【IT168 专稿】2008年6月国家财政部、证监会、审计署、银监会、保监会联合发布了《企业内部控制基本规范》，此规范以保障财务报告的真实性、可靠性为核心，同时对IT内部控制也提出了较高的要求，并决定于2009年7月1日在上市公司范围内施行，同时也鼓励非上市的其他大中型企业执行。

　　然而，变化总是快于计划。近日，"上市公司人肉搜索"迅速蹿红网络，类似有关上市公司的"内幕信息"近日接连被集中发布于投资者交流的网站上。自称知道内情的网民，把公司内部的股东关系、高管收入等信息全部公开。有的公司内部员工揭露股东错综复杂的关系以及关联交易；有的揭发高管收入；甚至有的提前透露一些公司重组投资等私密重大事件，当然也不乏一些机构人士发表真知灼见的。"人肉跟帖"里面充斥着上市公司真真假假的信息。

　　人肉搜索行为游离在监管之外，可能沦为传播虚假信息的平台；可能被不法人员利用，损害投资者利益；如果人肉搜索的信息是真实的，可能造成信息泄露，直接造成交易的不公平；人肉搜索传播虚假信息、泄露重大未披露信息，其责任极难认定；人肉搜索混淆视听，干扰上市公司的正常信息披露。人肉搜索之风悄然刮进资本市场，以及由此引发的信息披露问题之争，对监管层是一个不小的考验。

　　为此，监管部门正加紧要求上市公司完善信息披露制度，督促上市公司满足投资者的日益增长的正当信息需求，做好投资者关系管理工作。监管部门也正在研究针对人肉搜索的监管制度，进一步提高监管反应速度，提高上市公司信息披露质量和效率，并将采取必要的监管措施。

　　与此同时，上市公司也必须建立自身的信息安全规范制度，并贯彻执行，以保证公司信息披露的安全、有效、合理进行，满足投资者正当信息需求，保证投资者利益；同时，防止企业相关非披露信息的泄露、规避相关法律风险。良好的内部信息安全规范制度如何得到有效的执行？仅靠企业内部纪律约束与员工的自觉意识是远远不够的。

　　绝大部分人肉搜索都发生在上班时间，这对于上市企业来说无疑是一个巨大的安全隐患。据IDC对中国企业网络使用情况的调查中发现，员工在上班工作时间浏览与工作无关的Web网站、论坛发帖行为非常普遍。尤其值得注意的是随着人肉搜索在互联网上的广泛应用，企业的信息安全风险将会逐步增加。

　　就此问题，本站记者特约采访了深信服电子科技有限公司资深产品总监张开翼先生，张开翼先生表示：

　　针对目前上市公司最为关注的"人肉搜索"问题，一方面，需通过国家相关监管部门的法律法规制度来规范网民的互联网言论发布行为；另一方面，上市公司还需依靠技术手段对内部员工的日常网络访问行为进行有效监管，降低企业的信息安全风险。

　　同时，在企业信息资产安全管理技术方面，张开翼先生也给出了其独到的指导意见：

　　人肉搜索源自于web网站访问行为，与论坛访问、网络发贴等上网行为息息相关。所以，上市公司对员工日常所访问的网页、网址、发布内容的管控就显得尤为重要。首先，需要严格、精准的过滤内网员工访问的网址，传统的静态URL库是管控网页访问行为的基础；但随着Web2.0、博客、SNS等发展、互联网网址已经突破一万亿个(来自Google数据)，这就需要结合人工智能技术、基于网页内容实现网页的智能分类；再者搜索引擎将最新的互联网资讯展现给用户，所以基于多个关键字过滤搜索行为可以有效避免非善意用户的非善意搜索行为。有效识别网址是管控的基础，"放通"或"封堵"是"一刀切"式的传统管控，而"允许看贴但不准发贴"则是更先进、更灵活、更人性化的网页访问行为管控方式：允许内网用户访问论坛、BBS等浏览网页、但不准外发言论、外发帖子，既保障企业信息资产安全，又避免"一刀切"管控导致的员工反弹。。

　　除"人肉搜索"威胁企业信息资产安全外，Email、文件外发、IM聊天等上网行为也需要严格、细致的管控。例如：过滤外发邮件、或主动拦截符合特定条件的外发Email，并人工审核后再允许外发；允许员工登录webmail站点查收邮件、但不准外发；存心的泄密者通过HTTP、FTP、Email附件等方式外发泄密文件通常会篡改、删除文件后缀名，压缩、加密泄密文件，这使得基于后缀名识别、过滤文件的传统手段束手无策，就此问题深信服科技基于文件特征的识别、过滤手段，有效防范此类泄密行为；最后管控IM聊天工具，封堵不必要的IM工具，限制IM传文件行为，记录明文、密文IM聊天内容等都必不可少；由聊天好友发送的病毒连接等导致员工电脑感染病毒、木马、间谍软件等，员工很容易在"不知不觉"中"被动泄密"，就此深信服科技同样提供的识别和过滤解决方案。。

　　最后，为保证突发事件发生时有据可查、有据可依，同时为满足公安部82号令对上网日志存储记录的要求，上市企业需对员工日常上网的日志信息进行详细审计与记录，最大限度降低企业的法律风险。大中型企业每天产生数十G日志，突发事件发生后如何快速定位问题所在？利用类似Google的搜索技术，深信服科技的内容检索引擎可通过多个关键字、在1秒内从海量日志中精准定位您想要的日志记录，而且可对OFFICE、PDF等文档正文内容进行检索，极大提升管理者对日志的操作性、透明性。

　　证券维权律师严义明近期表示，人肉搜索的信息中，凡涉及上市公司的高管隐私，或有侮辱人格的内容，现行法律均有相应的管理措施。除此之外，法律均没有明确界定。如"人肉搜索"中传播虚假信息的话，侵权人身份很难确定，只能依靠证监会和公安部联手查处，但查处的时间成本和人力成本都相对较高。因此，在国家相关监管部门逐步完善针对此类网络行为的监管制度的同时，上市公司先行采用高科技技术手段保证组织自身信息安全实为明智之举。

　　【深圳市深信服电子科技有限公司是全球领先的前沿网络设备供应商，同时也是上网行为管理领域的鼻祖及领军企业，旗下SINFOR AC上网行为管理产品在企业信息安全管理及网络带宽价值提升方面取得了丰富的经验及成果，该产品已广泛应用于国内外各类大型企业，拥有高端客户七千余家，帮助越来越多的上市公司保障企业内部信息安全、降低法律风险、提升网络带宽利用率、提高员工工作效率】