“除玉玉”事件，2016年的中國突顯的一個社會問題，其實是個人隱私泄露的老生常談，只不過步入信息化時代后“進化”了而已。
一個年輕生命的逝去，一個家庭的支離破碎，演變成千家萬戶、網(wǎng)絡(luò)、媒體對此次事件的同仇敵愾，幾個具有普遍代表性作案的慣犯“不幸”當了炮灰。
在公安機關(guān)的全力偵破下，包括主犯在內(nèi)案犯陸續(xù)落網(wǎng)，大家為之高興，拍手叫好，讓逝者得以安息...然而，在這險象環(huán)生的背后給了人們什么警示呢？
http://m.news.cctv.com/2016/09/22/ARTIBW0NkUgpjQrNNrU6geN2160922.shtml

無獨有偶，近期（尤其是臨近中小學開學），以手機短信或微信等傳播平臺為主，遭遇冒充“老師”“學?！痹p騙信息的家長應(yīng)該不在少數(shù)。
http://mt.sohu.com/20160920/n468751035.shtml

公然在線上（網(wǎng)絡(luò)）線下（地攤）叫賣，好像也趁著O2O的春風，著實“火”了一把，不過卻是過街老鼠人人喊打，為何如此猖狂，明目張膽？！
說是相關(guān)職能部門執(zhí)法不力也能找到一定原因，但根本原因還得從“信息安全”這個比較專業(yè)的詞匯說起。

從我經(jīng)歷的幾家大公司在信息安全方面的推進、實施、貫徹與堅守，希望可以引起有識者的共鳴及大眾的警惕。

科技（以及與科技沾邊的）手段

使用USB存儲設(shè)備

原則上禁止使用USB，甚至公司電腦的USB接口都是通過技術(shù)手段處理過，插上去都沒反應(yīng)，無法識別；
但如果是可用的情況下，只要一接上USB，便會被自動監(jiān)控并記錄在案，及時或者幾日后被管理部門追查到問話。

個人的USB存儲設(shè)備在任何場合是禁止的，在必要的情況下，公司可以提供經(jīng)過加密后的專用USB存儲設(shè)備。
基本上僅限于公司內(nèi)部（尤其指某些特定小組內(nèi)）使用，且要事前通過嚴格的書面或郵件提出申請，經(jīng)批準后方可有限地（期限及范圍等）使用。

收發(fā)郵件

收<<
確保發(fā)件人的來源是否自己已經(jīng)認知的之后，才能繼續(xù)查閱，如果是未認識的發(fā)件人，這時如果含有附件的話絕對不能打開附件。
即使是自己認知的，如果看了內(nèi)容后感覺收件人不應(yīng)該是自己，則需要向發(fā)件人電話或郵件詢問，很有可能是對方搞錯了，互相提醒，信息安全人人有責。

發(fā)>>
收件人欄要反復核對，不僅防止發(fā)送給外部不相關(guān)的人或組織機構(gòu)，對方的部門和特定的人也要核實，通常還需要把相關(guān)人員或組織寫在抄送人欄。
密送欄里，一般可以寫上自己的地址，等郵件發(fā)送完畢后自己可以收到一封完全相同的郵件，雙重核實，進一步防止誤送信。

如果要發(fā)送附件給對方，則先要把附件加密再發(fā)送（一般是制作成壓縮文件，加上密碼），并且密碼需要另寫一封郵件告知對方，或者手機短信等告知也可以。
（僅附件加密并且還要密碼另外告知這一點，就已經(jīng)讓很多人“崩潰”了---天哪，如果我每天要發(fā)送那么多有附件的郵件的話，加密都要花不少時間---但這是必要的重要的，國外正規(guī)的大公司都是如此執(zhí)行的）

上網(wǎng)以及下載軟件

為了防止病毒波及內(nèi)網(wǎng)，很多公司干脆切斷了外部網(wǎng)絡(luò)，尤其是在當前BYOD的時代，也限定性地允許員工自帶智能手機，方便個人上網(wǎng)查閱資料。

