性，以及密码短语的私密性。如果你维护私钥的计算机没有得到恰当的安全保护，如果你加密和解密的消息的计算机并没有采取恰当的安全保护措施，那么你的加密的安全性又从何谈起呢？有些系统比其它系统更容易遭受安全破坏，从而损害用户私钥的安全性。如非授权的访问可能准许某人将你的私钥复制下来，并对你的密码短语发动一种离线的强力攻击，而键盘记录程序可以在用户键入密码短语时捕获之。更糟的是，在你用别人的计算机进行加密时，你对拥有管理员访问权的人员所设置的安全措施知之甚少，甚至不知道这些安全措施是否值得完全相信。从根本上说，如果你的加密密钥不太强健的话，那么你最好不要通过纯文本通信。至少你应当知道，如果是通过纯文本通信的话同，这种通信是否可以防护在线窃听。

   五、明知不可为而为之。这可不是一句赞美的话，笔者的意思是要劝你认识到应当明智地选择自己的战斗。不要打一场不可能赢的战争。不要将大量的精力耗费在不可能有效保护的东西上。如果保障不可能安全的东西是你的企业模式中的必须做的事情，那么你可能需要重新思考一下这种企业模式，不仅仅是因为这样一种企业模式中的固有缺陷，而且因为你用以保障不可能安全的所有努力都从保障所有其它方面的措施中转移而来。企业应当将有限的时间和金钱用在可实现的东西上！

   前面说过，这五个方面并不是一个完整的列表。但你可以用这五个方面对照检查自己的企业，不要犯这些错误，绝非危言耸听。好好考虑一下，虽然这些问题未必出现在你的企业身上，但你可以考虑笔者遗漏的其它方面。面对日益严重的威胁，你不但应当像黑客一样思考，还应当学会像一个安全专家一样思考。因为一些看似无关紧要的动作可能引起不可预知的灾难。三思而后行！

   无独有偶。4月24日，罗马尼亚softpedia网站也发表文章，提到黑客正在把目光对准北京奥运会。文章称，随着北京奥运会的临近，运动员和黑客们都开始为奥运会作准备。而一家电脑技术公司已经检测到13种以奥运为题的恶意电子邮件。和以往的恶意邮件不同，这类邮件是要在阅读者的计算机上安装一些恶意软件，然后利用恶意软件执行其他恶意指令。

  “黑客们可能正在等待机会，选择在奥运期间攻击中国的网站，那个时候任何意外事件都会产生最大的公众效应。”《个人计算机世界》分析说。

 专家点评：

   随着北京奥运会的逼近，奥运会一直都是很多黑客希望借以“一举成名”的舞台。选择在奥运期间攻击中国的网站，那个时候任何意外事件都会产生最大的公众效应。

   专家建议，第一：邮件安全在奥运会起到非常大的作用，要有效降低敏感信息泄露的风险，现阶段，通过PKI（公钥基础设施）进行公钥加密是传递加密信息的最优方法。大狼狗安全邮件专家是由国内领先的专业信息安全厂商吉大正元公司出品的邮件加密软件，是采用高强度PKI加密技术，可以有效解决邮件传输中的各种泄密问题！

  第二：其次要安装专业杀毒软件，及时升级，防止木马病毒侵入窃取邮箱密码。

  最后，也是最关键的一点——防患未然，即采用专业的软件工具。当前网络病毒防不胜防，且多为“披着羊皮的狼”。电脑用户在增强安全防患意识的同时，还应增强信息资料的安全保护屏障。专家在此推荐大狼狗加密专家，这款软件可以有效地保护电脑内的重要资料，为您的电脑再加一把“锁”。

   如此重要的信息，可能在老板的大脑里、公司电脑里、一个打印稿的背面，甚至在一个垃圾筐里。随时都有泄漏的可能，泄漏的结果轻则使公司蒙受损失，重则毁灭公司。

   当你读这篇文章的时候，全世界又有2个企业因为信息安全问题倒闭，有11个企业因为信息安全问题造成大概800多万的直接经济损失。中国财富通过对100个经理人的调查总结30个致命细节，让您5分钟快速成为信息安全专家。

