根据《最高人民法院关于审理不正当竞争民事案件应用法律若干问题的解释 》第十一条的相关规定：“权利人为防止信息泄漏所采取的与其商业价值等具体情况相适应的合理保护措施，应当认定为反不正当竞争法第十条第三款规定的“保密措施”。

　　人民法院应当根据所涉信息载体的特性、权利人保密的意愿、保密措施的可识别程度、他人通过正当方式获得的难易程度等因素，认定权利人是否采取了保密措施”

　　关于商业秘密部分，原告提交的证据并不能证明其对施工方法、检验报告中的相关数据技术秘密采取了相应的保密措施。根据最高人民法院《关于审理不正当竞争民事案件应用法律若干问题的解释》的规定，原告应对其主张的上述信息构成商业秘密负担举证责任，现原告并未提交相应证据，据此法院认定原告所主张的信息不符合商业秘密的要件，对原告所述被告侵害了原告商业秘密的主张不予支持

　　1、合理的保密措施的判定标准?

　　根据最高人民法院《关于不正当竞争民事案件应用法律若干问题的解释》第十一条第三款规定，“具有下列情形之一，在正常情况下足以防止涉密信息泄漏的，应当认定权利人采取了保密措施(一)限定涉密信息的知悉范围;(二)对于涉密信息在采取加锁等防范措施;(三)在涉密信息的载体上标有保密标志;(四)对于涉密信息采用密码或者代码;(五)签订保密协议;(六)对于涉密的机房、厂房、车间等场所限制来访者或者提出保密要求;(七)确保信息秘密的其他合理措施”。

　　保密措施的认定?根据最高人民法院《关于不正当竞争民事案件应用法律若干问题的解释》第十一条第三款规定，“具有下列情形之一，在正常情况下足以防止涉密信息泄漏的，应当认定权利人采取了保密措施：(二)对于涉密信息在采取加锁等防范措施”。《劳动合同法》第四条的规定：“用人单位应当依法建立和完善劳动规章制度，保障劳动者享有劳动权利、履行劳动义务。用人单位应当将直接涉及劳动者切身利益的规章制度和重大事项决定公示，或者告知劳动者”。根据国家经贸委办公厅《关于加强国有企业商业秘密保护工作的通知》第二条的相关规定：“国有企业要逐步建立健全商业秘密保护制度，使商业秘密保护措施制度化。国有企业根据实际需要，可以制定如下商业秘密管理制度：商业秘密事项产生、认定管理办法;...职工保守商业秘密管理办法...”

　　根据《最高人民法院关于审理不正当竞争民事案件应用法律若干问题的解释》第十一条：“人民法院应当根据所涉信息载体的特性、权利人保密的意愿、保密措施的可识别程度、他人通过正当方式获得的难易程度等因素，认定权利人是否采取了保密措施。具有下列情形之一，在正常情况下足以防止涉密信息泄漏的，应当认定权利人采取了保密措施：(一)限定涉密信息的知悉范围，只对必须知悉的相关人员告知其内容;(四)对于涉密信息采用密码或者代码等;(五)签订保密协议”。

　　保密措施的认定?根据《最高人民法院关于审理不正当竞争民事案件应用法律若干问题的解释》第十一条规定：“人民法院应当根据所涉信息载体的特性、权利人保密的意愿、保密措施的可识别程度、他人通过正当方式获得的难易程度等因素，认定权利人是否采取了保密措施”。商业秘密保护中的保密制度并不要求权利人的措施万无一失，只要权利人采取了在当时、当地条件下是适当的、有效的、符合常理的措施即可。

　　保密措施的认定?根据《最高人民法院关于审理不正当竞争民事案件应用法律若干问题的解释》第十一条：“人民法院应当根据所涉信息载体的特性、权利人保密的意愿、保密措施的可识别程度、他人通过正当方式获得的难易程度等因素，认定权利人是否采取了保密措施。具有下列情形之一，在正常情况下足以防止涉密信息泄漏的，应当认定权利人采取了保密措施：(一)限定涉密信息的知悉范围，只对必须知悉的相关人员告知其内容;(二)对于涉密信息载体采取加锁等防范措施;(五)签订保密协议;(七)确保信息秘密的其他合理措施。

　　商业秘密要保持其秘密性，权利人必须采取一定的措施，以维持它的不为人知性。根据《最高人民法院关于审理不正当竞争民事案件应用法律若干问题的解释》第十一条，权利人为防止信息泄漏所采取的与其商业价值等具体情况相适应的合理保护措施应是：“根据所涉信息载体的特性、权利人保密的意愿、保密措施的可识别程度、他人通过正当方式获得的难易程度等因素，认定权利人是否采取了保密措施。”

　　那么权利人采取了怎样的措施，才能被认定为是合理的呢?根据该条第三款：“具有下列情形之一，在正常情况下足以防止涉密信息泄漏的，应当认定权利人采取了保密措施(一)限定涉密信息的知悉范围;(二)对于涉密信息采取加锁等防范措施;(三)在涉密信息的载体上标有保密标志;(四)对于涉密信息采用密码或者代码;(五)签订保密协议;(六)对于涉密的机房、厂房、车间等场所限制来访者或者提出保密要求;(七)确保信息秘密的其他合理措施。”

　　也就是说，法律是根据权利人是否已尽到合理的努力保护自身的商业秘密，以此来考察是否采取了合理的保密措施。权利人必须主观上有保护相关信息的意识，并在客观上表现出一定的行为。对此，企业一般需在自身的软件和硬件方面下功夫。软件是指制度、管理层面，企业通过规章制度、与员工签订保密协议等方式，将相关商业秘密性质、违反的处罚等，特别是商业秘密的范围及保护要求予以列明;硬件方面则指通过物理隔离、人员监管、分层次审批等方式阻碍员工及外来人员轻易的接触到企业的商业秘密，并以此警告心怀不轨的人员，若侵犯企业的商业秘密，必将承担一定法律责任。