在可以上互聯(lián)網(wǎng)的職場，你的一舉一動都在“監(jiān)視”下，這種“監(jiān)視”并不是平時想像中管理員整天盯著監(jiān)控室的電腦看著滿屏幕的數(shù)據(jù)（比如電影黑客帝國...），
而是企業(yè)花大價錢購買了第三方軟件安全系統(tǒng)，其中的與上網(wǎng)相關(guān)的功能，或者是自主研發(fā)的安全系統(tǒng)導入整個公司。

所以，安裝軟件同樣會被記錄在案，甚至訪問某些網(wǎng)站都會顯示“您正在訪問被限定的網(wǎng)站，請確認是否業(yè)務(wù)需要再繼續(xù)”，提示你不要做與工作無關(guān)的事。
一般情況下，公司都會在電腦中預裝一些常用和專業(yè)性軟件，或者把公司平時整理出來的軟件存放在文件服務(wù)器上，大家可按需拷貝到自己電腦上安裝。
如果需要使用到公司未指定未提供的軟件，則需要提出書面或郵件申請，經(jīng)批準后方可下載安裝。

電腦感染病毒后

突然遇到病毒感染，你下意識會采取怎樣的行動？打開殺毒軟件查殺，還是關(guān)閉使用中的程序？正規(guī)做法：立刻拔掉網(wǎng)線（而非電源插座）。
這個做法的根本性優(yōu)點，在于防止自己成為新的感染源，不僅把很有可能波及到公司內(nèi)網(wǎng)其它電腦主機的風險降到最低，自己的數(shù)據(jù)也無法被外界盜取。
（如果突然關(guān)閉電源，那正在運行的各種程序、文檔，皆有可能出現(xiàn)問題，再次打開電腦后工作內(nèi)容無法復原的情況也不少）

在拔掉網(wǎng)線后，立即向領(lǐng)導匯報，再經(jīng)由領(lǐng)導傳遞給相關(guān)管理部門，這之后就可以離線查殺病毒了（前提是保證病毒庫每天都能自動更新）。
無法清理病毒的話，要把電腦交由管理部門作深度處理。

離開座位時鎖屏

其實很多大公司也并沒有嚴格按照這個習慣來要求員工，不過，我待過的一家大公司真的做到了極致！
不管離座位多遠距離，就算是起身，如果時間要停留半分鐘以上（比如說開早會時起身），也要把電腦鎖屏。
除非是左右前后的鄰座，就算是和離自己幾步之遙的小組成員交談也要鎖屏，就更不用說去復印機拿打印出來的資料，以及上洗手間等情況了。
這樣做的目的，就是為了最大程度防止被非同一小組成員窺視，養(yǎng)成了習慣，就不用擔心某天來了外來人員，瞬間被偷窺、偷拍（間諜影片里常有的）。

還有一點非人為安全的問題，如果不鎖屏，可能會被自己或他人誤碰鍵盤或鼠標，引起錯誤操作正在運行的程序或文檔，導致資料丟失或電腦操作混亂。

電腦的定時鎖屏功能，那肯定也是必須預先設(shè)置好的：電腦不使用超過10分鐘（或按公司要求），就要自動鎖屏。所謂雙重鎖屏機制。

清理電腦“桌面”

萬一忘記鎖屏的“補救”措施，就算有人想要窺視，只要電腦“桌面”上沒有放任何與工作相關(guān)的圖標（快捷方式或是有名稱的文件等），沒有著眼點徒勞無功。

電腦回收

電腦可以是反復使用的。有這種公司，專門出租電腦給各大公司，因為電腦的性能變化較快，一年前的配置第二年可能就不適用了。
所以，各大公司在綜合考慮時，很多都有這方面的租賃需求。某個項目結(jié)束或者是員工崗位調(diào)整后，都要重新?lián)Q電腦。
這時同一家公司，電腦被上一個人使用了，要交給下一人個使用，以及不同公司，可能使用的電腦是從另外一家公司“淘汰”下來的。
出現(xiàn)這類情況，那這種租賃公司要把電腦的數(shù)據(jù)完全清理掉，不留任何痕跡內(nèi)容不可逆向復原，交給下一個人或公司使用時才能完全放心。

