在文章开始之前，让我们先问问自己：大型企业的开放式办公区域属不属于高危区域？显然这是比较难回答的问题。一方面和周边环境有关，同一家大型企业，在北京的办公室与在东莞的办公室，即便是拥有同样的面积和规模，区域的安全级别却大不相同。

除了周边环境，还需考虑哪些因素呢？无疑是企业内部的安全因素，如果人员流动性较强，比如有大量实习生或外来访客的区域，比封闭式和员工稳定性较强的区域又不一样；此外，企业划分安全区域的级别，往往会从对业务的重要性来衡量，通常研发部门、数据中心和财务部门被定为高敏感区域，实际上也就是我们所称的高危区域。

除了企业所辖的物理场所之外，还需要注意外在区域，这是因为关键的信息资产会相应的游离出去，比如差旅人员携带智能终端设备如笔记本电脑外出工作，在街头路上、交通设施、交通工具内、酒店、餐厅、茶馆、咖啡厅以及目的地工作点等，显然这些地点往往都是高危区域。

为了保护企业所辖高危区域的安全，通常会实施大量安全控管措施，如设立门禁，派驻保安，加强监控和巡查等等，我们相信这是专业安全管理团队的职责范围，所以就不班门弄斧了。不过仍然有讲一讲的必要，因为上述几招安全措施也会有失效的时候，比如贼人通过尾随有访问权限的员工，进而突破门禁限制跨入高危区域。昆明亭长朗然科技有限公司的安全管理顾问James Dong说：尾随的情形并不少见，安全管理团队需要会定期对员工们进行培训教育，防止未授权人尾随员工进入内部安全控制区域，窃取重要信息资产或进行破坏活动。另外，企业也需要多重安全机制，除了关键的大门区域设置保安对来往人员进行身份检测之外，在内部也需要对重要信息资产进行加固保全，比如教育和监督员工将重要信息资产如移动便携式设备随身携带或锁起来等等。

下面，我们将主要讨论外在区域的安全防范，在公司外部丢失重要信息资产的事件屡见不鲜。总结其根本内在原因有两条：一、将在外，君命有所不受，不少员工以为走出公司，便可以不受信息安全规范或要求的束缚，于是放松了警惕；二、有不少员工平时在高危区域受到了较高安全级别的保护，自己却并没有独立控管安全的意识，到外面的危险世界之后安全防范神经还停留在安乐窝里一时调整不过来。

安全管理人员的职责包括刺激这些外出员工，让他们的安全防范细胞复活或苏醒过来，无非需要加强差旅安全意识的培训。亭长朗然公司James Dong说：简单教育员工在外安全，重点有三，一、随身携带重要信息资产，多数笔记本丢失都是因为远离了员工的身体和视线；二、保障信息安全，防止窃听，谈论机密信息时注意周边环境；三、注意网络通讯安全，在登录公司信息系统和处理关键业务之前记得先启用VPN。

此外，通过一些安全案例的示范，比如在机场安检区域小型便携式计算设备被他人误拿，在餐厅就餐后忘记拿走智能手机，笔记本电脑放在汽车后座被贼人砸破玻璃窃走等等，可以让外派工作的员工们有基本的差旅安全防范认知。

高危安全区域的风险防范之道，核心在区域安全级别的划分和安全控管措施的实施，重点在对员工的安全防范意识教育。

在和一家“走出去”的民营高科技制造企业信息安全经理喝茶时，聊到一个案子：公司安全高管收到一名员工的报告，称发现供应链派来的员工在敏感区域有不恰当的拍照行为。公司安全部即刻展开了追踪调查，在初步发现一些端倪之后，怀疑是一条“潜伏”的大鱼，在警方的协作之下，终于挖出一条窃取机密技术信息的“供应链”，同时也挽回了巨额的潜在损失。

而更有意味的是另一家大公司的安全总监同我分享的，这家公司在同一个城市有多个办公地点，第一天遭遇小偷光临办公大楼总部，两台笔记本电脑被窃；第二天在相隔20公里的厂部同样丢失两台笔记本电脑，安全调查人员研究录像后发现是同一人所为，而且同样都是假装成公司员工通过尾随方式进入了办公区域。尽管电脑被窃员工们及时更改了系统的访问密码，仍然有大量的机密商业数据随着笔记本电脑一起失窃。