　　商业秘密的特征(同专利相比)概括起来有以下几点：

　　一、商业秘密不要求公开技术。专利是以公开技术内容为代价来获得法律赋予的专有权，故其内容须表现在专利说明书及附图上，其保护的范围以权利要求书的内容为准。而商业秘密则一般处于秘密状态，以为权利人独有的保密方式维持其价值。

　　二、商业秘密可获得无期限的保护。专利的保护期由相关法律法规规定，《专利法》规定，自申请之日起，发明专利的保护期为20年，实用新型和外观设计专利的保护期为10年。而商业秘密的保护期则由企业自行决定，不受该技术本身的影响，企业即使决定对商业秘密进行无期限的永久性保护亦可。

　　三、商业秘密的保护不受地域限制。专利权的取得依国家的法律产生，并在该国的管辖范围内有效。而商业秘密权则不受地域限制，由企业根据自己的需要在不同的国家、地区自行或许可他人使用，同时也由企业自行采取保密措施进行保护，故商业秘密的保护不受地域限制。

　　四、商业秘密权人无权排除他人通过正当渠道取得与其相同或类似的信息。专利权存在唯一性，一旦被提出专利申请，其他人就不得再以相同的发明、实用新型或外观设计申请专利，故专利权具有绝对的排他性。而商业秘密由于可同时由两个或两个以上权利人共同享有，故当他人通过自行开发、反向工程等途径获得与商业秘密权人相同或类似的信息，商业秘密的权利人是无权进行干预的，故保护性较弱，丧失权利的可能性也较大。

　　五、商业秘密保护的程序较为简单，且不需缴纳费用。专利权是经过权利人向有关部门申报，并经审查批准后，法律赋予其在管辖范围内受保护的权利，且专利权人需按照规定进行缴费，否则就会像本案的九洲所的专利权一样终止。而商业秘密则是由企业自行采取的保密措施，程序由企业自行决定，故相对而言较为简单，且不需缴纳保护费用。

　　商业秘密的权利人可综合考虑有关信息的特性、企业的保密条件、企业的经济实力等因素，决定采取仅以商业秘密或专利，或既通过申请专利又作为商业秘密的形式对有关信息进行保护。

　　具有下列情形之一，在正常情况下足以防止涉密信息泄漏的，应当认定权利人采取了保密措施：(一)限定涉密信息的知悉范围，只对必须知悉的相关人员告知其内容;(二)对于涉密信息载体采取加锁等防范措施;(三)在涉密信息的载体上标有保密标志;(四)对于涉密信息采用密码或者代码等;(五)签订保密协议;(六)对于涉密的机器、厂房、车间等场所限制来访者或者提出保密要求;(七)确保信息秘密的其他合理措施。”

　　商业秘密载体与传输途径管理。信息本身为无体物，情报、指令、数据和信号中所包含的内

　　容必须依赖某种媒介进行传递。信息载体，是指在信息传播中携带信息的媒介，即用于记录、传输、积累和保存信息的实体，包括以能源和介质为特征，运用声波、光波、电波传递信息的无形载体和以实物形态记录为特征，运用纸张、胶卷、胶片、磁带和磁盘传递、储存信息的有形载体。

　　声音、符号和图像是人类所特有的三种信息形式，也是人类传播信息的主要形式。语言用声音来传递信息，文字用书写符号来传递信息，绘画用图像来传递信息。公司中常见的信息载体包括单据(凭证)、台账、报表、计划、文件、报告等。

　　信息是在传播中流动的，其流动和保存需要一定的载体。因此，企业信息管理首先表现为对信息载体的管理。信息可以有多重载体，例如，文字的声和形是其意义的载体，而文字的形状又可以有诸如纸张、甲骨、泥版等物理载体。信息载体管理，是指对以文字、数据、符号、图形、图像、声音等方式记载国家秘密信息的纸介质、电磁介质等各类物品及载有涉密信息的电子文件等载体的管理。

　　信息的流动是非常容易的，例如，人们可以拷贝一个文件到另一个地方，或者从一个文件中粘贴一部分，或者另存为另一个文件，或者发送邮件，或者上网填写信息，等等。即使没有人的介入，也有病毒和“木马”会到处搜索文件，并悄悄地或猛烈地随意传播，等等。诸如此类事件发生时，信息就四处流动。

　　理解信息的特征，就为对信息的管理提供了决策的依据。如果希望保留信息在企业里，就要用容器来承载信息。要是企业试图用动物园看管动物的铁笼子来保护信息，那么动物当然出不来，信息却会悄无声息地流出去。

　　就信息保护而言，网络是信息的载体或传播媒介，要构成一个容器，就要把企业的网络也放置其中，形成这个容器的手段，叫“隔离”。

　　在很多行业中，隔离已经司空见惯。隔离给信息制造了一个无从跨越的界限，从而封堵了信息流出的可能性。所以，强有力的信息保密，至少要建立在一个基础上，就是物理的隔离。物理隔离是商业秘密保护的坚实基础。管理商业秘密本身的基本思想是将商业秘密与外界进行隔离(物理保密措施)，它包括从区域管理到电脑管理、再到网络管理

　　三个层次的内容。一、物理区域隔离

　　(一)区域管理的主要策略

　　多一个不相关的人知悉企业秘密就多一分泄密的危险，商业秘密保护的一个重要原则就是严格限制知悉人员，避免无关人员接触商业秘密信息。区域管理的主要目的是将接近商业秘密的人限制到最少，在可行的情况下，限定雇员只接触商业秘密的一部分。进行商业秘密区域管理的主要策略包括以下内容：

　　1.对商业秘密做出标志

　　对商业秘密做出标志，是保守商业秘密、预防过失泄密、显示保密意图的一项重要措施。商业秘密标志虽然未被法律明确规定为判定商业秘密的条件，但它符合一般保密常理和保密意图显见性原则，在司法实践中得到重视并被广泛采用。企业可根据商业秘密载体形式，标志为商绝密级、商机密级、商秘密级三级或商密A级、商密AA级、商密AAA级三级。商业秘密标志