這種租賃公司，必須是有高度的市場信賴度，通過了各種必要的第三方機構(gòu)安全認證，也不可能是一般中小公司就能經(jīng)營的。

打印復印

（原本想把這個歸納到下面的物理手段部分，但最近遇到的一家公司卻不僅僅是物理）
不管辦公室大小，打印后必須在第一時間取得自己的打印物，也是為了防止上述提到的非同一小組或外來人員順手牽羊。
員工IC卡，通常是大公司員工的隨身物品，但一般只是刷卡進出。遇到的一家公司，員工的IC卡是特制的，數(shù)據(jù)簽名的高級應(yīng)用場景。
按下電腦的打印按鈕后，必須要親自走到打印機旁邊，刷卡認證后才能選擇自己的打印文件，復印也要刷卡。也就自動記錄了員工的操作，防止泄密。

物理手段

打卡進出

大門打卡，或者是進出辦公室，尤其是比較重要的房間打卡，估計在有點規(guī)模的公司都是司空見慣的。
但如果不同員工的IC卡只能進出自己的所在的部門，甚至是樓層都有限制，那會是怎樣的場景呢？

即便是同一公司的職員，各自的職能和崗位也不盡相同，所接觸到的業(yè)務(wù)范圍各種各樣，而且人員素質(zhì)構(gòu)成參差不齊。
A部門的用戶數(shù)據(jù)只能相關(guān)人員查閱，B部門的系統(tǒng)狀態(tài)只能特定人員維護...內(nèi)鬼并不是電影里才有的，人制可以讓大家“和睦”，但制度化了才能有責可追。

一旦發(fā)現(xiàn)IC卡遺失后，首先做的事不是沿途找，更不是隱瞞不吱聲。第一件事，要報告給直屬領(lǐng)導，在得到直屬領(lǐng)導指示后（應(yīng)該很快），再沿途尋找。
這期間，直屬領(lǐng)導再匯報給相關(guān)部門，向上一層層反映情況，上級領(lǐng)導層就會根據(jù)該人員所在職位和從事的工作，判斷對公司而言后續(xù)會有多大的影響。
比如，如果只是進出一般性辦公室，那可能上級會指示報廢這張卡，不能進入房間即可；但如果是正式辦公環(huán)境，領(lǐng)導可能會根據(jù)遺失后經(jīng)過的時間來判斷，可能撿到的人已經(jīng)潛入公司內(nèi)部，發(fā)出防止機密泄露等指示。

拍攝公司內(nèi)部

辦公桌上，電腦屏幕，各種設(shè)備設(shè)施上可能都存放著資料，一不小心被拍攝到再被上傳到網(wǎng)上對外公開，有企圖的人就可能抓住蛛絲馬跡得知相關(guān)信息。
另外，公司同事，認識的不認識的，如果被拍到臉，很有可能涉及到對方的職位隱私，被有企圖的人利用。所以一般媒體來采訪時，都要鈍化周邊人與物品。

不用物品的廢棄

打印復印紙制資料不用說，光盤、IC卡等可以記錄數(shù)據(jù)的媒介物，都要經(jīng)過正規(guī)渠道報廢。
紙制資料可以用碎紙機，光盤、IC卡甚至USB存儲設(shè)備等，要經(jīng)過指定部門或者專業(yè)處理公司報廢，不然，處理不得體，總會有泄露的風險。

水杯的使用

雖然沒有強制，但公司會建議使用帶蓋的水杯水瓶。水杯被打翻的場景估計不少人都遇到過，水滲入鍵盤鼠標甚至主機后，必定要拿去檢修的。
而如果是外部檢修的情況，根據(jù)公司不同，人員的素質(zhì)參差不齊，很難預測數(shù)據(jù)會不會被泄露。當年某男星的艷照門事件，不就是因為修理電腦而出的問題么。