   1、 打印机——10秒延迟带来信息漏洞  即使是激光打印机，也有10秒以上的延迟，如果你不在第9秒守在打印机的旁边，第一个看到文件的人可能就不是你了。大部分的现代化公司都使用公用的打印机，并且将打印机、复印机等器材放在一个相对独立的空间里。于是，部门之间的机密文件就可以从设备室开始，在其他部门传播，当部门之间没有秘密，公司也就没有秘密了。

   2、 打印纸背面——好习惯换取的大损失  节约用纸是很多公司的好习惯，员工往往会以使用背面打印纸为荣。其实，将拥有这种习惯公司的“废纸”收集在一起，你会发现打印、复印造成的废纸所包含公司机密竟然如此全面，连执行副总都会觉得汗颜，因为废纸记载了公司里比他的工作日记都全面的内容。

   3、 电脑易手——新员工真正的入职导师  我们相信，所有的职业经理人都有过这样的经历:如果自己新到一家公司工作，在自己前任的电脑里漫游是了解新公司最好的渠道。在一种近似“窥探”的状态下，公司里曾经发生过的事情“尽收眼底”，从公司以往的客户记录、奖惩制度、甚至你还有幸阅读前任的辞呈。如果是其他部门的电脑，自然也是另有一番乐趣。

   4、 共享——做好文件 再通知窃取者  局域网中的共享是获得公司内部机密最后的通道。有的公司为了杜绝内部网络泄密，规定所有人在共享以后一定要马上取消。实际上越是这样，企业通过共享泄露机密的风险越大。因为当人们这样做的时候，会无所顾及地利用共享方式传播信息，人们习惯的方式是在开放式办公间的这边对着另一边的同事喊:“我放在共享里了，你来拿吧——”，没错，会有人去拿的，却往往不只是你期望的人。

   5、 指数对比——聪明反被聪明误  在传统的生产型企业之间，经常要推测竞争对手的销售数量、生产数量。于是，人们为了隐藏自己的实际数量，而引入了统计学里的指数，通过对实际数量的加权，保护自己的机密信息。唯一让人遗憾的是，通常采取的简单基期加权，如果被对方了解到几年内任何一个月的真实数量，所有的真实数量就一览无余地出现在竞争对手的办公桌上了。

   6、 培训——信息保卫战从此被动  新员工进入公司，大部分的企业会对新员工坦诚相见。从培训的第一天开始，新员工以“更快融入团队”的名义，接触公司除财务以外所有的作业部门，从公司战略到正在采取的战术方法，从公司的核心客户到关键技术。但事实上，总有超过五分之一的员工会在入职三个月以后离开公司。同时，他们中的大部份没有离开现在从事的行业，或许正在向你的竞争对手眉飞色舞地描述你公司的一草一木。

   7、 传真机——你总是在半小时后才拿到发给你的传真 总有传真是“没有人领取”的，每周一定有人收不到重要的传真；人们总是“惊奇地”发现，自己传真纸的最后一页是别人的开头，而你的开头却怎么也找不到了。

   8、 公用设备——不等于公用信息  在小型公司或者一个独立的部门里，人们经常公用U盘、软盘或手提电脑。如果有机会把U盘借给公司的新会计用，也就有可能在对方归还的时候轻易获得本月的公司损益表。

   9、 摄像头——挥手之间断送的竞标机会  总部在上海的一家国内大型广告公司，在2004年3月出现的那一次信息泄露，导致竞标前一天，广告创意被竞争对手窃取，原因竟然是主创人员的OICQ上安装了视频，挥手之间，断送的或许并不仅仅是一次合作的机会。

  10、 产品痕迹—— “痕迹”了解你的未来  在市场调查领域，分析产品痕迹来推断竞争对手行销效果和行销策略是通用的方法。产品的运输、仓储、废弃的包装，都可以在竞争对手购买的调研报告中出现，因为“痕迹分析”已经是商业情报收集的常规手段。

  11、 压缩软件——对信息安全威胁最大的软件   ZIP、RAR是威胁企业信息安全最大的软件。3寸软盘的存储空间是1.4M，压缩软件可以让大型的WORD文件轻松存入一张软盘，把各种资料轻松带出公司。

  12、 光盘刻录——资料在备份过程中流失  如果想要拿走公司的资料，最好的办法是申请光盘备份，把文件做成特定的格式，交给网络管理员备份，然后声称不能正常打开，要求重新备份，大多情况下，留在光驱里的“废盘”就可以在下班后大大方方带出公司。

