近年来,韩国连续发生了多起汽车企业泄密案件,包括韩国起亚汽车、双龙汽车和现代汽车,均被韩国检察机关调查,并提起诉讼。这些汽车企业泄密的对象,有的指向中国企业。2010年2月,中国汽车工业协会发出呼吁,号召全行业反对泄密,防止“泄密门”丑闻。中国汽车工业协会高层指出,在屡屡发生的汽车“泄密门”案件中,中国汽车企业遭受声誉上的损失是不可弥补的。为了避免今后再次发生泄密事件,必须加强信息安全管理,尽快采用先进的数据泄露防护(DLP)系统,确保核心资产不流失,远离泄密事件。
信息作为企业竞争中的重要资产,已经成为汽车行业领域争夺的焦点,对于普遍使用网络信息系统的我国汽车企业,必须有效地对自身重要信息数据进行保护,维护自身信息系统的安全运行,才能在信息时代最大程度地保障企业的利益。
1、两种主要的安全风险
1.1外部安全风险
汽车企业面临的信息系统外部安全风险主要是指:来自公司外部的信息盗用行为,往往表现为通过各种信息技术手段(例如各种木马病毒等,非法破解及入侵内部网络)非法获取相关机密信息。
1.2内部安全风险
汽车企业面临的信息系统内部安全风险主要是指:企业内部的信息安全管理制度不够严格造成的企业机密信息从一个部门泄露到其他本不应该得到类似信息的部门,例如文件管理制度,某些人员安全意识不强无意泄露公司机密等,在管理信息系统上则重点体现在管理信息系统上面的员工岗位权限的设置不够科学规范(不该有的权限给放开了’造成专有部门的核心信息泄露给其他部门人员)。
应该从以下多个方面加强风险防范,降低汽车企业各项经营风险:
应该加强部门员工的信息安全防范意识宣传;
严格推行汽车行业企业信息安全管理制度,加强企业内部信息安全条例监管及行政惩罚力度;
进一步加强网络安全管理,设立专门的信息管理部门及人员配备,提高信息管理水平,严格防止网络非法入侵;
充分利用先进的管理信息系统管理各项企业数据信息,让企业的核心数据机密得到应有的安全保护,并且在软件系统各级权限设置控制上,要严格把关;
企业的中高层管理者需要定期沟通分析及总结本企业在日常运营过程中可能发生的各种管理漏洞,通过各项行政及技术手段封堵,防患于未然。
2、汽车经销商集团管理及信息化所面临的问题分析
经过长期针对中国汽车行业企业的深入观察调研,发现汽车生产厂家无论是软硬件条件还是在信息管理及安全意识等方面应当说已经有一定的基础,但是在汽车经销及服务行业,由于其生存发展历史及所处特定发展阶段,其信息化管理及安全问题显得非常重要而且紧迫。
近年来,随着国内汽车市场的高速发展以及三四级城市汽车消费量的崛起,汽车企业在渠道网络布局方面动作频仍。尽管去年由于金融危机对车市形成负面影响,曾一度出现经销商“倒闭潮”,但在今年车市高速增长的环境中无论是合资还是自主车企纷纷开启新一轮的扩网潮。
高速发展中的中国汽车经销商集团公司在集团经营管理方面呈现以下三大转变特征:
1)随着汽车经销商集团规模不断扩大实力不断增强,汽车经销商经营管理由各品牌厂家主导逐步转变为经销商集团自身主导;
2)汽车经销商集团各品牌4s门店独立管理转变为集团统管,逐步走上集团组织机构管理扁平化;
3)汽车经销商集团从各种汽车品牌形象宣传转向打造统一的“集团服务品牌”。
相应而言,汽车经销商集团信息化整合面临以下问题急需解决:
1)厂家主导的信息系统其实是汽车经销商集团统一信息化整合的“拦路虎”。为了管理控制各个汽车品牌,4S经销商的经营数据(其实是公司的核心机密数据)存储,汽车品牌厂商严格要求各个4S店必须严格要求必须使用厂家指定的DMS(经销商管理系统)。自4S店筹建初期,厂家配备的DMS系统确实能够对各4S店经销商的电脑化管理提供一定的帮助,但是随着集团规模的扩大,厂家配置的DMS系统慢慢却变成了集团统一信息化的“拦路虎”!不同汽车品牌配置的DMS系统各不相同,这样就造成了形形色色的DMS系统在集团公司各自独立运行着,条块分割。企业经营核心信息数据库也各自分散,众多品牌网点的信息(客户信息、库存信息等)根本无法共享,形成无数信息孤岛,大大降低企业运营效率,企业核心信息数据也往往得不到最基本的安全防护(特别在内部安全性上面做的非常不到位)。