我们相信这两个案子都是比较典型的，先拿第一个案子来讲，为了防止第三方员工窃取和出售公司的机密信息，部分公司实施了特别的物理安全措施，比如对访客的笔记本电脑、手机等计算设备进行前台登记和托管保存，禁止带入敏感区域。然而，这样严格执行的只是少部分，大多数公司由于协同工作的需要，并没有严格限制访客的计算设备进入公司内部。一旦访客的计算设备如智能手机进入了公司内部，要想有效控管，无非需要通过访客接待和陪同人员的努力。

看看第二个案子，在门禁安全方面，针对敏感的安全区域，部分公司实施了特别的物理安全访问控制设施，一次只允许一个人刷卡进入，能有效防止贴身通过或尾随。不过这种堪比地铁刷卡通道的安全设施在资金投入方面通常不低，而且影响通行效率和速度，还可能影响到消防逃生，所以很多大公司并未在办公区域出入口安装这类严格的门禁设施。另一方面，由于大公司员工众多，几名员工同时进入公司的情况比较普遍，所以尽管安全部门会要求原则上每人需要刷卡才能进入，具体实践中往往只有走在前面的员工一次刷卡后面的员工便一同进入，这同时也给窃贼以尾随进入公司内部的机会。尽管大公司员工众多，即使员工之间互不认识也可能会面熟，在进入公司内部时，员工如果能要求陌生人自行刷卡进入，则可以有效减少窃贼尾随事故的发生。

很显然，上述两个案子对“攻防”两方来讲，并没有太多的技术性，却和商业机密保护息息相关，而这些商业机密更是当今公司取得商业成功的核心竞争力。这些看似简单而原始的信息窃取手段，即使部署百台网络防火墙、入侵防御系统或数据丢失防范系统也无法有效应对，这些只能信赖员工的安全意识。昆明亭长朗然科技有限公司的安全顾问James Dong说：安全专家要从网络或IT安全向业务信息安全高度跨越，防火墙、入侵检测和防范数据泄露更多是IT安全领域，对业务信息安全的保护不够全面，实际上，保障业务信息安全更多信赖的是操作具体业务的员工。

办公场所安全在信息安全专家的眼中仿佛太小儿科，然而今天我们谈论的对公司成功至关重要的“信息”远不止是传统意义上的如IT系统或数据库的电子数据，“信息”是一切对公司有价值的东西，包括各类商业战略计划、生产制程创新、技术研究成果等等，当然存在形式包括电子数据、纸张数据以及存在于员工头脑和通过口头沟通的信息。

既然员工对于公司的商业信息安全保护至关重要，当然就需要让员工们认识到这方面的重要性，了解自己在保障信息安全方面的职责，并且掌握基本的安全理念，以便能应用正确的安全实践和履行自己的职责。这无疑需要安全管理负责人制定相关的安全政策，并且加强对员工进行安全意识培训。比如针对第一个案子，公司应该制定拍照安全政策和访客接待政策，比如禁止在敏感区域拍照的政策、员工全程接待访客的政策、安全事件报告政策等等；第二个案子则需制定区域访问政策、防尾随政策、桌面安全政策、移动办公设备保护政策等等。

在制定了相关的安全政策之后，要让员工了解和接受这些政策，无疑需要加强对员工进行安全政策的培训，让员工了解这些政策的精神，往往比制定严格而死板的标准作业流程更受欢迎。

简单总结一下，没有哪一项安全控制措施是百分百完美的，信息安全总监和经理们要保护多种形式的“信息”的安全，也需多注重非技术领域的安全控管措施。在大多数的情况下，各类安全控管措施要发挥效果，需要与员工进行充分的互动。而那些为弥补技术控管措施不足之处的旨在保护商业成功的各类安全政策，无疑需要员工的理解和接受，首席信息安全官和安全经理总监们的一项重点工作内容是通过提供安全意识教育来强化员工们的安全职责、安全能力和保护公司商业成功的意愿。