现年46岁的澳籍华人胡士泰恐怕不会想到，他会被中国国家安全机关拘捕。与胡士泰一起被拘捕的，还有他的三位同事。

7月9日，外交部新闻发言人秦刚证实，因为涉嫌为境外刺探和窃取中国国家秘密，澳大利亚力拓公司驻上海办事处的首席代表胡士泰等已于7月5日晚被中国国家安全机关依法刑事拘留。

此时，中国与包括力拓在内的国际“三巨头”的铁矿石谈判陷入了僵局。有媒体透露，有关人员将钢铁企业的生产安排、炼钢配比、采购计划、毛利率、库存量等企业内部资料，甚至铁矿石谈判的对策和底线等极为关键的信息透露给铁矿石供应商。

很显然，这是继“可口可乐泄密案”、“凯恩纸业泄密案”、“韩浦项钢铁集团泄密案”、“长虹技术泄密案”的又一起严重的内部人员泄密事件。这些不同性质泄密事件的发生，共同暴露出了企业内部监管手段的薄弱以及安全管理体系的缺乏。

在当今竞争日趋激烈的商业社会，到处存在着陷阱和诱惑。为了达到目的，一些企业或个人会不择手段来谋取自身利益的最大化。而且，相对于过去令人谈而色变的黑客，内部人员泄密给企业带来的危害将更为直接、更为严重。

内部泄密，更为致命的信息安全风险

随着各种边界安全防护手段的提升，黑客们越来越难突破企业的外围安全防护。但这并没有让企业管理者们轻松下来，因为相比于黑客而言，内部泄密者拥有了得天独厚的优势：他们既不需要像黑客那样在企业内部网络中盲目地寻找有价值的数据信息，也不需要在所有的计算机终端中找来找去，因为他们清楚哪些数据信息是关系企业生存与发展的命脉，并且知道这些数据的确切存储位置。更为重要的是，黑客在进入企业内部网络之前，需要千辛万苦的突破重重防护，并且要做到不留任何痕迹。然而内部泄密者却完全不需要考虑这些，因为大多数企业内部基本上没有任何信息安全防范手段。泄密者们只需要知道他们想要什么，然后直接去存储这些数据的地方去取就可以了。

在泄密者这种轻松得手的过程背后，给企业带来的却是严重的经济和竞争能力损失。据2008年的最新调查结果显示，由于内部人员泄密，每年使美国商业损失超过2500亿美元。在中国，这种泄密事件也在不断发生。我们可以经常看到各种企业之间就知识产权等问题进行司法纷争。大量企业在机密技术资料泄密后，很快便由于竞争对手的低价、同质产品的打压而面临破产。而且如果这些安全事件发生在与国家战略相关的机构和部门中，还将极有可能造成难以弥补的损失，甚至影响到国家的战略安全体系。此次的力拓案就颇具代表性，它不仅损害了我国整个钢铁行业的经济利益，而且还威胁到了整个国度的经济安全。

传统网络安全防护手段不足以应对当前泄密威胁 

FBI和CSI曾对发生过机密信息泄露事件的企业进行调查。调查显示，97%的公司使用了防火墙；72%的公司使用了入侵探测系统；70%的公司使用了基于服务器的访问控制；68%的公司在数据传输过程中应用了加密技术。

由此我们可以看出，上述技术没有一种能够从根本上解决电子文档的安全问题。防火墙，网络代理服务器，内容监控和过滤等网络控制手段，在一定程度上限制了网络的访问。但是，对于电子文档本身，这些网络控制手段几乎没有提供任何细分化的权限访问控制。PKI等加密技术，能够确保只有授权用户可以打开被加密的文件。但是当文件被打开之后，企业便失去了对文件的控制。因为使用者可以对文件进行任意的操作，为企业内部的泄密者创造了机会。

ERM权限管理体系，防泄密建设的利器

当前的企业竞争已经进入到了一个信息化竞争的新阶段，核心数字资产成为企业生存和发展的关键。企业人员的工作内容也已经更多地体现为对于数据信息的应用和管理。企业为了确保自身核心数字资产的安全性，制定了大量的安全管理制度。这些制度的建立目的就是去通过管理人员而间接的去管理数据。但是这些制度的执行力度却又是企业所面临的新的问题。在大多数情况下，企业往往将制度的执行寄托在员工个人的主观意识基础之上，但是对于具有易拷贝、易传输、易修改的数字资产来讲，显然这是远远不够的。当员工面对于更大的诱惑时，他们在突破自己的职业道德和意识防线之后，将可以很容易的将企业核心数据信息泄露到企业之外，给企业利益带来深远的影响。

