IT研发人员不能说的秘密-13种泄密方式

  • Post author:
  • Post category:其他


对IT研发人员来说,有些秘密是不能说的。法律是战争爆发的底线。与其事后诉诸法律,不如防范于未然,通过制度和技术保障,让机密不大白于天下。IT企业已经拉开了守护技术机密的大幕……

国内某大城市的机场出口处停着一辆普通的商务车,司机坐在驾驶员位置上悠闲地抽着烟。他不时地看看手表,似乎在等着接什么人。半个小时后,一个西装革履的中年男子从机场出口走出来。司机急忙掐灭香烟,下车迎上前去。当他刚要接过来人手中的行李包,忽然旁边走出三四个男子,出示的证件表明他们是警察,而且是异地的警察。其中一个警察对中年男子出示了逮捕证,另外几个警察挡开司机,把中年男子的双手拷了起来,押着他向不远处的桑塔纳轿车走去。桑塔纳快速开往中年男子的住处和办公室,每到一个地方,警察都把电脑的硬盘拆卸下来。

这不是某个电影或者电视剧的镜头,这种场景出现在很多涉嫌侵犯技术商业机密的案子里。往往警察和被侵害公司的相关人员一起突然出现在嫌疑人面前,马上把嫌疑人所有的电脑资料强制保存,以备将来诉讼所用。

“对于技术机密的守护,法律是最后底线。”富士康集团智权管理处处长傅绍明的说法代表了很多IT企业的心声。而对于这底线,富士康、华为、微软等企业都曾触摸过。当企业被迫采取法律手段的时候,警察、法院、监狱等字眼就纷至沓来。这时,企业和企业前员工之间的恩怨就被放大很多倍,直至前员工锒铛入狱,而企业声誉也受到极大伤害。两败俱伤所为何事?这是企业为了守护自己的未来竞争力——先进和核心的技术机密而付出的代价。

随着市场竞争日渐激烈,很多企业为了锻造企业竞争力,投入大量资源做技术研发。富士康这样一个代工企业也在技术研发上投入巨大,单在知识产权创新管理系统创建一项就已花了将近10亿元,2006年投入的科研经费就达到13亿元,有40000人参与创新研发。截止到2007年底,富士康就申请专利9000件。而华为拥有近3万名研发人员,其2006年销售收入为110亿美元,其中10%投入到技术研发中。这些投入已经让华为、富士康等企业快速成长,并让竞争对手生畏。

对于呕心沥血而获取的技术成果,企业当然要小心守护,谁也不愿意花费数年心血的研究成果却为他人做嫁衣。为了避免技术成果失窃,它们把研发场所打造成一个水火难进的境地,应用如影随形般的密码系统,编撰条款众多、滴水不漏的保密协议和竞业禁止协议,常年进行保密培训……

研发牢笼

在一个凄冷的早晨,路成走进华三公司(简称H3C)位于北京的研发大楼。大楼的保安警惕地扫视着涌进大门的人群,一旦发现有陌生人,马上会叫住他,仔细地盘问。而即便是像路成这样已经在里面工作两年多的员工,也必须要佩戴胸卡,因为进入办公区后还有一道门,需要刷卡才能通过。路成笑言:“走进了那扇门,就走进了研发的牢房,在里面的一举一动都将受到监控,比如门口就有摄像头在那里虎视眈眈着盯着你。”

如果你进入路成所在部门的办公室,就会发现,那里清一色的都是台式电脑。不是H3C没有钱,买不起笔记本电脑,配备台式电脑完全是出于防止员工技术泄密的需要。“员工是不允许将电脑带离办公室的。”路成告诉记者,即便那些给员工配备笔记本电脑的部门,当员工携带电脑离开公司时,保安都会检查笔记本电脑的身份卡,确保是公司的电脑,“如果你拿自己的电脑进入公司,你就别想再拿出公司大门了。”路成还告诉记者,这些台式机都是没有USB接口的,也是为了防止员工用闪存盘等移动设备拷贝文件。