2)集团自我主导的信息系统与原厂指定的DMS系统矛盾冲突明显。各个品牌原厂指定系统给本品牌经销商指定使用DMS软件系统各自孤立,而且管控出发点不同,无法整合整个集团的业务数据,更无法上升到集团财务业务管理。汽车多品牌经销商集团公司真正需要构建一套基于自身集团化的核心管理系统。
3)金字塔式管理转向集团业务扁平化管理的要求。随着集团公司业务规模的逐步扩张,基于公司经营竞争战略及成本战略的考虑,变原来的条块化管理为新的集团模式化管理,集团管理必然走向一种由原来各4S店那套厂家指导管理方式转变为集团统一的管理模式,这对集团统一管理信息系统也提出了新的要求。由变原来的按品牌设置的各自独立的厂家DMS系统转变为集团统一的业务信息化集成式平台。
4)安全、保密、快捷的集团数据平台。由原来的各个品牌4S系统各自独立转变为集团统一集中的信息系统中心,提升集团的信息数据安全性和保密性,可大大降低内、外部安全问题所带来的各种可能的潜在竞争及经营风险。
5)统一的集团管理信息系统是集团经营管理的重要核心。企业众多经营决策需要依靠数据来说话,片面的数据信息根本起不到经营决策支撑作用;只有筹建集团统一的管理信息系统,打好各项经营数据基础,才能保持公司的核心竞争优势。
3、建立汽车行业企业信息安全管理制度
为了有效地保障汽车行业企业的网络信息安全,应当着重建立以下管理制度。
3.1计算机设备管理制度
汽车行业企业计算机的使用部门要保持清洁、安全、良好的计算机设备1二作环境,禁止在计算机应用环境中放置易燃、易爆、强腐蚀、强磁性等有害计算机设备安全的物品;非本单位技术人员对本单位的设备、系统等进行维修、维护时,必须由本单位相关技术人员现场全程监督。计算机设备送外维修,须经有关部门负责人批准;严格遵守计算机设备使用、开机、关机等安全操作规程和正确的使用方法。屏蔽所有带电插拨计算机外部设备接口,计算机出现故障时应及时向电脑负责部门报告,不允许私自处理或找非本单位技术人员进行维修及操作。
3.2操作员安全管理制度
操作代码是进入各类汽车企业应用系统进行业务操作、分级对数据存取进行控制的代码。操作代码分为系统管理代码和一般操作代码。代码的设置根据不同应用系统的要求及岗位职责而设置。其设置与管理包括:系统管理操作代码必须经过经营管理者授权取得;系统管理员负责各项应用系统的环境生成、维护,负责一般操作代码的生成和维护,负责故障恢复等管理及维护;系统管理员对业务系统进行数据整理、故障恢复等操作,必须有其上级授权;系统管理员不得使用他人操作代码进行业务操作;系统管理员调离岗位,上级管理员(或相关负责人)应及时注销其代码并生成新的系统管理员代码。
汽车行业企业所使用的一般操作代码的设置与管理包括以下环节:一般操作码由系统管理员根据各类应用系统操作要求生成,应按每操作用户一码设置;操作员不得使用他人代码进行业务操作;操作员调离岗位,系统管理员应及时注销其代码并生成新的操作员代码。
3.3密码与权限管理制度
密码是保护汽车行业企业信息系统和数据安全的控制代码,也是保护用户自身权益的控制代码。密码设置应具有安全性、保密性,不能使用简单的代码和标记。密码分设为用户密码和操作密码,用户密码是登陆系统时所设的密码,操作密码是进入各应用系统的操作员密码。密码设置不应是名字、生日或重复、顺序、规律数字等容易猜测的信息字符。
密码应定期修改,间隔时间不得超过一个月,如发现或怀疑密码遗失或泄漏应立即修改,并在相应登记簿记录用户名、修改时间、修改人等内容。服务器、路由器等重要设备的超级用户密码由运行机构负责人指定专人(不参与系统开发和维护的人员)设置和管理,并由密码设置人员将密码装入密码信封,在骑缝处加盖个人名章或签字后交给密码管理人员存档并登记。如遇特殊情况需要启用封存的密码,必须经过相关部门负责人同意.由密码使用人员向密码管理人员索取,使用完毕后,须立即更改并封存,同时在“密码管理登记簿”中登记。