   13、 邮箱——信息窃取的中转站  利用电子邮件转移窃取的公司资料占所有信息窃取的八成以上。很多企业不装软驱、光驱、USB接口，却没有办法避免员工通过电子邮件的窃取信息，相比之下，以上方法显得有些幼稚、可笑。“大狼狗安全邮件专家”是由国内领先的专业信息安全厂商【吉大正元】公司出品的邮件加密软件，采用高强度PKI加密技术，可以有效解决邮件传输中的各种泄密问题！

   14、 隐藏分区——长期窃取公司资料必备手法  长期在公司内搜集资料，用来出售或保留，总是件危险的事情。自己的电脑总是不免被别人使用，发现电脑里有不该有的东西怎么行。于是隐藏在硬盘分区就成了最佳选择，本来有C、D、E三个虚拟分区，可以把E隐藏起来，只有自己可以访问。当然，如果遇到行家，合计一下所有磁盘的总空间，可就一定露馅了。

   15、 私人电脑——大量窃取资料常用手段  压缩软件的作用毕竟是有限的，如果把自己的笔记本电脑拿到单位来，连上局域网，只要半小时，就是有1个G的文件也可以轻松带走。

   16、 会议记录——被忽视的公司机密   秘书往往把会议记录看得很平常，他们不知道一次高层的会议记录对于竞争对手意味着什么，公司里经常可以看见有人把会议记录当成废纸丢来丢去，任由公司最新的战略信息在企业的任何角落出现。

   17、未被采纳的策划案——放弃也是一种选择 策划人员知道被采纳的策划是公司机密，去往往不知道被放弃的策划也是公司机密。有时还会对客户或媒体谈起，而竞争对手可以轻松判断:你没有做这些，就一定选择做了那些!

   18、客户——你的机密只是盟友的谈资 经常可以在网络上看到著名咨询公司的客户提案，这些精心制作的PPT，凝聚了咨询公司团队的汗水和无数个不眠之夜，在一些信用较差的客户手里可能只是一些随意传播的谈资。

   19、招聘活动——你的公司竟然在招聘总监? 在招聘过程中，成熟的企业不会把用人的单位登在一张广告里，因为那无异于告诉你的竞争对手；刚刚发生过人力震荡，人力匮乏。

   20、招标前两分钟——最后的底价总是在最后“出炉” 如果投标的底价内部公开越早，出现泄露的风险越大，在招标开始前两分钟，面对关掉手机的参会者，可以公布底价了!

   21、解聘后半小时——不要给他最后的机会  如果被解雇的员工是今天才得到这个消息，那么，不要让他再回到他的电脑旁。半个小时的时间，刚好可以让他收拾自己的用品，和老同事做简短的告别，天下没有不散的筵席，半小时足够了，为了离职员工的清白，更为了信息安全。

   22、入职后一星期——新人在第一个星期里收集的资料是平时的5倍 只有在这一个星期里，他是随时准备离开的，他时刻处在疯狂的拷贝和传送状态，提防你的新员工，无论你多么欣赏他。

    23、合作后半个月——竞争对手窃取情报的惯用手法是：假冒客户  在初次合作的半个月里，你对信息安全的谨慎只能表明企业做事的严谨，可以赢得大部分客户的谅解和尊敬。除非，他是你的竞争对手。

    24、离职后30天——危险来自公司以外  一般情况下，一个为企业服务半年以上的员工，离职后30日之内会和公司现有员工保持频繁的联系，并且对公司的资料和状况表现出极度的热情。如果是被限时离开，那么，在离职30天内通过老同事窃取公司信息的可能性就更大。

   25、明确对外提案原则——能不留东西的就不给打印稿，能不给电子档的就尽量给打印稿，能用电子书就不用通用格式。

   26、保密协议——无论作用大小，和员工签定清晰的保密协议还是必要的  无规矩不成方圆，明确什么是对的，人们才可以杜绝错的。保密协议的内容越详细越好，如果对方心胸坦白，自然会欣然同意。