　　商业秘密标志，是指标注在商业秘密载体上，表示所载信息属于商业秘密，对接触者起到告知、提示、警示之意的标识。

　　2.商业秘密全生命期的管理

　　对商业秘密的产生、存续、变化、消灭，均采取必要的物理保护措施。

　　3.商业秘密载体存放地点(产生、使用、保存、转移、处置的各个环节)的隔离直接采取厂房保安措施，如门卫、围栏、上锁、限制进入区域，进入登记，禁止无关人员进入;商业秘密带出隔离区域必须经过批准;商业秘密保管人、使用人、责任人(有权接触人)之外，其他人接触商业秘密，必须经过批准;商业秘密载体的复制必须经过批准;商业秘密的标志，使他人望而止步。

　　4.商业秘密载体与其他普通物品的识别混淆使他人很难直接判断商业秘密载体物品;文件中加入干扰信息。

　　5.商业秘密的隐藏即使取得商业秘密载体，也难以获得商业秘密核心，例如，生产企业如原材料是保密的，原材料供应可采用密闭容器，不加成分标记，或以颜色、成分代表。

　　6.商业秘密的销毁。使用碎纸机等对商业秘密载体直接销毁;对废弃物的管理。工业垃圾和废弃物品，从某种意义上讲是企业技术、经营的详细日志，必须妥善处理，将载体彻底破坏。

　　(二)重点部位的监控与管理重点部位监控与管理工作主要包括以下内容：1.重点部位包含的主要范围

　　产生、处理、存储、使用商业秘密的部位，是保密管理的重点。这些部门或部位大致为产品技术开发研究部门、商业秘密信息集中处理部位、计算机中心和数据库、商业秘密信息集中存放部位、企业策划部门、财务部门、商业秘密信息显现的生产部位等。

　　2.重点部位的确定

　　重点部门或者部位的明确确定，是保密监控和管理的前提。企业应根据商业秘密信息产生、使用和保管的实际，把那些最集中、最核心的部门或者部位确定下来，在企业内部通报，使管理者和被管理者做到心中有数。

　　3.重点部位的监控。商业秘密的重点部位应有必要的监控措施。如重点部位电子

　　监控报警，人员身份识别系统，人员进出特别许可批准制度，进出特许身份牌标识，对外接待禁止参观区域和禁止行为作出明示，进出携带物品的禁止目录或检查措施，涉密人员离开工作地点前清理工作台面和计算机制度等。

　　(三)提高技术监控手段1.防复制技术

　　可以采用在载有商业秘密信息的文件资料上加入某些印记或插入一些虚假信息的方法，使复制时不可覆盖掉这些印记和信息，以此证明复制事实及原信息的归属，为将来采用法律手段保护商业秘密留下证据。

　　2.防窃听技术。着重注意电话、手机、无线扩音、传真等空中信号的窃听和便携式、固定式窃听器的窃听。

　　3.防窃技术。在商业秘密载体保存、使用的场所或区域，装备可靠的防盗设备。防盗设备应具备以下功能：延缓作案时间并使之与报警救援所需时间相匹配;监控报警装置不易被发现，并具有在遭破坏时自动报警功能;进出人员身份辨别和录像监控记录功能。

　　4.防辐射技术

　　通过一些物理方法和技术方法防止电磁辐射泄密，比如现在政府保密部门电脑安装的物理阻隔板。

　　5.防网络窃密技术

　　网络分为内网和外网，应分别采取相应的监控技术和措施。

　　6.防窃照技术

　　一是接待参观的路线实行“坚壁清野”，不留下商业秘密的痕迹，如生产流程图、工艺配方图表、生产岗位责任表、生产示意图或进度表、工程设计图纸等。二是实行“清桌”制度，要求员工做到离开工作地点时工作台不留只言片纸，计算机必须返回初始窗口或关机。三是外来人员确有必要参观生产线的，应有专人负责控制外来人员的照相、摄像行为，严密监控偷拍行为。

　　(四)传真机和打印机的管理

　　传真机和打印机的使用，往往是商业秘密存放过程中的一个死角。为完善对商业秘密各个环节的保护，公司应加强对传真机和打印机的管理。

　　1.传真机的使用和管理方法

　　(1)配备专用传真机，对包含商业秘密的传真，由经办人员通过专用传真机直接收发传真.不需要经过其他中间环节。

　　(2)对置于公共办公场所的传真机，要求行政人员负责管理。如接收到传真件，要求行政人员立即收取好并交给收件人。

　　(3)在有商业秘密信息的文件传真过程中，传真人员不可离

　　开传真现场。

　　(4)将具有商业秘密信息的文件传真给对方时，应事先通知对方，要求其亲自或安排人员等候传真件，传真后进行确认。若对方要发来传真，应事先要求对方在传真前进行传真确认，要求收件方安排人员等候输出。在输出完毕后，应与对方确认页数及内容。

　　2.打印机的使用和管理方法

　　(1)为掌握企业商业秘密的人员配备专用打印机，避免打印文件内容被他人知悉。

　　(2)将掌握商业秘密人员的打印机放置于单独房间，与普通员工的打印机分开。

　　(3)若使用公用打印机，在开始打印后，应立即亲自或者安排人员到打印机旁等候。

　　(4)若打印机因缺纸无法正常输出或出现故障，应查明原因，立即重新添加纸张或修复，确保不使载有商业秘密的文件失控。

　　(5)如因文件修改多次打印，应将废弃的打印文件一并收回，不可遗留在打印室或随意丢弃。

　　(6)对包括有客户信息、业务往来信息、财务信息的废弃打印纸应用碎纸机销毁，不得重复利用。

　　打印机是现代企业办公必不可少的设备之一，但是很多时候它的安全管理为人所忽视。有人认为打印机不比普通计算机终端，不会中毒或被黑，因此不会泄密，事实证明这是错误的。据凤凰网报道，济南某装甲团用新建的打印设备专门承担全团的涉密文件打印任务，然而一次机关干部考试，在电脑不上网、试卷柜上锁的前提下，试卷还是泄露了。经过调查，原来负责打印的人员将试卷文本列入打印任务后，打印机因缺纸没有打印，后来又没有在电脑中取消打印，最终造成考题泄露。电脑管理