系统维护用户的密码应至少由两人共同设置、保管和使用。有关密码授权工作人员调离岗位,有关部门负责人须指定专人接替并对密码立即修改或删除,同时在“密码管理登记簿”中登记。
3.4数据安全管理制度
汽车企业的信息数据是企业的核心信息资产.对于企业的生存发展具有重要意义。应在以下方面订制管理:
一是企业中存放备份数据的介质必须具有明确的标识。备份数据必须异地存放,并明确落实异地备份数据的管理职责。
二是要注意计算机重要信息资料和数据存储介质的存放、运输安全和保密管理,保证存储介质的物理安全。
三是任何非应用性业务数据的使用及存放数据的设备或介质的调拨、转让、废弃或销毁必须严格按照程序进行逐级审批,以保证备份数据安全完整。
四是数据恢复前,必须对原环境的数据进行备份,防止有用数据的丢失。数据恢复过程中要严格按照数据恢复手册执行,出现问题时由技术部门进行现场技术支持。数据恢复后,必须进行验证、确认,确保数据恢复的完整性和可用性。
五是数据清理前必须对数据进行备份,在确认备份正确后方可进行清理操作。历次清理前的备份数据要根据备份策略进行定期保存或永久保存,并确保可以随时使用。数据清理的实施应避开业务高峰期,避免对联机业务运行造成影响。
六是需要长期保存的数据,数据管理部门需与相关部门制定转存方案,根据转存方案和查询使用方法要在介质有效期内进行转存,防止存储介质过期失效,通过有效的查询、使用方法保证数据的完整性和可用性。转存的数据必须有详细的文档记录。
七是非本单位技术人员对本公司的设备、系统等进行维修、维护时,必须由本公司相关技术人员现场全程监督。计算机设备送外维修,须经设备管理机构负责人批准。送修前,需将设备存储介质内应用软件和数据等涉及经营管理的信息备份后删除,并进行登记。对修复的设备,设备维修人员应对设备进行验收、病毒检测和登记。
八是管理部门应对报废设备中存有的程序、数据资料进行备份后清除,并妥善处理废弃无用的资料和介质,防止泄密。
九是运行维护部门需指定专人负责计算机病毒的防范下作。建立本单位的计算机病毒防治管理制度,经常进行计算机病毒检查,发现病毒及时清除。
十是营业用计算机未经有关部门允许不准安装其它软件、不准使用来历不明的载体(包括软盘、光盘、移动硬盘等)。
3.5机房管理制度
1)进入主机房至少应当有两人在场,并登记“机房出入管理登记簿”,记录出入机房时间、人员和操作内容。
2)IT部门人员进入机房必须经领导许可,其他人员进人机房必须经IT部门领导许可。并有有关人员陪同。值班人员必须如实记录来访人员名单、进出机房时间、来访内容等。非IT部门工作人员原则上不得进入中心对系统进行操作。如遇特殊情况必须操作时,经IT部门负责人批准同意后在有关人员监督下进行。对操作内容进行记录,由操作人和监督人签字后备查。
3)保持机房整齐清洁,各种机器设备按维护计划定期进行保养,保持清洁光亮。
4)工作人员进入机房必须更换干净的工作服和拖鞋。
5)机房内严禁吸烟、吃东西、会客、聊天等。不得进行与业务无关的活动。严禁携带液体和食品进入机房,严禁携带与上机无关的物品,特别是易燃、易爆、有腐蚀性等危险品进入机房。
6)机房工作人员严禁违章操作,严禁私自将外来软件带人机房使用。
7)严禁在通电的情况下拆卸、移动计算机等设备和部件。
8)定期检查机房消防设备器材。
9)机房内不准随意丢弃储蓄介质和有关业务保密数据资料,对废弃储蓄介质和业务保密资料要及时销毁(碎纸),不得作为普通垃圾处理。严禁机房内的设备、储蓄介质、资料、工具等私自出借或带出。
10)主机设备主要包括:服务器和业务操作用PC机等。在计算机机房中要保持恒温、恒湿、电压稳定,做好静电防护和防尘等项工作,保证主机系统的平稳运行。服务器等所在的主机要实行严格的门禁管理制度。及时发现和排除主机故障,根据业务应用要求及运行操作规范,确保业务系统的正常工作。
11)定期对空调系统运行的各项性能指标(如风量、湿度、洁净度、温度上升率等)进行测试,并做好记录,通过实际测量各项参数发现问题及时解决,保证机房空调的正常运行。
12)计算机机房后备电源(UPS)除了电池自动检测外,每年必须充放电一次到两次。