如果你正巧认识几个H3C的研发人员,你会发现当你的MSN或者QQ一天到晚挂在网络上时,他们的MSN或者QQ头像永远是灰色的,因为H3C内部明文规定,不准上MSN或者QQ。普通的上班族所习惯的到公司先打水、开电脑上网看会儿新闻,对像路成这样的研发工程师来讲是奢望:“在公司上班的时候,看新浪、搜狐上的新闻连想都别想。”因为在H3C,公司的内外网是隔离的,一般人根本无法登录外网。你肯定会说:那如果想查找跟研发相关的资料怎么办啊?不着急!公司早就为有需求的研发人员设定了一些特定的系统,研发人员可以登录H3C统一预置的一些与工作相关的网页。

对于那些配备笔记本电脑的部门,研发人员即便可以将其携带回家,但它只是研发人员工作的延伸,而不会是“工作生活两用机”。“公司配备的笔记本电脑不允许安装与工作无关的软件,根本不允许用办公电脑进行炒股、游戏等。”在H3C,有的员工出差,经常会带两部电脑:一台是公司配的,另一台是自己私用的。

在H3C内部,不同部门之间是不能随意串门的,如果你是一个负责售后技术支持的员工,凭你的胸卡,就只能进与自己工作相关的某几个部门,而不能进入研发部门。如果谁想跟在别的员工后面溜进去,也很难。“保安可不是摆设,他们的眼睛可不揉沙子。”他说道。

H3C为研发人员打造的牢笼已经够森严了,但思智泰克市场部经理张伟告诉记者,还有更恐怖的:在国外某家半导体公司,在每个员工的工位上安装一个摄像头,随时监视员工的一举一动。

上一把密码锁

以上所说的防止技术窃贼措施都是看得见的,其实很多公司都使用了文档加密技术与权限管理相结合,做到随时随地的监控。如在诺基亚-西门子公司,文档是分密级的,最低密级的文档是可以提供给客户的。如果是公司级的保密文档,公司内部员工可以随便传播,但不能传播给客户。此外还有更高密级的文档,例如某些信息或者文件只能在指定的范围内(例如某个部门或者某几个员工之间)公开,不得将信息或文件披露给公司其他员工。诺基亚-西门子公司系统工程师苏强告诉记者,其实我们平时发给客户的报告,都有意识地注意信息安全问题。如果对其中的某些问题把握不准,一般在发给客户之前,我们还会将资料发给直接上级确认,如果经理们觉得某些内容不适合,会打回来让我们修改。

新进入IBM的研发工程师李浅告诉记者,IBM内部有比较严格的权限管理,“对于机密的文件,像我这种初级技术人员能获得的很少,即便是公司的内部网站也设置访问权限,没有相应权限的人无法浏览”。

权限的设置建立在身份认证基础上。而要保证数据的安全则要用到文档加密技术,像诺基亚-西门子公司,每个员工刚一进入公司,公司就会预先设置好该员工的IP和权限。同时公司还对数据进行加密处理,员工电脑里的资料就只能该员工看到,即便电脑不幸丢失或者被偷了,由于电脑硬盘中的数据是经过加密的,别人拿到电脑也读不出硬盘里的东西。

思智泰克是一家专业提供文档加密服务的公司,其市场部经理张伟告诉记者,思智泰克的文档加密软件是嵌入在微软的操作系统里的,只要电脑一启动,该保密软件就开始起作用。在内部,使用了这种技术,即便某个员工想趁别的同事不在打开其电脑上的文档也是不可能的,因为文档被加密过。同时,如果某个员工想把自己电脑上的文档通过拷贝或者邮件发出去,即便发出去了,别人也打不开文件。这就意味着,内部员工想非法复制、粘贴重要文档,并通过E-mail、MSN、QQ、USB等方式进行泄密是不可能的。还有,通过系统日志审计子系统,企业可以掌握所有员工文档操作记录,为事后追踪提供依据。“在我们公司,如果你用自己的电脑在办公区复制相应的文件,服务器会有操作记录,就是为了防止将来发生纠纷时有根据。”中国台湾某手机芯片设计公司的研发工程师周洲告诉记者,它就像一个影子警察一样,随时监视着员工的一举一动。正因如此,很多使用了思智泰克技术的IT厂家都不愿意宣传自己,怕员工有想法:企业怎么能这么不信任我们呢?