目前，为了确保机密数据信息的安全性，越来越多的公司开始应用基于加密技术的数据权限管理技术，以防止核心数据信息的外泄和窃取。对于这种技术，Gartner将它称为企业权限管理技术，即Enterprise Right Management(ERM)。ERM主要应用于企业内部网络中的各种格式的电子文档，有效控制电子文档内容的具体使用权限，是目前世界范围内最为领先的数据安全管理体系之一。例如，通过ERM，企业可以做到让指定的被授权的用户，在指定的时间和指定的计算机平台上，根据公司设定的操作权限来应用受保护的电子文档，并且整个应用过程会被ERM系统详细的记录下来。其中，对于文档的操作权限主要包括只读、编辑、打印、共享，以及打印等等。

与当前的其他主流安全技术相比，ERM最大的优势就是对于数据信息本身的安全保护，并且将人员在组织结构中的权利和地位与数据资源的应用权限结合起来。通过这一革命性的管理手段和理念，企业信息安全管理的方向由被动的“管理人员”转变为主动的、直接的“管理数据”，使企业的执行力度全面深入到数据层面。并且通过企业对于数据信息本身的直接控制，转变了企业对于人员的被动式的管理方式，使企业在管理中实现了主导的地位，确保员工可以全面按照企业的需要去应用数据信息，大大降低了内部人员利用工作之便外泄机密数据信息的可能性。

ERM防泄密体系在中国：在应用中不断发展

中国市场上很多的管理产品都是在国外已经基本成熟之后，由一些外资企业引入中国的。这些产品在来到中国后，往往依然保持国外已有的架构和体系，很少会根据中国企业的特征而再进行开发和提升。中国的企业也只有调整管理结构和流程去被动的适应这些产品。

对于ERM来说，虽然已有包括美国国防部在内的大量机构和企业已经全面实施了ERM体系，并且包括中国在内的大量市场需求的涌现，然而ERM目前在世界范围内也是只有少数发达国家的领先型企业可以提供此类技术。但是这一次，中国的科技型企业也正在积极引领ERM在世界范围内的发展。

当北京思智泰克技术有限公司将ERM引入中国，并开始积极整合相关技术开发ERM防泄密体系的时候，全球的ERM概念和技术发展也只是处于萌芽阶段。在ERM发展的过程中，越来越多的中国企业和机构也全面参与了进来。

在原有的安全管理制度中，中国的绝大多数企业和机构采用了堵截的方式，他们要求所有的计算机终端都进行端口的封闭，并在机构内部设立不同的工作域。这样的管理措施的确在一定程度上降低了核心机密外泄的风险，但是面对于随时都有可能发生的例如硬盘盗窃等物理窃密，这样的措施显然已经无能为力。

于是，大量的企业和机构开始广泛应用基于文件加密功能的各类加密软件。通过企业内部的文件加密管理，使加密文件在非法离开授权环境后无法解密和应用，使企业有效防止了各类窃密事件的发生。但是对于内部的泄密者，这样的安全管理手段又失去了作用。企业内部泄密者可以轻松地将重要数据信息传递到企业的外部。

这时，管理者们认识到只有在企业内部进行更为细分的信息应用权限管理，确保每个人只能应用自己工作所需的数据信息，才能从根本上确保数据信息的安全性。从这个角度来看，管理者们已经拥有了ERM的核心理念——权限管理。

也正是在与中国企业和机构的不断交流之中，思智泰克在ERM体系中开创性地融入了身份认证、数据加密、权限分配，以及日志审计等领先技术，使中国的ERM技术和理念在应用中获得了全面的发展，走在了世界的前列。

ERM防泄密体系在中国企业和机构信息化建设中的未来

力拓间谍案不仅仅是一个个例，它为金属行业、石油行业、制造行业等各行各样同样敲响了警钟。有媒体报道，一场20年来罕见的保密检查风暴正席卷全国，不仅包括党政机关，国有企业和机构也在接受检查。自古以来，确保企业或机构安全运营就是每一位信息安全工作者的首要责任。在我们大力建设信息网络外部安全的同时，防止内部机密信息的外泄将成为未来中国企业和机构信息化建设中的重要任务。而在这个过程中，ERM防泄密安全管理体系将以其领先的技术和理念帮助中国企业和机构全面降低信息外泄的风险，确保企业和机构信息化建设的安全发展。