　　随着电子技术的发展，企业的业务流程及信息处理越来越依赖于IT设施，企业的信息也从最开始的以纸介质为保存媒体，逐渐转变为纸介质和电子介质共同保存的局面。许多企业出于快速处理信息的考虑，甚至将所有信息进行电子化，所有业务流程也依赖于IT设施。因此，IT设施的正常运作及电子信息的良好保护，成为企业业务顺利进行和发展的关键因素之一。

　　1.设置电脑进入密码

　　为避免擅自使用他人电脑而造成泄密，公司应要求员工对所有电脑特别是掌握企业商业秘密的人员的电脑设置密码，这样，其他人即使启动了该电脑，也无法正常进入。

　　2.电脑设置定时锁定程序

　　如电脑处于不使用状态一定时间，即自动闭屏，若要再次使用，电脑会自动要求输入密码，避免窃密者利用主人不在现场时窃取商业秘密。

　　3.文件加密

　　即使该文件被他人窃取或在传输过程中被不相关人员获取等，也不能知悉该文件中的商业秘密内容。

　　4.设置文件禁止复制

　　这种做法，特别适用于企业高级管理人员及企业存储的重要商业秘密。设置禁止复制，该文件里的商业秘密就不容易被泄露。

　　5.拆除软盘、USB接口及光盘刻录等

　　公司应根据内部工作需要，对凡是不需要上述外接设备的工作人员的电脑，将有关接口予以拆除，防止有人通过电脑窃取商业秘密。

　　6.电脑内容清除

　　给员工配置工作电脑，务必清除该电脑中之前遗留的所有不必要信息。

　　7.安装电脑操作历史记录程序

　　安装这一程序的作用是可以保留该电脑中所有操作历史记录。如果该电脑中的商业秘密文件被窃取或被他人查看等，可以通过该历史记录来反映何时被窃取等信息，这样有助于发现商业秘密泄密事实并查出事实真相，还可以作为证据使用。

　　8.拆除涉密存储设备

　　计算机与网络设备交外部人员修理时，必须先拆卸涉密存储设备，防止商业秘密被修理人员窃取。随着笔记本电脑、移动存储介质的广泛使用，这些设备的失窃也造成了越来越多的泄密事件。根据美国福克斯新闻频道调查，全球平均每53秒就有一台笔记本丢失。2006年，全球知名咖啡连锁店星巴克公司有四台笔记本电脑下落不明，其中两台储存有约6万名现任及前任雇员的个人资料，包括姓名、地址及社会福利号码等数据记录，另外还有有关外包业务的数据。

　　9.数据加密

　　对于移动设备而言，防止其失窃泄密的有效手段是进行数据密。实际上很多公司已经为笔记本电脑用户部署了主动加密软件，但往往被忽略。可以通过一定的技术保障来落实保密制度，比如动态透明加密技术，这种技术基于内核级驱动，操作系统层自动在读写磁盘数据时进行加解密，使用者完全感觉不到加解密过程的存在，既可保证数据安全，又丝毫不影响用户的操作习惯。保守公司商业秘密、限制员工不正当行为，这些理由往往促使公司对员工业务上的通讯给予监督，包括员工的电话、聊天记录等。对员工工作的监视可能触及对员工隐私权的侵犯。我们对由此产生的法律问题进行以下讨论，并就司对员工监督过程中如何减少法律纠纷提出一些指导意见。

　　1事先征得同意。事先征得被监督人的同意，双方可以将同意的内容写入合同，或是当事人暗示接受监督。

　　2.出于商业原因进行监控。出于商业目的，企业可以在法律许可的范围内，对员工电话和电子邮件进行监听和监视，而无须经过员工同意。企业在一般的商业活动进程中，可以使用有线或电子通讯设备拦截员工的通讯信息。

　　3.为减少员王的抵触。改善与员工的关系，最好的办法是制定专门监控制度并透明化，向员工讲明该制度的目的以及监控范围。

　　4.计算机系统、通讯服务系统以及公司所有的商业信息属于企业财产。

　　5.留对员工电子通讯进行监控的权利。留对员工电子通讯进行监控的权利。

　　6.员工进行监视是出于傈护公司商业秘密的目的。

　　7.定公司商业秘密的接触权限和利用范围。

　　8.止不正当的使用，包括未经许可复制、分发公司资料，传输商业机密信息等。

　　网络管理

　　(一)互联网商业秘密管理

　　在网络时代，很多人都享受着电脑的快速和便利。通过互联网，企业可以迅速地获取资料、交换信息，互联网是个快速传播信息的通道。现在不少企业通过传真、电子邮件或者其他电子手段传送商业文件，不需数分钟就能传递到地球另一方的合作伙伴手上。不过，电子传递使得他人很容易在传递过程中顺手牵羊。信息经过卫星或者光缆传递，电子传递信号满天飞，在中途截获并非难事。

　　互联网强调互通和信息共享，但这也往往成为引狼入室的后门。一些设立了网站的企业和单位很不注重网络信息安全，信息安全制度不完善、内联网和外联网不分，为不怀好意的黑客提供了畅通无阻的捷径，从而成为企业商业秘密快速泄密的渠道。

　　在互联网时代，企业商业秘密保护受到严峻挑战。因此，企业应在充分利用互利网带来的便利的同时，积极采取有效措施，防止网络泄密。

　　互联网信息系统是一个复杂的计算机系统，它本身在物理上、操作上和管理上的种种漏洞构成了系统安全的脆弱性，尤其是多用户网络系统自身的复杂性、资源共享性使单纯的技术保护防不胜防。网络环境中的保密措施与传统商业秘密的保密措施相比，具有不同的一面。网络信息安全与保密，主要是指保护网络信息系统，是通过计算机、网络、密码技术和安全技术，保护在公用网络信息系统中传输、交换和储存的消息的秘密性、完整性、真实性、可靠性，使其没有危险，不受威胁。