在合作无所不在的现代商业社会,怎么防止自己公司的机密文件发给某个客户后导致二次扩散,也是很多公司担心的问题。张伟告诉记者,这也不是难事。通过思智泰克的技术,文件外发前可以单独进行安全设置,也支持硬件(USB电子锁、任意USB存储设备)与外发文件进行安全绑定。传输过程中,外发文件始终保持加密状态,杜绝各种黑客软件的窃取和拦截;文件被安全外发后,只有指定的外协厂商能够以指定的权限(只读、打印、打开次数、打开时间等)应用。其他任何用户和厂商在获取外发文件后将无法应用和解密,有效杜绝了外发文件的二次扩散和泄密。提供此类服务的企业还有华镖软件等公司。

不过技术也不是万能的。张伟承认:比如某个员工把笔记本电脑带回家后可以打开设有权限的文本。这个时候我们能监测到他在这个时间点打开过这个文本。该员工也不能直接将该文本通过即时通信工具和邮件发出去。不过我们防止不了该员工用数码相机将该文本拍摄下来,也阻止不了该员工将文件的内容重新输入到别的文本然后再传播。

“我们只能说技术手段能把泄密的风险降到最低,但不可能完全防范。”张伟告诉记者,使用128位加密技术,一般人解不了密。一个公司的技术总监告诉记者,他的公司从身份认证、设备管理到数据管理都采用了很多先进的技术,但还是不能做到百分之百防范。要防止技术泄密,最有效果的还是要在人力资源上多下功夫。

竞业禁止是摆设?

所有接受我们采访的研发工程师都讲道,他们在入职的时候,都要接受半天到两天不等的法务培训,一般是由负责安全的部门来做。微软研发工程师吴国告诉记者,微软每年都要对员工进行商业准则方面的强制培训,其中就有很多被禁止的行为,以防止技术泄密。苏强也说在诺基亚-西门子公司,培训人员会告诉新员工文档要注意密级、进出办公室要主动出示门卡、在外面工作的时候尽量不要穿有公司Logo的衣服以免引起注意等。周洲告诉记者,我们入职的时候都有法务培训,主要是涉及到知识产权方面的内容。

不断灌输知识产权方面的知识,重要的是让员工树立知识是一种财富的意识,既然是财富,而且是企业花了大代价才创造的财富,那么就要尊重而不是随意窃取。“如果随意窃取其他公司的技术机密来赚钱成为一种风气,那么今天吃亏的是某个公司,明天吃亏的有可能是始作俑者,最后吃亏的是整个国家。这对中国企业甚至是中国的长久发展都没有好处。”富士康集团智权管理处处长傅绍明说。

当然,任何一个企业都明白,光靠精神灌输是不够的。很多企业都不约而同地采取跟员工签定保密协议和竞业禁止协议来对员工进行法律约束。“我们就是依据保密协议和竞业禁止协议来告比亚迪的。”傅绍明说。不过对于几乎是滴水不漏的保密协议,很多工程师压根没有放在心上,周洲就告诉记者他一点都不记得条款的内容了。而对于竞业禁止协议,很多公司的研发人员也不放在心上。网易研发工程师杨择告诉记者,竞业禁止协议能否生效还有个前提:那就是公司要支付竞业禁止补偿。比如它要求我离开公司一年内不能到搜狐、百度等公司工作,那么就必须按照现在的工资标准额外支付一年的薪水给我。中兴公司的做法则是不同级别的保密协议,会规定员工将来离职后竞业限制的时间长短,对应的有不同数额的保密津贴,大概是700~1400元/月。“如果公司不支付这笔钱,那么我们还是可以到相应的公司工作,只不过我们不能直接使用从原公司窃取的关键源代码,因为那可能会涉及到官司。”杨择说。

周洲更直接地说:“跳槽一般只在行业内跳槽,那新公司或多或少都会跟原来公司构成竞争关系。如果不到竞争对手那里,我们怎么找到工作?”