   27、责任分解——明确每个人对相关信息的安全责任  所有的机密文件如果出现泄露，可以根据规定找到责任人，追究是次要的，相互监督和防范才是责任分解的最终目的。

   28、设立信息级别——对公司的机密文件进行级别划分  比如合同、客户交往、股东情况列为一级，确定机密传播的范围，让所有人了解信息的传播界限，避免因为对信息的不了解而导致的信息安全事故。

   29、异地保存——别把鸡蛋放在同一个篮子里  所有备份资料尽量做到异地保存，避免因为重大事故(如:火灾、地震、战争等)对企业信息带来致命的打击。

   30、认为自己的企业在信息安全上无懈可击。

   目前的局域网基本上都采用以广播为技术基础的以太网，任何两个节点之间的通信数据包，不仅为这两个节点的网卡所接收，也同时为处在同一以太网上的任何一个节点的网卡所截取。因此，黑客只要接入以太网上的任一节点进行侦听，就可以捕获发生在这个以太网上的所有数据包，对其进行解包分析，从而窃取关键信息，这就是以太网所固有的安全隐患。

　A.局域网安全

  事实上，Internet上许多免费的黑客工具，如SATAN、ISS、NETCAT等等，都把以太网侦听作为其最基本的手段。

  当前，局域网安全的解决办法有以下几种：

  1.网络分段

   网络分段通常被认为是控制网络广播风暴的一种基本手段，但其实也是保证网络安全的一项重要措施。其目的就是将非法用户与敏感的网络资源相互隔离，从而防止可能的非法侦听，网络分段可分为物理分段和逻辑分段两种方式。

   目前，海关的局域网大多采用以交换机为中心、路由器为边界的网络格局，应重点挖掘中心交换机的访问控制功能和三层交换功能，综合应用物理分段与逻辑分段两种方法，来实现对局域网的安全控制。例如：在海关系统中普遍使用的DEC MultiSwitch 900的入侵检测功能，其实就是一种基于MAC地址的访问控制，也就是上述的基于数据链路层的物理分段。

  2.以交换式集线器代替共享式集线器

   对局域网的中心交换机进行网络分段后，以太网侦听的危险仍然存在。这是因为网络最终用户的接入往往是通过分支集线器而不是中心交换机，而使用最广泛的分支集线器通常是共享式集线器。这样，当用户与主机进行数据通信时，两台机器之间的数据包(称为单播包Unicast Packet)还是会被同一台集线器上的其他用户所侦听。一种很危险的情况是：用户TELNET到一台主机上，由于TELNET程序本身缺乏加密功能，用户所键入的每一个字符(包括用户名、密码等重要信息)，都将被明文发送，这就给黑客提供了机会。

   因此，应该以交换式集线器代替共享式集线器，使单播包仅在两个节点之间传送，从而防止非法侦听。当然，交换式集线器只能控制单播包而无法控制广播包(Broadcast Packet)和多播包(Multicast Packet)。所幸的是，广播包和多播包内的关键信息，要远远少于单播包。

 3.VLAN的划分

   为了克服以太网的广播问题，除了上述方法外，还可以运用VLAN(虚拟局域网)技术，将以太网通信变为点到点通信，防止大部分基于网络侦听的入侵。

   目前的VLAN技术主要有三种：基于交换机端口的VLAN、基于节点MAC地址的VLAN和基于应用协议的VLAN。基于端口的VLAN虽然稍欠灵活，但却比较成熟，在实际应用中效果显著，广受欢迎。基于MAC地址的VLAN为移动计算提供了可能性，但同时也潜藏着遭受MAC欺诈攻击的隐患。而基于协议的VLAN，理论上非常理想，但实际应用却尚不成熟。

   在集中式网络环境下，我们通常将中心的所有主机系统集中到一个VLAN里，在这个VLAN里不允许有任何用户节点，从而较好地保护敏感的主机资源。在分布式网络环境下，我们可以按机构或部门的设置来划分VLAN。各部门内部的所有服务器和用户节点都在各自的VLAN内，互不侵扰。

   VLAN内部的连接采用交换实现，而VLAN与VLAN之间的连接则采用路由实现。目前，大多数的交换机(包括海关内部普遍采用的DEC MultiSwitch 900)都支持RIP和OSPF这两种国际标准的路由协议。如果有特殊需要，必须使用其他路由协议(如CISCO公司的EIGRP或支持DECnet的IS-IS)，也可以用外接的多以太网口路由器来代替交换机，实现VLAN之间的路由功能。当然，这种情况下，路由转发的效率会有所下降。

