近年來，韓國連續發生了多起汽車企業泄密案件，包括韓國起亞汽車、雙龍汽車和現代汽車，均被韓國檢察機關調查，并提起訴訟。這些汽車企業泄密的對象，有的指向中國企業。2010年2月，中國汽車工業協會發出呼吁，號召全行業反對泄密，防止“泄密門”丑聞。中國汽車工業協會高層指出，在屢屢發生的汽車“泄密門”案件中，中國汽車企業遭受聲譽上的損失是不可彌補的。為了避免今后再次發生泄密事件，必須加強信息安全管理，盡快采用先進的數據泄露防護(DLP)系統，確保核心資產不流失，遠離泄密事件。

信息作為企業競爭中的重要資產，已經成為汽車行業領域爭奪的焦點，對于普遍使用網絡信息系統的我國汽車企業，必須有效地對自身重要信息數據進行保護，維護自身信息系統的安全運行，才能在信息時代最大程度地保障企業的利益。

1、兩種主要的安全風險

1.1外部安全風險

汽車企業面臨的信息系統外部安全風險主要是指：來自公司外部的信息盜用行為，往往表現為通過各種信息技術手段(例如各種木馬病毒等，非法破解及入侵內部網絡)非法獲取相關機密信息。

1.2內部安全風險

汽車企業面臨的信息系統內部安全風險主要是指：企業內部的信息安全管理制度不夠嚴格造成的企業機密信息從一個部門泄露到其他本不應該得到類似信息的部門，例如文件管理制度，某些人員安全意識不強無意泄露公司機密等，在管理信息系統上則重點體現在管理信息系統上面的員工崗位權限的設置不夠科學規范(不該有的權限給放開了’造成專有部門的核心信息泄露給其他部門人員）。

應該從以下多個方面加強風險防范，降低汽車企業各項經營風險：

應該加強部門員工的信息安全防范意識宣傳；

嚴格推行汽車行業企業信息安全管理制度，加強企業內部信息安全條例監管及行政懲罰力度；

進一步加強網絡安全管理，設立專門的信息管理部門及人員配備，提高信息管理水平，嚴格防止網絡非法入侵；

充分利用先進的管理信息系統管理各項企業數據信息，讓企業的核心數據機密得到應有的安全保護，并且在軟件系統各級權限設置控制上，要嚴格把關；

企業的中高層管理者需要定期溝通分析及總結本企業在日常運營過程中可能發生的各種管理漏洞，通過各項行政及技術手段封堵，防患于未然。

2、汽車經銷商集團管理及信息化所面臨的問題分析

經過長期針對中國汽車行業企業的深入觀察調研，發現汽車生產廠家無論是軟硬件條件還是在信息管理及安全意識等方面應當說已經有一定的基礎，但是在汽車經銷及服務行業，由于其生存發展歷史及所處特定發展階段，其信息化管理及安全問題顯得非常重要而且緊迫。

近年來，隨著國內汽車市場的高速發展以及三四級城市汽車消費量的崛起，汽車企業在渠道網絡布局方面動作頻仍。盡管去年由于金融危機對車市形成負面影響，曾一度出現經銷商“倒閉潮”，但在今年車市高速增長的環境中無論是合資還是自主車企紛紛開啟新一輪的擴網潮。

高速發展中的中國汽車經銷商集團公司在集團經營管理方面呈現以下三大轉變特征：

1)隨著汽車經銷商集團規模不斷擴大實力不斷增強，汽車經銷商經營管理由各品牌廠家主導逐步轉變為經銷商集團自身主導；

2)汽車經銷商集團各品牌4s門店獨立管理轉變為集團統管，逐步走上集團組織機構管理扁平化；

3)汽車經銷商集團從各種汽車品牌形象宣傳轉向打造統一的“集團服務品牌”。

相應而言，汽車經銷商集團信息化整合面臨以下問題急需解決：

1)廠家主導的信息系統其實是汽車經銷商集團統一信息化整合的“攔路虎”。為了管理控制各個汽車品牌，4S經銷商的經營數據(其實是公司的核心機密數據)存儲，汽車品牌廠商嚴格要求各個4S店必須嚴格要求必須使用廠家指定的DMS(經銷商管理系統)。自4S店籌建初期，廠家配備的DMS系統確實能夠對各4S店經銷商的電腦化管理提供一定的幫助，但是隨著集團規模的擴大，廠家配置的DMS系統慢慢卻變成了集團統一信息化的“攔路虎”!不同汽車品牌配置的DMS系統各不相同，這樣就造成了形形色色的DMS系統在集團公司各自獨立運行著，條塊分割。企業經營核心信息數據庫也各自分散，眾多品牌網點的信息(客戶信息、庫存信息等)根本無法共享，形成無數信息孤島，大大降低企業運營效率，企業核心信息數據也往往得不到最基本的安全防護(特別在內部安全性上面做的非常不到位)。