而根据业内人士的介绍,摩托罗拉公司手机部门的研发人员有跳槽到其他手机企业的,并帮助新公司做出类似的手机。“不过,这些手机小厂根本无法和摩托罗拉抗争,所以他们谁也没有成为被告。”

“微软有一些人去了Google,他们在微软积累的经验应该对Google拼音输入法的研发很有帮助,但很难说清楚这是否属于技术泄露,况且也没有给微软造成什么损失,就更难追究责任了。”吴国表示。他在微软工作很多年了,还从来没有听说过微软因为技术泄露而遭受损失,更没有听说过微软将哪个工程师告上法庭了。

尽管竞业禁止协议是防止技术泄密的最后的防线了,但要将该防线突破也不难。傅绍明认为,所谓的挖角就是某个公司针对它需要的关键技术管理人员,开出3倍甚至更高的薪水把人挖走,甚至可以垫付竞业禁止的违约金,“因为它没有这方面的关键人才,它就觉得值。而原来的公司有一批这样的人,不可能以同样的待遇来留住对方。”

它们为什么不设防?

与威盛、华为、中兴、诺基亚-西门子等公司对技术机密严阵以待不同,微软、Adobe、网易等软件和互联网公司却并没有太把守住技术秘密放在心上,它们更强调共享为赢。

吴国告诉记者,其实在微软内部没有采取很多具体措施来防范技术资料的流失,“如果我想的话,我可以拿到很多Windows的源代码,而且可以很容易地把这些资料拷贝出来”。如果他想在离职的时候带走自己所在研究团队的研究成果,也是一件轻而易举的事情。

他举例说,比如某人在Office的某个项目研发团队,他就有权限看Office项目的所有技术资料,当然也可以将资料拷贝到自己的笔记本电脑中,以方便自己随时学习、参考。如果工作需要,他也可以申请其他项目的资料查看权限,只要相关负责人审批通过,就可以阅读相关资料了。虽说这个权限一般半年就到期了,但到时候如果需要,还可以再次申请。

微软非常鼓励员工共享知识,“只有这样,研发人员才能不断提高技术水平,而且能在别人的基础上做出创新性的成果”。吴国认为微软靠的是一流的研发环境和较高的工资来吸引研发人员,不可能把高价招聘来的员工当贼来防。

杨择也表示,在网易也是可以随意携带电脑进入办公室,不会有人检查。“其实我们不担心某一个网易的员工跳出去跟网易竞争。因为即便你拿到源代码,还要有庞大的硬件支持才能做起一个搜索引擎。而代码是不断变化的,它需要根据运行过程中碰到的问题不断做修改,这就需要一大群工程师来维护。”他认为软件领域之所以很少技术方面的官司,主要原因是国内软件公司的产品很多是基于国外的开放源代码做一定的修改而得到。况且像Google的工程师还经常把其研究所得写成论文公开发表,而代码不过是论文的实践,因此难以定性为窃取技术机密。

Adobe研发工程师郭嘉告诉记者,他没有感觉公司在防止技术泄密方面采取了什么特别的措施。他认为,一方面,像Adobe这样的大型软件公司,其产品不是几个人能完成的,每个研发团队的成员都只是完成其中的一部分工作,一些重要的、核心的研发工作甚至放在国外,国内研发人员即便拿到部分研发资料,并不能给哪个公司带来直接的经济效益;另一方面,Adobe的很多软件,在研发过程中要用到很多以前的研究成果或者专利技术,如果谁直接窃取了这些软件用于商品化,很容易被发现是侵犯了专利权的产品。此外,研发人员很多都是技术高手,简单防范研发成果泄露的方法,在这些高手面前,无异于螳臂挡车;如果采用很复杂的技术,设置很多控制点,显然又会阻碍研发人员之间的知识共享与交流,甚至阻碍项目的研发进程。

当然不是说威盛、华为、中兴、诺基亚-西门子等公司就不重视知识共享了,在这些公司都有专门的技术交流平台,但这些平台是建立在“不要在上面泄露技术机密”的小心翼翼基础上的,其开放度和交流度都要差不少。技术永远是在进步的,或者让自己永远跑得比对手快要比回头给对手设置障碍更好?