　　(二)网络环境下商业秘密以数据电文形式存在，通过网络侵犯商业秘密主要有以下几种情况

　　1.网络上公布共享软件之注册码

　　共享软件在试用期满后，其权利人会要求消费者进行注册(或付费)后，才能继续使用。于是就有某些人破解该软件的注册码(属商业秘密的一种)，并公布在网络上，使其他人可免费下载。该种方式是将软件作为商业秘密进行保护的一种实务模式，对软件的实务保护作者在此不予展开。

　　2.将商业秘密置放于公共空间，使多数人得以任意下载、转载、读取商业秘密经过公众大量阅读、传播之后，自然丧失了秘密性。

　　3.利用电子邮件窃取商业秘密

　　对一名黑客而言，入侵、查看、监视他人的E-mail并不是件太复杂的事情(有地址定位与“木马”程序等多种方式)。因此，随着电子商务的普及应用，对一般公司用户，这样的麻烦是非常有可能遇到的。

　　4.侵入公司内部数据库获取商业秘密

　　攻击者使用“最易渗透原则”，必然对系统中最薄弱的地方进行攻击。因此，充分、全面、完整地对系统的安全漏洞和安全威胁进行分析、评估和检测(包括模拟攻击)，是设计信息安全系统的必要前提，但是又不能影响系统的正常运行和合法用户的操作活动。这是网络环境中信息保密系统“有效性与实用性相结合”原则的必然要求。

　　通过互联网侵犯商业秘密最常用的技术方式是电子邮件，由于电子邮件在商业活动中的普遍运用，企业和其员工通过电子邮件有意或无意侵害商业秘密的情况屡见不鲜。此外，以FTP传送文件、BBS、新闻组和远程登录等方式都可以造成泄露或窃取等对商业秘密的侵害。至于黑客入侵、破坏秘密信息类型的犯罪行为，更属商业秘密的大敌。

　　(三)保护商业秘密，防范以互联网侵犯公司信息的途径

　　1.在计算机化的工作场所，应考虑各具体工作岗位需要何种信这样在设立信息系统的内部屏障时，才能确保雇员只接触其工作所需的信息。中央控制服务系统分配给每个授权用户一个独特的密码，这个密码由用户自己保护及保密，密码应该是难以破解的，并定期更换，不再授权使用时，应予删除。

　　2.严格禁止所有雇员进入其他雇员的电子邮件或语音邮件，并且违反这一政策会导致严重的纪律处分

　　3.涉密计算机不上网

　　如今，黑客技术能够通过网络侦讯到联网计算机硬盘上的信息，因此，涉密计算机上网，会非常危险。所以，企业应将存储其具有核心竞争力的商业秘密及具有重要经济价值的商业秘密的计算机单独置放，不要连接互联网。

　　4.妥善安装摄像头

　　通过摄像头不但会将企业内部的经营活动全部暴露给竞争对手，而且会造成载有商业秘密的文件泄密。

　　5.禁止擅自下载、安装与工作无关的程序

　　由于有些程序会带有间谍软件，若擅自下载，很可能不经意间就被安装了间谍软件，所以，为保护商业秘密，员工不得下载与工作无关的程序。

　　6.存储在计算机硬盘和安全的中央系统或网络服务器这类介质上的文件，应该包含一个提示当用户试图打开某文件时，该提示随即出现并指出试图打开的文件中含有具有商业价值的机密或秘密信息或数据。

　　7.公司高层管理者对员工使用互联网行为进行监视

　　在监视之前应明确告知员工，工作时间禁止使用公司设备从事私人活动，公司将监视每一位员工网络中传输的信息，包括使用办公计算机设备传送的私人电子邮件;采用多种方式的网络监督手段，包括拦截传输中的电子邮件、中断电子邮件的传输、追回已删除的电子邮件等。

　　8.对于员工使用网络传输涉及商业秘密的文件、信息时，可以使用加密计算机程序

　　取得解密“钥匙”，信息的被送达人享有该钥匙，进行解密取得信息。这种措施对于送达文件、信息途中的窃取、窃听，以及员工按错送达对象按钮的情况，可以有效保守秘密。但也要注意员工滥用、钥匙丢失等情况发生。

　　9.在计算机安全上，采取技术措施

　　这些技术措施包括：设立识别码和密码认证、防火墙、档案加密等，保证网络使用的安全。

　　10.公司确保用合同约束提供外部虚拟主机的网站服务公司，以保证存储在其网站的数据得到充分的保护

　　(四)公司内部局域网商业秘密管理

　　局域网多是将员工的计算机物理连接起来组成的一个网络。只要是物理连接，理论上讲，其中的任意一台计算机都可以访问其他连在这个网络上正在工作的计算机。有统计表明，50%的电脑泄密来自于公司内部局域网。因此，加强局域网商业秘密管理非常重要。

　　(五)局域网网络边界管理

　　局域网内的安全威胁不同于网络边界的威胁。网络边界安全技术防范来自Internet上的攻击，主要是防范来自公共的网络服务器如HTTP或SMTP的攻击。网络边界防范缩成了资深黑客仅仅只需接入互联网、写程序就可访问公司局域网的概率。

　　局域网内的安全威胁主要源于公司内部。恶性的黑客攻击事件一般都会先控制局域网络内部的一台Server，然后以此为基地，对Internet上其他主机发起恶性攻击。

　　1.限制VPN用户

　　VPN(虚拟专用网)用户的访问对局域网的安全造成了巨大威胁，因为它们将弱化的桌面操作系统置于企业防火墙的防护之外。在允许VPN用户访问公司局域网的同时，避免给每一位VPN用户访问内网全部权限。这样可以利用登录控制权限列表，限制VPN用户登录权限的级别。即只需赋予他们所需要的访问权限级别即可，如仅赋予其访问邮件服务器或其他可选择的网络资源的权限。