2)集團自我主導的信息系統與原廠指定的DMS系統矛盾沖突明顯。各個品牌原廠指定系統給本品牌經銷商指定使用DMS軟件系統各自孤立，而且管控出發點不同，無法整合整個集團的業務數據，更無法上升到集團財務業務管理。汽車多品牌經銷商集團公司真正需要構建一套基于自身集團化的核心管理系統。

3)金字塔式管理轉向集團業務扁平化管理的要求。隨著集團公司業務規模的逐步擴張，基于公司經營競爭戰略及成本戰略的考慮，變原來的條塊化管理為新的集團模式化管理，集團管理必然走向一種由原來各4S店那套廠家指導管理方式轉變為集團統一的管理模式，這對集團統一管理信息系統也提出了新的要求。由變原來的按品牌設置的各自獨立的廠家DMS系統轉變為集團統一的業務信息化集成式平臺。

4)安全、保密、快捷的集團數據平臺。由原來的各個品牌4S系統各自獨立轉變為集團統一集中的信息系統中心，提升集團的信息數據安全性和保密性，可大大降低內、外部安全問題所帶來的各種可能的潛在競爭及經營風險。

5)統一的集團管理信息系統是集團經營管理的重要核心。企業眾多經營決策需要依靠數據來說話，片面的數據信息根本起不到經營決策支撐作用；只有籌建集團統一的管理信息系統，打好各項經營數據基礎，才能保持公司的核心競爭優勢。

3、建立汽車行業企業信息安全管理制度

為了有效地保障汽車行業企業的網絡信息安全，應當著重建立以下管理制度。

3.1計算機設備管理制度

汽車行業企業計算機的使用部門要保持清潔、安全、良好的計算機設備1二作環境，禁止在計算機應用環境中放置易燃、易爆、強腐蝕、強磁性等有害計算機設備安全的物品；非本單位技術人員對本單位的設備、系統等進行維修、維護時，必須由本單位相關技術人員現場全程監督。計算機設備送外維修，須經有關部門負責人批準；嚴格遵守計算機設備使用、開機、關機等安全操作規程和正確的使用方法。屏蔽所有帶電插撥計算機外部設備接口，計算機出現故障時應及時向電腦負責部門報告，不允許私自處理或找非本單位技術人員進行維修及操作。

3.2操作員安全管理制度

操作代碼是進入各類汽車企業應用系統進行業務操作、分級對數據存取進行控制的代碼。操作代碼分為系統管理代碼和一般操作代碼。代碼的設置根據不同應用系統的要求及崗位職責而設置。其設置與管理包括：系統管理操作代碼必須經過經營管理者授權取得；系統管理員負責各項應用系統的環境生成、維護，負責一般操作代碼的生成和維護，負責故障恢復等管理及維護；系統管理員對業務系統進行數據整理、故障恢復等操作，必須有其上級授權；系統管理員不得使用他人操作代碼進行業務操作；系統管理員調離崗位，上級管理員(或相關負責人)應及時注銷其代碼并生成新的系統管理員代碼。

汽車行業企業所使用的一般操作代碼的設置與管理包括以下環節：一般操作碼由系統管理員根據各類應用系統操作要求生成，應按每操作用戶一碼設置；操作員不得使用他人代碼進行業務操作；操作員調離崗位，系統管理員應及時注銷其代碼并生成新的操作員代碼。

3.3密碼與權限管理制度

密碼是保護汽車行業企業信息系統和數據安全的控制代碼，也是保護用戶自身權益的控制代碼。密碼設置應具有安全性、保密性，不能使用簡單的代碼和標記。密碼分設為用戶密碼和操作密碼，用戶密碼是登陸系統時所設的密碼，操作密碼是進入各應用系統的操作員密碼。密碼設置不應是名字、生日或重復、順序、規律數字等容易猜測的信息字符。

密碼應定期修改，間隔時間不得超過一個月，如發現或懷疑密碼遺失或泄漏應立即修改，并在相應登記簿記錄用戶名、修改時間、修改人等內容。服務器、路由器等重要設備的超級用戶密碼由運行機構負責人指定專人(不參與系統開發和維護的人員)設置和管理，并由密碼設置人員將密碼裝入密碼信封，在騎縫處加蓋個人名章或簽字后交給密碼管理人員存檔并登記。如遇特殊情況需要啟用封存的密碼，必須經過相關部門負責人同意.由密碼使用人員向密碼管理人員索取，使用完畢后，須立即更改并封存，同時在“密碼管理登記簿”中登記。