(文中除了张伟、傅绍明是真实姓名外,其他应被采访者的要求全部为化名。)

文档加密安全协同模块示意图

文档加密安全备份模块示意图

位于北京上地开发区的联想研发中心管理严格,内部员工也不能随意去和自己的研发项目无关的区域

微软总部没有围墙,企业内部也没有采取很多手段防止机密泄漏

链 接

近年由于员工跳槽引发的知名案件

富士康的愤怒

2007年6月11日,富士康国际控股发布公告,称在香港以盗取商业机密为由,将比亚迪公司告上了法庭,索偿金额超过51.3亿元(这几乎相当于比亚迪手机代工业务2006年全年的收入)。在2007年11月6日举行的诉讼案听证会上,富士康方面称,从2003年开始,公司里从事手机设计、制造等业务的多个部门的300~400名员工陆续跳槽到比亚迪公司,这些员工里既有一线技术工人,也有很多花重金培养,到海外接受过培训的中高级管理人员。富士康还不断发现比亚迪的技术人员向富士康内部员工发送电子邮件,利诱他们跳槽到比亚迪工作,并承诺跳槽者均可获得优厚待遇。2006年5月4日,公司的网检系统检测到王伟等富士康员工向比亚迪公司的张建发送了大量的系统文件,富士康当即报警。2007年12月7日,最高人民法院委托北京九州世初知识产权鉴定中心对富士康提供的129份文件及从深圳市中级人民法院拷贝的移动硬盘内容进行了商业秘密鉴定,结论指出:移动硬盘中有116份富士康文件,其中68份文件信息是非公知信息,而非比亚迪公司在诉讼中答辩声称的“其信息内容是在网上获取”的公开信息。

李开复与微软的恩怨

2005年7月,当Google宣布原微软全球副总裁李开复将负责Google中国研发中心的运营,并出任中国区总裁时,微软立刻向美国华盛顿州地方法院提起诉讼,指控Google和李开复违反了竞业禁止协议,要求法院阻止与限制Google与李开复的行为,并获得经济赔偿。随后Google在加州反诉微软,要求法官宣布微软与李开复协议中的竞业禁止条款无效。2005年12月,Google与微软发表声明,宣布双方已在美国就李开复跳槽案达成非公开协议,并表示对此次和解表示满意。

华为前员工锒铛入狱

2001年7月,原华为公司光网络技术研发人员刘宁、秦学军、王志骏先后从华为公司辞职。当年11月,3人在上海投资50万元,联合创办上海沪科技术有限公司,并先后从华为挖走研发光网络产品的开发人员20余人。该公司仅用半年就推出了使用华为公司光网络技术开发的相同产品。2002年10月,华为以侵犯知识产权为由提起民事诉讼。2004年12月7日下午,深圳市南山区人民法院依法作出判决,判决王志骏、刘宁、秦学军等有期徒刑2~3年。2005年,深圳市中级法院做出终审判决,维持深圳市南山区人民法院2004年12月做出的一审有罪判决。

13种泄密可能

企业泄密的途径可以总结为以下13种:

1.内部人员将资料通过软盘、闪存盘或移动硬盘从电脑中拷出带走;

2.内部人员通过互联网将资料通过电子邮件、QQ、MSN等发送出去或发送到自己的邮箱内;

3.将电脑上的文件打印后带出公司;

4.将文件复印后带出公司;

5.将办公用便携式电脑直接带回家中;

6.电脑丢失后,硬盘上的资料泄密;

7.随意将文件设成共享,导致无关人员获取资料;

8.移动存储设备共用,导致非相关人员获取资料;

9.将私人的笔记本连上公司局域网,窃取资料;

10.趁同事不在,开启同事电脑,浏览、复制同事电脑里的资料;

11.盗密者非法进入公司,盗走目标机密或机密载体;

12.公司内部员工被外部盗密者收买,出售商业机密,获取个人利益(本项为内部泄密和外部盗密的综合);

13.网络黑客通过网络进入企业内部网络,窃取机密文件。