   无论是交换式集线器还是VLAN交换机，都是以交换技术为核心，它们在控制广播、防止黑客上相当有效，但同时也给一些基于广播原理的入侵监控技术和协议分析技术带来了麻烦。因此，如果局域网内存在这样的入侵监控设备或协议分析设备，就必须选用特殊的带有SPAN(Switch Port Analyzer)功能的交换机。这种交换机允许系统管理员将全部或某些交换端口的数据包映射到指定的端口上，提供给接在这一端口上的入侵监控设备或协议分析设备。笔者在厦门海关外部网设计中，就选用了Cisco公司的具备SPAN功能的Catalyst系列交换机，既得到了交换技术的好处，又使原有的Sniffer协议分析仪“英雄有用武之地”。

  广域网

  B.广域网安全

   由于广域网大多采用公网来进行数据传输，信息在广域网上传输时被截取和利用的可能性就比局域网要大得多。如果没有专用的软件对数据进行控制，只要使用Internet上免费下载的“包检测”工具软件，就可以很容易地对通信数据进行截取和破译。

   因此，必须采取手段，使得在广域网上发送和接收信息时能够保证：

   ①除了发送方和接收方外，其他人是无法知悉的(隐私性);

   ②传输过程中不被篡改(真实性);

   ③发送方能确知接收方不是假冒的(非伪装性);

   ④发送方不能否认自己的发送行为(不可抵赖性)。

   为了达到以上安全目的，广域网通常采用以下安全解决办法：

   1.加密技术

   加密型网络安全技术的基本思想是不依赖于网络中数据通道的安全性来实现网络系统的安全，而是通过对网络数据的加密来保障网络的安全可靠性。数据加密技术可以分为三类，即对称型加密、不对称型加密和不可逆加密。

   其中不可逆加密算法不存在密钥保管和分发问题，适用于分布式网络系统，但是其加密计算量相当可观，所以通常用于数据量有限的情形下使用。计算机系统中的口令就是利用不可逆加密算法加密的。近年来，随着计算机系统性能的不断提高，不可逆加密算法的应用逐渐增加，常用的如RSA公司的MD5和美国国家标准局的SHS。在海关系统中广泛使用的Cisco路由器，有两种口令加密方式：Enable Secret和Enable Password。其中，Enable Secret就采用了MD5不可逆加密算法，因而目前尚未发现破解方法(除非使用字典攻击法)。而Enable Password则采用了非常脆弱的加密算法(即简单地将口令与一个常数进行XOR与或运算)，目前至少已有两种破解软件。因此，最好不用Enable Password。

   2.VPN技术

   VPN(虚拟专网)技术的核心是采用隧道技术，将企业专网的数据加密封装后，透过虚拟的公网隧道进行传输，从而防止敏感数据的被窃。VPN可以在Internet、服务提供商的IP、帧中继或ATM网上建立。企业通过公网建立VPN，就如同通过自己的专用网建立内部网一样，享有较高的安全性、优先性、可靠性和可管理性，而其建立周期、投入资金和维护费用却大大降低，同时还为移动计算提供了可能。因此，VPN技术一经推出，便红遍全球。

   但应该指出的是，目前VPN技术的许多核心协议，如L2TP、IPSec等，都还未形成通用标准。这就使得不同的VPN服务提供商之间、VPN设备之间的互操作性成为问题。因此，企业在VPN建网选型时，一定要慎重选择VPN服务提供商和VPN设备。

  3.身份认证技术

   对于从外部拨号访问总部内部网的用户，由于使用公共电话网进行数据传输所带来的风险，必须更加严格控制其安全性。一种常见的做法是采用身份认证技术，对拨号用户的身份进行验证并记录完备的登录日志。较常用的身份认证技术，有Cisco公司提出的TACACS+以及业界标准的RADIUS。笔者在厦门海关外部网设计中，就选用了Cisco公司的CiscoSecure ACS V2.3软件进行RADIUS身份认证。