　　2.通过单机管理维护局域网安全

　　在构建内控安全系统方面，防护网络中最薄弱的环节——桌面终端是重中之重。系统应该结合桌面监控审计技术与企业原有部署的网络安全技术，形成技术的整体防范能力;并在企业现有的保密制度基础之上，结合监控审计系统，制定相应的管理措施，增强各级人员安全意识，建立健全保密制度;同时，加强信息安全人员的队伍建设，加强培训，将各项保密工作落到实处，确保各项管理措施得到贯彻执行。现有的安全系统对桌面终端的日常操作及攻击缺乏有效的监控、防护手段，由于网络可以方便地进行资源共享，信息在网络上传输不受监控，对涉密信息没有采取传输范围和传输前密码授权控制，使得一些涉密信息极有可能通过网络，从一些开放的终端传出去，而不留痕迹。

　　对涉密信息没有进行加密处理或者保护处理，将涉密信息通过各种出口，如USB接口、串口等方式拷贝出去，缺乏必要的监控和审计。电子产品日新月异，小巧易带的软盘、光盘、U盘、移动硬盘、笔记本电脑甚至MP3等可移动存储的磁介质越来越小，装载的信息量越来越大。公司在计算机上储存的各种商业秘密都可能被泄露出去。

　　有的企业没有配备专门的计算机维护管理人员，或者机房管理不严格，无关人员可以随意进出机房。

　　当机器发生故障时，随意叫自己的朋友或非专业公司的人员进入机房维修，或将发生故障的计算机送修前不做消磁处理，或不安排专人监修，都会丢失涉密数据。

　　3.限制合作网访问空间

　　合作企业网也是造成内网安全问题的一大原因。既然不能控制合作者的网络安全策略和活动，那么就应该为每一个合作企业创建一个DMZⅢ，并将他们所需要访问的资源放置在相应的DMZ中，不允许他们对局域网其他资源访问。

　　4.时时安全跟踪策略

　　商业活动的现状需要企业利用一种自动检测方法来探测商业活动中的各种变化，因此，安全策略也必须与其相适应。例如，实时跟踪企业员工的雇佣和解雇，实时跟踪网络利用情况，并记录与该计算机对话的文件服务器。智能自动执行实时跟踪的安全策略是有效实现网络安全实践的关键，它带来了商业活动中一大改革，极大地超越了手动安全策略的功效。

　　5.服务器管理

　　大型企业网可能同时支持多个服务器传送E-mail，有的企业网还会出现几十个甚至更多其他服务器监视SMTP端口的情况。这些主机中很可能有潜在的邮件服务器的攻击点。因此，要逐中断网络服务器来进行审查。若一个程序(或程序中的逻辑单元)作为一个Window文件服务器在运行，但又不具有文件服务，若一个局域网上连了千万台主机，首先要对服务器作效益分析评估，然后对局域网的每一台网络服务器进行检查、分类、修补和强化工作，找出重要的网络服务器，并对它们进行限制管理。

　　6.局域网外访问管理

　　对于过客，不必给予其公开访问局域网的权限。许多安全技术人员执行的“内部无Internet访问”的策略，使得员工给客户一些非法的访问权限，导致局域网实时跟踪的困难。因此，须在边界防火墙之外建立过客访问网络块。

　　排除无意义的无线访问点，确保无线网络访问的强制性和可利用性，并提供安全的无线访问接口。

　　将访问点置于边界防火墙之外，并允许用户通过VPN(虚拟专用网)技术进行访问。

　　(六)电子邮件窃密常用方式与检查技巧窃密者利用电子邮件盗窃商业秘密，通常有以下几种方法：

　　(1)更改企业主页上的邮箱链接，将地址设成自己的。

　　(2)更改企业局域网服务器上邮件管理器的配置，添加自己的邮箱地址，或者直接改成自己的地址。

　　(3)通过远程管理程序，阅读、操作目标计算机上的邮件。

　　(4)在邮件传送过程中，通过分析底层协议，截收、窃听邮件。

　　目前，在应用电子邮件进行侵犯商业秘密的案件中，主要使用的是第(1)、(2)种方法。对应用这两种方法的窃密，我们应重视对网络技术手段的运用，具体来说，在进行检查的过程中，以单机——局域网——互联网为顺序从下面几点进行：

　　(1)检查目标计算机，尤其应当注重查看邮件管理软件的操作情况，包括是否有删除、修改、拷贝等操作记录。

　　(2)检查企业主页上电子邮件链接是否被修改，是否被换成其他地址。防止出现计算机页面上一切如常，但邮件的链接已经被更改的情况。

　　(3)检查企业局域网服务器上邮件管理器的配置，是否被更改了邮箱地址或设置了并行地址。在操作记录销毁、恢复原来配置的情况下，从单机上无法发现异常。在这种情况下，可以查看服务器的日志文件，从日志文件的操作记录中进行查找，获得该操作发生时间、结束时间等信息。

　　(4)如果在企业局域网中也未能查到相关、足够的信息，还可以到上级服务器查看近期邮件信息。一般来说，网络服务提供者都有合理的保存项目，如发送时间、发送结束时间以及合理的保存期限。

　　(七)信息加密

　　数据加密能够保护数据在传输过程中不被泄露，也能防止存储设备丢失后不会轻易泄露其中的秘密数据。有两种基本方法可用来加密数据。一种是使用不对称PKI(公共密钥架构)加密。PKI密码术基于一对密钥：其中一个仅供私人使用，且只有用户知道;另一个是公共密钥，是交易中供对方使用的。

　　PKI技术为隐私、访问控制、文件传输证明以及文件存档和检索等提供了支持。虽然目前大多数安全厂商都将某些PKI技术融入自己的软件中，但是其设计与部署上的差异有碍于产品间实现互用性。

　　另一种加密数据的方法是对称密钥保护法，也可称之为密钥加密。通常，这种方法操作起来比PKI的速度要快，但其安全性却逊色一筹。对称加密在加密和解密信息时使用相同的密钥。当密钥分布被严格控制在受信任用户时，对称加密最有效。但由于对称加密非常容易被破译，因此，该技术主要用于保护相对而言不重要且只需保存较短时间的信息或材料。