結(jié)束工作時清理桌椅

遇到一個職場，安全意識非常強烈！工作結(jié)束關(guān)閉電腦，必須讓第三者（身邊的同事）檢查以下情況，才能離開回家：

1. 電腦顯示器的電源按鈕是否按下
2. 桌上是否有除了鍵盤鼠標以外的物品，有的話，放進抽屜
3. 抽屜是否被上鎖（每人抽屜都有鎖）。

電腦旁貼便簽

桌上電腦旁帖便簽，當然很方便，隨時眼睛一瞅就可以知道了。但如果是電腦密碼，簡易的軟件操作步驟，被不相干的人看到，很容易就泄露了。

尤其是電腦密碼，一般只有員工自己才能知道，不過為了應(yīng)對某些緊急情況，可能會把密碼告知相關(guān)責任人，都會有具體指示說明。

在外使用電腦或談?wù)摌I(yè)務(wù)

小公司的情況說不準，大公司的話，一旦（不管是競爭對手還是其它相關(guān)）“嗅到”是某公司的某職位的職員，可能就要留意防止打你主意了。
比如，使用電腦時不降低聲調(diào)說出電腦的密碼，被旁人有意或無意聽到，或者是被很容易地看到敲了哪些鍵。
談?wù)摌I(yè)務(wù)的話，比如某公司正在進行什么市場計劃，在銷售上有什么調(diào)整等等，都可能有意或無意地被外人探聽到，泄露商業(yè)信息。

外出就餐時攜帶職位卡片

和在外談?wù)摌I(yè)務(wù)類似，都可能有意或無意地被外人看到這是某公司的某職位的職員，要留意防止打你主意了。
有些公司會把IC門卡和職位卡片分開，比如職位卡片用別針扣在胸前，IC門卡用繩掛在脖子上，外出就餐時需要把職位卡片摘下放進兜里。

乘坐交通工具時隨手放公文包

記性不好或是臨時忘記，總會有的時候，不能掉以輕心。不僅工作，私人物品也應(yīng)如此。

不輕易口頭問答，通過正規(guī)手續(xù)

電信詐騙的慣用手段不就是打電話么。同樣，如果公司內(nèi)部有什么需要申請呀批準的情況，最好通過既定的手續(xù)辦理，一方面也是為了之后查證方便。
而且很有可能有人利用電話進行不真實的問詢，英文叫做“Social Hacking”，其實也是普遍存在的現(xiàn)象，不管是內(nèi)部還是外部。

簽訂保密協(xié)議

新職員進入公司，或者是參與其它公司項目時，都要簽訂保密協(xié)議，如有泄露，將會追究法律責任。一般分為兩種，機密信息和個人隱私保護。
機密信息，包括本人在就職過程中所使用的軟硬件資源、工作研究成果等，除非特殊情況下，都只能歸屬公司所有。
個人隱私，主要是限制公司行為，公司保證只會將本人的個人信息用在發(fā)薪水等內(nèi)部使用，不會提供給第三方（房產(chǎn)呀婚介等）。

定期進行安全意識教育

每一兩月一次，根據(jù)公司制度，對所有涉及到的職員進行安全意識教育。比如播放DVD，信息泄露的案例與補救措施，或者是看資料后填寫問卷等方式。
形成制度化，形成企業(yè)文化，就會讓員工習慣成自然，不能等到上級或相關(guān)部門來檢查時臨時抱佛腳，等到真出現(xiàn)問題后，就很難挽回損失了。

上述，皆是信息泄露的源頭，真的是防不勝防，你遇到的公司（不管是自己的職場還是客戶的公司）做到了哪些呢？
這里，順便提到一個專業(yè)術(shù)語ISMS（安全信息管理系統(tǒng)），國外的很多大公司都有這個制度，有興趣的朋友可以去查閱。

中小企業(yè)暫且不說那么大的話，當前國內(nèi)的軟硬件環(huán)境不成熟也不規(guī)范，要求太多了反而自身經(jīng)濟利益很難得到保障，不過呢能做到多少盡量做吧；
但畢業(yè)電信業(yè)是有實力的大公司背景，國家扶持力度也大，在信息安全方面的投入絕不能輕視。

以后有時間還會寫信息安全相關(guān)的經(jīng)歷與心得，與君共進。

吾業(yè)專，精于勤，技術(shù)者是也～盡可能以通俗易懂的用詞來闡述觀點