  外部网

  C.外部网安全

   海关的外部网建设，通常指与Internet的互联及与外部企业用户的互联两种。无论哪一种外部网，都普遍采用基于TCP/IP的Internet协议族。Internet协议族自身的开放性极大地方便了各种计算机的组网和互联，并直接推动了网络技术的迅猛发展。但是，由于在早期网络协议设计上对安全问题的忽视，以及Internet在使用和管理上的无政府状态，逐渐使Internet自身的安全受到威胁，黑客事件频频发生。

   对外部网安全的威胁主要表现在：非授权访问、冒充合法用户、破坏数据完整性、干扰系统正常运行、利用网络传播病毒、线路窃听等。

    外部网安全解决办法主要依靠防火墙技术、入侵检测技术和网络防病毒技术。在实际的外部网安全设计中，往往采取上述三种技术(即防火墙、入侵检测、网络防病毒)相结合的方法。笔者在厦门海关外部网设计中，就选用了NAI公司最新版本的三宿主自适应动态防火墙Gauntlet Active Firewall。该防火墙产品集成了Gauntlet Firewall、CyberCop Scanner、CyberCop Monitor、WebShield for Firewall等套件，将防火墙技术、入侵检测技术与网络防病毒技术融为一体，紧密结合，相得益彰，性价比比较高。

    很快，米特尼克就获得假释。1983年，他因非法通过ARPA网进入五角大楼的电脑网络而被判在青年管教所6个月。1988年因为入侵数字设备公司DEC再度被捕。1990年，他连续进入了世界5家大公司美国太阳微系统公司、Novell网络公司、NEC公司、诺基亚公司和摩托罗拉公司的网络，修改计算机中的用户资料，然后逃之夭夭。1994年12月25日，米特尼克攻击了美国圣迭戈超级计算机中心，因此获得“地狱黑客”的称号。但是，这次攻击激怒了负责该中心计算机数据安全的著名日籍专家下村勉，为挽回损失和教训米特尼克，这位计算机高手利用自己精湛的安全技术，帮助FBI将米特尼克捉拿归案。

    联邦法院以25宗非法窃取电话密码、盗用他人信用证号码和闯入他人网络的罪名起诉米特尼克，而且未经审判就将米特尼克关押了4年半，并且不得保释，这是美国司法史上对一名高智商罪犯所采取的最严厉的措施。

    2001年1月，米特尼克在认罪后，获得了监视性释放。

    “黑客们变得越来越老练和狡猾，他们会想出各种新的花招，利用技术漏洞和人性的弱点来劫持你的计算机系统。”———凯文•米特尼克

    获得自由后的米特尼克，目前投身于计算机安全咨询和写作中。他穿梭于世界各地，告诉人们在一个充满工业间谍和众多比他更年轻的黑客世界里，如何保证自己的信息安全。

    他在一次转机的间隙，写下了以下十条经验与大家分享。

    1.备份资料。记住你的系统永远不会是无懈可击的，灾难性的数据损失会发生在你身上———只需一条虫子或一只木马就已足够。

    2.选择很难猜的密码。不要没有脑子地填上几个与你有关的数字，在任何情况下，都要及时修改默认密码。

    3.安装防毒软件，并让它每天更新升级。

    4.及时更新操作系统，时刻留意软件制造商发布的各种补丁，并及时安装应用。

    5.在IE或其它浏览器中会出现一些黑客鱼饵，对此要保持清醒，拒绝点击，同时将电子邮件客户端的自动脚本功能关闭。

    6.在发送敏感邮件时使用加密软件，也可用加密软件保护你的硬盘上的数据。

    7.安装一个或几个反间谍程序，并且要经常运行检查。

    8.使用个人防火墙并正确设置它，阻止其它计算机、网络和网址与你的计算机建立连接，指定哪些程序可以自动连接到网络。

  　9.关闭所有你不使用的系统服务，特别是那些可以让别人远程控制你的计算机的服务，如RemoteDesktop、RealVNC和NetBIOS等。

    10.保证无线连接的安全。在家里，可以使用无线保护接入WPA和至少20个字符的密码。正确设置你的笔记本电脑，不要加入任何网络，除非它使用WPA。要想在一个充满敌意的因特网世界里保护自己，的确是一件不容易的事。你要时刻想着，在地球另一端的某个角落里，一个或一些毫无道德的人正在刺探你的系统漏洞，并利用它们窃取你最敏感的秘密。希望你不会成为这些网络入侵者的下一个牺牲品。