保密知识

    当前位置:首页 > 保密知识 > >

商业秘密的泄密和保护原理

2016-05-21 航天蓝西 365

        商业秘密是企业重要的资产,决定了现代企业的竞争优势和持续发展能力。有的企业没有任何的商业秘密保护概念,导致自己的商业秘密被轻易泄密,投巨资研发或毕生心血积累的商业秘密毁于一旦,企业发展受阻或夭折;还有的企业对商业秘密很重视,也采取了一些保密措施,配备了许多防窃密设施,但最终商业秘密还是被泄露了,同样导致企业不能正常发展。到底是什么因素决定了商业秘密能否被泄露以及泄密的可能性?哪些措施能杜绝或降低泄密事件的发生?如何以最低的成本保证商业秘密的安全?
        要真正的保护商业秘密,就有必要了解商业秘密的泄密和保护原理,分析商业秘密泄密的影响因素,有的放矢的采取控制措施,防止泄密。
泄密事件的发生以及发生的可能性,实质就是泄密风险的构成和大小,当各种因素构成了泄密风险,商业秘密就可能被泄露,风险越高,泄露的可能性越大,反之亦然。
商业秘密的泄密风险,由三个要素构成,这三个要素的此消彼长,决定了商业秘密是否存在泄密风险以及风险的大小。同样,根据三个因素的现实状况,采取准确的控制措施,可以用最少的成本,将泄密的风险控制到最小。
一、商业秘密泄密三要素
1. 三要素
        商业秘密被泄露的风险,取决商业秘密的价值、商业秘密存在的薄弱点、对商业秘密的威胁这三个要素。详见图一。
商业秘密的价值越高,吸引力就越大,就越容易受到各种威胁的攻击。
威胁是指能够对商业秘密造成泄密破坏的各种潜在原因。
薄弱点是指商业秘密存在的能够被威胁所利用的弱点。
        实例:力拓商业间谍案中,中国钢铁企业矿石原料库存的周转天数、进口矿石平均成本、吨钢单位毛利、生铁的单位消耗等数据属于商业秘密,具有很高的价值,澳大利亚力拓公司的胡士泰等人属于威胁,利用中国钢铁企业、行业协会管理和制度上的薄弱点,采取拉拢收买等手段,将上述中国钢铁企业的机密数据窃取到手,并在与中方的谈判中,利用这些宝贵的数据,迫使中国钢企在近乎讹诈的进口铁矿石价格上多付出7000多亿元人民币的沉重代价,相当于全国钢铁行业同期利润总和的一倍多,澳大利亚GDP的10%。

图一:商业秘密泄密风险三要素构成

2. 三要素的相互关系
         商业秘密具有价值,威胁利用商业秘密存在的薄弱点,对商业秘密造成损害,导致商业秘密失密(详见图二)。

图二:商业秘密泄密风险三要素的相互关系

3. 泄密风险随三要素的变化规律:
             泄密风险与三要素存在正相关的函数关系,三要素的作用越大,风险就越大,反之亦然;

R=F(Vs,Vv,Vt)
R:泄密风险
Vs=商业秘密价值
Vv=薄弱点
Vt=威胁

             缺少任何一个要素,就不存在商业秘密泄密的风险。
             理解:

如果商业秘密没有价值,自然也就不会成为商业秘密,就不存在泄密的风险。
如果没有薄弱点,就没有威胁可以利用的漏洞,威胁就不可能对商业秘密造成伤害,也就不会出现泄密。
如果没有威胁,天下太平,商业秘密不会受到破坏,自然不会出现泄密。

4. 三要素举例

示例

商业秘密

工艺流程
产品模型
化学配方
设计图纸
关键数据
计算机源代码
试验结果
竞争方案
发展规划
销售计划
客户信息


薄弱点

职责不明
缺乏商业秘密资产管理
过程不统一
缺乏意识
人员管理不到位
物理防护不当
信息系统无有效控制
缺少必要的软硬件技术
没有监督和监控手段


威胁

盗窃
抢劫
收买
黑客
木马
病毒
窃听
拦截
监守自盗
操作失误
无意泄密
故意泄密

二、 商业秘密保护原理
        因为泄密风险取决于商业秘密的价值、薄弱点、威胁三个要素,只要控制了这三个要素,就可以降低泄密的风险,所以商业秘密保护,实质就是控制影响泄密风险的商业秘密的价值、薄弱点、威胁这三要素。


图三:商业秘密泄密风险三要素作用示意图

1、 降低商业秘密的价值
       将商业秘密的价值降低,使其对威胁的吸引力变小,而且一旦泄密,造成的负面影响也小,最终导致泄密风险减少。


图四:降低商业秘密价值示意图

降低商业秘密价值的方法举例:
数据加密
技术替代
转化为专利
该方法的实施是有限的,因为绝大多数商业秘密有其自身的使用价值,不可能被降低。

2、 减少威胁
       各种威胁是导致商业秘密泄密的主动因素,将威胁减少,意味着对商业秘密的破坏因素或强度减少了,商业秘密的泄密风险自然也就降低了。

 

图五:减少威胁示意图

降低威胁的方法举例:
通过网络隔离,避免黑客攻击导致的泄密
通过对人员的甄别,减少商业间谍的混入
通过标准化的操作流程,避免人员失误导致的泄密
减少威胁的实施也是有限的,能够减少的威胁性质多属于无意识的失误,对于主动性的威胁,很难避免和减少。

3、 减少薄弱点

       薄弱点的存在,是商业秘密被泄露的必要条件,如果没有薄弱点,商业秘密就不会暴露,再多的威胁也不会导致商业秘密的泄密。因此,减少薄弱点,也可以降低商业秘密的泄密风险。

图六:减少薄弱点示意图

降低薄弱点的方法举例:
加强物理隔离,可以防止入室盗窃的威胁
安装使用反病毒软件,可以防止恶意软件的威胁
实施员工培训,可以防止操作失误的威胁
薄弱点是一个企业自身存在的,属于企业可控的范畴,实施减少薄弱点的控制,是企业内部自身的活动。因此,在所有降低泄密风险的控制方法中,降低薄弱点的方法最具有可操作性,应用也最广泛。

4、 综合应用
       在实践中,一般将上述三种保护商业秘密,降低泄密风险的方法综合应用,以减少薄弱点为主要控制手段,辅以降低商业秘密价值,减少威胁,达到全面控制泄密风险的目的。

图七:同时减少商业秘密风险三要素示意图

三、 商业秘密保护方法
         根据商业秘密的泄密和保护原理,我们可以采取两种不同的方法对商业秘密实施保护,一种方法是“深度保护”方法(Detailed Protection Approach)”,另一种是“基线保护方法(Baseline Protection Approach)”。


栏目分类

热点新闻

点击排行