系統維護用戶的密碼應至少由兩人共同設置、保管和使用。有關密碼授權工作人員調離崗位，有關部門負責人須指定專人接替并對密碼立即修改或刪除，同時在“密碼管理登記簿”中登記。

3.4數據安全管理制度

汽車企業的信息數據是企業的核心信息資產.對于企業的生存發展具有重要意義。應在以下方面訂制管理：

一是企業中存放備份數據的介質必須具有明確的標識。備份數據必須異地存放，并明確落實異地備份數據的管理職責。

二是要注意計算機重要信息資料和數據存儲介質的存放、運輸安全和保密管理，保證存儲介質的物理安全。

三是任何非應用性業務數據的使用及存放數據的設備或介質的調撥、轉讓、廢棄或銷毀必須嚴格按照程序進行逐級審批，以保證備份數據安全完整。

四是數據恢復前，必須對原環境的數據進行備份，防止有用數據的丟失。數據恢復過程中要嚴格按照數據恢復手冊執行，出現問題時由技術部門進行現場技術支持。數據恢復后，必須進行驗證、確認，確保數據恢復的完整性和可用性。

五是數據清理前必須對數據進行備份，在確認備份正確后方可進行清理操作。歷次清理前的備份數據要根據備份策略進行定期保存或永久保存，并確保可以隨時使用。數據清理的實施應避開業務高峰期，避免對聯機業務運行造成影響。

六是需要長期保存的數據，數據管理部門需與相關部門制定轉存方案，根據轉存方案和查詢使用方法要在介質有效期內進行轉存，防止存儲介質過期失效，通過有效的查詢、使用方法保證數據的完整性和可用性。轉存的數據必須有詳細的文檔記錄。

七是非本單位技術人員對本公司的設備、系統等進行維修、維護時，必須由本公司相關技術人員現場全程監督。計算機設備送外維修，須經設備管理機構負責人批準。送修前，需將設備存儲介質內應用軟件和數據等涉及經營管理的信息備份后刪除，并進行登記。對修復的設備，設備維修人員應對設備進行驗收、病毒檢測和登記。

八是管理部門應對報廢設備中存有的程序、數據資料進行備份后清除，并妥善處理廢棄無用的資料和介質，防止泄密。

九是運行維護部門需指定專人負責計算機病毒的防范下作。建立本單位的計算機病毒防治管理制度，經常進行計算機病毒檢查，發現病毒及時清除。

十是營業用計算機未經有關部門允許不準安裝其它軟件、不準使用來歷不明的載體(包括軟盤、光盤、移動硬盤等)。

3.5機房管理制度

1)進入主機房至少應當有兩人在場，并登記“機房出入管理登記簿”，記錄出入機房時間、人員和操作內容。

2)IT部門人員進入機房必須經領導許可，其他人員進人機房必須經IT部門領導許可。并有有關人員陪同。值班人員必須如實記錄來訪人員名單、進出機房時間、來訪內容等。非IT部門工作人員原則上不得進入中心對系統進行操作。如遇特殊情況必須操作時，經IT部門負責人批準同意后在有關人員監督下進行。對操作內容進行記錄，由操作人和監督人簽字后備查。

3)保持機房整齊清潔，各種機器設備按維護計劃定期進行保養，保持清潔光亮。

4)工作人員進入機房必須更換干凈的工作服和拖鞋。

5)機房內嚴禁吸煙、吃東西、會客、聊天等。不得進行與業務無關的活動。嚴禁攜帶液體和食品進入機房，嚴禁攜帶與上機無關的物品，特別是易燃、易爆、有腐蝕性等危險品進入機房。

6)機房工作人員嚴禁違章操作，嚴禁私自將外來軟件帶人機房使用。

7)嚴禁在通電的情況下拆卸、移動計算機等設備和部件。

8)定期檢查機房消防設備器材。

9)機房內不準隨意丟棄儲蓄介質和有關業務保密數據資料，對廢棄儲蓄介質和業務保密資料要及時銷毀(碎紙)，不得作為普通垃圾處理。嚴禁機房內的設備、儲蓄介質、資料、工具等私自出借或帶出。

10)主機設備主要包括：服務器和業務操作用PC機等。在計算機機房中要保持恒溫、恒濕、電壓穩定，做好靜電防護和防塵等項工作，保證主機系統的平穩運行。服務器等所在的主機要實行嚴格的門禁管理制度。及時發現和排除主機故障，根據業務應用要求及運行操作規范，確保業務系統的正常工作。

11)定期對空調系統運行的各項性能指標(如風量、濕度、潔凈度、溫度上升率等)進行測試，并做好記錄，通過實際測量各項參數發現問題及時解決，保證機房空調的正常運行。

12)計算機機房后備電源(UPS)除了電池自動檢測外，每年必須充放電一次到兩次。