笔者在与朋友聊天得知：位于某领域国内市场第一位和第二位的两家深圳企业正在利用双方的内部管理信息系统来获得对方的各种商业机密，这两家大型企业的信息化程度是非常高的，所有企业的各种管理都已经网络化 ( 包括产品研发、客户资料管理、销售业绩、员工工资奖金发放等等 ) 。而网络化程度越高，如果信息安全措施不充分的，则企业对外来讲，可以说是毫无商业机密可言了，这就难怪这两家公司的新产品都几乎是同时发布，而又往往是同时抢同一个大客户。

    别以为只要有防火墙就可以了，信息安全是全方位的。如果在企业的内部网的普通员工使用的电脑上安装一个数据包侦听程序就可以收集企业内部网络上的所有员工电脑上的通信数据包，就可以看到员工对外发送的电子邮件内容，可以看到员工登录内部管理系统的机密数据，甚至可以得到内部管理系统的系统管理员的用户口令而获得内部管理系统中的所有机密数据。

    商场就是战场，战场上双方都会有间谍打入对方内部，而企业也不例外，所以企业必须采取一些更加严密的信息安全措施来确保机密信息只能确实是应该知道该信息的人士了解。那么，企业该采取哪些措施来确保内部机密信息呢？具体主要总结如下：

    (1) 不管是内部服务器还是外部服务器都要部署 SSL 数字证书，只有部署了 SSL 数字证书，才能防止使用数据包侦听程序非法收集企业的机密信息，才能确保机密信息的加密传输；

    (2) 企业重要信息系统的用户登录身份认证一定要废弃使用简单的用户名 / 密码方式，要采用单位数字证书来实现身份认证，最好是采用 USB Key 硬件方式，真正实现“一把钥匙开一把锁”；

    (3) 企业电子邮件通信也一定要采用数字证书技术，不仅要为企业电子邮件服务器部署 SSL 数字证书来确保 Web 方式和 POP3/SMTP 方式的邮件加密，而且还应该要求每个员工使用单位数字证书来加密重要的电子邮件内容；

    (4) 企业的机密信息应该使用对应能查看此机密信息的单位数字证书来加密此机密信息后再存放到内部信息系统的服务器中，这样，即使非法获得系统管理员的口令也无法读取机密信息。

     只有采取了以上 4 个方面的技术措施才能做到“没有什么机密信息可窃”而使得企业间谍失业，从而真正确保了企业的商业机密的安全。