　　使用加密技术最简单的方法是购买融合了某些加密形式的商业应用或硬件产品。以微软Outlook Express邮件客户端为例，该应用提供了嵌入式加密支持。同时，希捷和日立等供应商已开始将加密技术整合到硬驱上。

　　(八)电脑与互联网安全操作指引

　　1.文档透明加密

　　随着信息经济的发展，企业与外界的沟通日益网络化，企业内外间的线上交流是必不可少的。文档透明加密通过对外发文档的访问权限进行严格控制，以保证企业重要信息不会轻易泄露。文档透明加使企业的重要文档随时处于加密状态，同时不影响用户的使用习惯，在不知不觉中保护文档安全。另外很重要的一点是，文档透明加密可以对外发文档的安全进行良好的管理。

　　2.移动存储管控

　　在各类信息化产品中，U盘、移动硬盘、数码储存卡等移动存储产品被广泛应用，而尤以U盘为甚。对于不少企业而言，移动存储设备方面基本没有什么管理措施，公司与个人的混用，工作与生活的不分，办公室里U盘随意混用。在这样的温床中，孕育出病毒泛滥的境况以及接二连三的信息泄露事件就不足为奇了，而后者的后果往往要严重得多。

　　由于企业自身不重视，再加上移动存储设备本身的管理难度，移动存储往往成为企业信息安全的软肋，比如近年来各种U盘泄密事件层出不穷。如何管理移动存储设备?目前来说，有以下几种方法：一是封堵，对于从企业外部带入的移动存储设备禁止使用，只允许使用公司规定的设备;二是设备加密，对移动设备的文档进行权限管理，即便有人利用移动存储将企业重要文档带出也无法正常打开。

　　当然在实际管理过程中，除了技术上的管控，最好配合以严格的移动存储设备管理制度，对企业内部移动存储使用进行详细的记录，这样才能更好地让移动存储管理纳入有秩序的轨道，保护企业重要文档的安全。

　　3.邮件管控

　　在企业发往外界的邮件中，往往附带着很多与企业商业秘密相关的信息，如果对这些邮件不进行安全控制，机密信息为竞争对手获取，或者为其他人用于商业用途，后果不堪设想。

　　目前对于电子邮件的安全控制，一般采用的解决方法包括规范企业内部使用邮箱，建立公司专用邮箱，禁止其他类型的邮箱，者对外发电子邮件时进行关键字过滤，如邮件主题、附件名中包括指定关键字的邮件不能正常发送。任何一种管控方式都能起到一定的效果，但融合型的产品会更有成效。

　　4.即时通讯管控

　　QQ、MSN、FETION等即时通讯工具已经成为我们日常生活的必要组成部分，对于企业情况也差不多。高节奏的商业形态必须要求实时的通讯工具，但一方面很多人把即时通讯工具当做打发工作时间的渠道，另一方面企业信息泄露的风险也随之提升。企业可以直接将即时通讯工具禁止，但事实上无法如此彻底，总会因为各种原因必须开放些通道。于是很多企业选择对即时通讯工具进行审查，主要是对通讯内容的审查，包括对传输文件的备份，通过这种方式可以产生一种强大的心理威慑力，令不良人士知难而退。

　　根据企业文档的重要性进行分类，对于非常重要的文档，如对指定格式或者指定文件夹下的文档，可以禁止即时通讯程序对其进行访问。

　　5.文档操作管控

　　企业的多数数据是以电子文档形式存在的，因此，保护企业的信息安全很大程度上可以说就是保护企业的重要文档的安全。文档是企业办公的基础，也是各种信息安全保护手段的中心。文档在企业内部流转的生命周期，包括创建、访问、修改、删除、重命名、移动、复制、恢复八大环节，文档操作管控就是对文档全生命周期进行管理，对文档在企业中传播的每一个环节都记录在案，从而实现对文档安全的精细化控制。

　　对于企业文档安全的控制，一般存在两种典型的应用场景。一是当企业中有一些重要文档，不允许任意用户对其进行修改或者删除，所以要对部分员工的权限进行控制，使其只能访问文档，不能修改与删除文档。二是企业在办公过程中，有可能因为失误而删除了重要的文档。文档操作管控可以限制用户使用文档的权限，同时在文档被复制与删除前自动备份，防止用户误删。

　　为更好地利用文档操作管控功能，最好一开始查清楚不同的文档安全需求，比如哪些文档需要备份，哪些不需要，如果不进行区分一律设置备份，则可能造成大量的数据累积，一方面没有必要，另一方面给系统增加负担。

　　6.设备管控

　　企业的许多IT设备，尤其是存储设备如移动硬盘、光驱、刻录机等，都属于可能的信息泄露渠道，而且现在新设备每隔一段时间就会更新，这给企业的信息安全带来很大的风险，因此对这些通道必须进行严格控制。

　　对于这些设备，有很多是企业正常工作非常用性设备，有一些甚至极少用到，因此，可以对这部分设备的使用进行禁止，如有需要可临时开放权限。在对这一功能进行选型时有两点需要注意，一是管控设备的种类宜多多益善，并具备灵活的扩展性;二是管控的力度宜精细，不应仅采取一刀切的方式，对所有设备统

　　一允许或者禁止。

　　7.应用程序管理

　　许多企业都存在工作时间炒股、玩游戏、聊天、BT下载等现象，从办公效果上说，这种状况会降低企业的工作效率，因为工作时间分配与企业网络流量分配不合理。而更可怕的是，滥用网络与系统资源还可能将暗藏于互联网的安全隐患带入企业网络内，威胁系统安全。

　　对于这种情况，企业可以直接将不符合规定的应用程序禁止。当然有些程序如QQ，可能是公司与外部即时沟通的必要工具，因此，不得不开放权限，但是又担心有员工利用这些通道做一些与工作无关甚至危害企业信息安全的事情。这种情况下首先可以严格管理使用这些程序的终端，其次对其进行详细的操作审计，记录通信内容、通时间等信息，一方面从心理上产生一定的威慑力，另一方面当出现问题时可以随时进行查询。

　　8.网页浏览管理

　　目前，利用浏览器进行计算机攻击的行为大大增加，人们在享受到丰富网络大餐的同时，也面临着大量的安全风险。病毒、“木马”、蠕虫、钓鱼网站……不经意间计算机就可能成为病毒的宿主，虽然有防火墙、防病毒软件，但还是无法遏制病毒的叫嚣与入侵。

　　涉密员工管理

　　一、人力资源部门对涉密员工的管理

　　对所有可能涉密的员工、承包商和分包商进行背景检查，确保包括工作经历验证、犯罪记录检查以及相关的推荐人验证。 一旦雇佣关系中止，则禁用员工的计算机访问和远程访问。值得注意的是，一些公司一旦收到辞职申请后就立即禁用计算机访问，以便更好地保护数据和系统免于伤害。强制执行职责分离和最小权限。不允许员工访问没有理由查看、获取或是下载的信息。限制使用便携媒体，或在某些环境下禁止使用。提醒员工——并且让他们签署确认声明：他们创建、管理、使用的知识产权属于公司而不是员工。

　　二、对员工实施信息安全培训，增强信息安全意识最新研究表明，粗心大意的员工(非故意)是数据安全的最大威胁。88%的数据泄露与员工的粗心大意有关，而且这一类的泄密往往和网络传输相关联，如使用P2P软件或者无意中运行网络间谍程序等。

　　太多的企业员工并没有得到如何保护公司数据的安全教育，有的甚至并不清楚自己的安全职责，进而不能有效避免和管理风险。例如，企业如果不培训员工如何正确、安全地使用电子邮件、即时通讯工具，就不应当对员工不能识别垃圾邮件、钓鱼邮件而感到吃惊。

　　就该情况建议企业加强教育培训，增强员工安全意识，数据泄露的数量将会大幅下降。同时也需要配合相应的保密措施，实现秘密信息与网络的隔离，其中最有效的办法就是确保有保密内

　　容的电脑和互联网物理隔离，但实际工作中物理隔离会极大影工作效率，只有军工军队这种比较特殊的环境才可能采用。而对于政府单位和企事业单位，完全采用物理隔离是不可能的。因此，必须采用相应的技术手段，结合管理手段做到安全与效率之间的均衡。

　　三.员工与商业秘密的接触原则

　　对于公司的商业秘密应确定正当持有人，划定可接触人员名单，同时确定员工接触商业秘密的原则。保密的实质就是控制接触范围，公司的一切保密管理行为，首先要把目标放在有效控制商业秘密的接触范围上。公司信息保密的基本原则，就是把商业秘密知悉范围控制在不影响科研、生产和经营正常运行的最低限度。

　　商业秘密接触范围的控制原则包括以下内容：

　　1.需要原则

　　即根据公司业务需要限定接触范围，在公司业务充分必要的前提下，让员工接触相关商业秘密信息，控制接触业务不需要的信息。

　　2.分割原则

　　即把涉及商业秘密的完整信息，按知悉需要分割成若干个部分，使不同人员只知道自己确需知道的部分，而不是掌握全部成果信息。

　　3，隔离原则

　　即把商业秘密信息有效封闭或隔离起来。隔离控制可以增加窃取商业秘密的难度系数，有效降低泄密风险，达到阻断窃密、泄密渠道的目的。为预防泄密，公司各部门、各工序之间，要进行严格的分割封锁，权力分级，相互无衔接，使员工只知其一不知其二，只知局部不知整体。 “限制接触”原则具体应当做到：

　　(1)公司员工的职位级别与该员工能够接触到的商业秘密呈

　　现倒金字塔结构;

　　(2)公司各部门和员工所知悉的商业秘密以及公司内部各个不同业务领域的商业秘密不能共享，确保不同部门和员工只知悉有限业务领域内的商业秘密;

　　(3)该商业秘密在该业务领域同时也是有限的：

　　(4)确保极少数员工知悉该商业秘密的整体部分;

　　(5)情况允许的条件下还可以对知悉这些商业秘密的员工进行不定期的调换。鼓励员工保守公司商业秘密

　　企业可运用以下激励措施来确保员工保守公司商业秘密：

　　1.用分配方法来保护商业秘密

　　即对接触、使用企业商业秘密的员工，给予较优厚的工资、奖金待遇，若有可能，再辅以必要的雇佣合同，明确一旦享受特殊津贴，则应负有相应的保密义务。

　　2.用长期化劳动契约来保护商业秘密

　　在人员流动比较普遍的今天，这一方法更具有重要作用。劳动契约长期化，可以使关键岗位(接触、掌握商业秘密)员工，奖金，对增强企业重要职工保护商业秘密的责任感会更有作用。

　　3.以某种产权安排来保护商业秘密

　　比如，允许商业秘密的发明人，接触、掌握商业秘密的人拥有部分股权，成为企业的股东，使之与企业形成休戚相关的命运共同体。

　　究竟在以上三种激励措施间作何选择，要视企业的具体情况和商业秘密的存在形态、收益大小而定。一般来说，为保护商业

　　秘密而作出产权安排，企业付出的成本要大一些。但从长远来看，为了保护对企业至关重要的商业秘密，这样做还是值得的。目前，相当一部分高新技术企业并未从产权安排的角度去保护商业秘密，这也是高新技术企业人员跳槽不断，企业技术诀窍、新产品被其他企业窃取、仿冒的重要原因之一保密协议

　　《劳动法》规定，劳动者应根据用人单位的要求，保护其商业秘密。用人单位要求员工保守商业秘密，一是通过规章制度的方式，另外就是通过与员工签订保密协议。其中通过签订保密协议来保护商业秘密是最常见的有效方法。

　　保密协议可帮助说明商业秘密的存在，使员工了解其保密义务，并明确其保密范围。保密协议是公司采取了合理的保密措施的有效证明。利益方面进行平衡。