CEO危机管理能力面临事件大考
示例中明文加密结果
(二)非对称加密体制
非对称加密体制使用的是密钥对,即公钥(Public Key)和私钥(Private Key)。公钥是公开的,可以以文件的形式存储在密钥管理中心;与之配对的私钥以口令或密码的方式由用户记忆保管。通常用公钥加密、私钥解密来保证信息的机密性;用私钥加密、公钥解密来进行身份认证。
1.非对称加密体制的工作过程
非对称加密体制由明文P、加密算法E、公钥、私钥、密文C、解密算法D六个部分组成。图8.4所示为非对称加密体制的工作过程。
图8.4 非对称加密体制的工作过程
非对称加密体制的工作过程是:发送方用接收方的公钥和加密算法E对明文P加密,得到密文C,然后传输密文C;接收方用自己的私钥和解密算法D对密文C解密,得到明文P。
2.非对称加密体制的算法
目前,在非对称加密体制的算法中,使用最多的是RSA算法。RSA算法是1978年由R.L.Rivest、A.Shamir和L.Adleman设计的非对称加密体制的算法,算法以发明者姓氏的首字母来命名。它是第一种既可用于加密,又可用于数字签名的算法。
一般来说,RSA算法只用于对少量数据进行加密,在互联网中广泛使用的电子邮件和文件加密软件PGP(Pretty Good Privacy)就是将RSA算法作为传送会话密钥和数字签名的标准算法。
(三)对称加密体制与非对称加密体制的对比
在实际应用中,通常将对称加密算法和非对称加密算法结合使用,利用DES算法进行大容量数据的加密,而利用RSA算法来传递对称加密算法所使用的密钥。二者结合使用集成了两类加密算法的优点,既加快了加密速度,又可以安全、方便地管理密钥。表8.1为对称加密体制和非对称加密体制的对比。
表8.1 对称加密体制和非对称加密体制的对比
二、认证技术
在信息安全领域,常见的信息保护手段除了加密技术以外,还有认证技术。目前,认证技术有身份认证(也叫用户认证)和消息认证两种方式。身份认证用于鉴别用户的身份是否合法;消息认证可用于验证所收到的消息确实来自真正的发送方且未被修改(即完整性),也可以用于验证消息的顺序性和及时性。消息认证主要包括数字签名和数字时间戳等技术。
1.身份认证
身份认证的基本思想是通过验证被认证对象的属性来确保被认证对象的真实性。用户只有通过了身份认证,才能操作计算机系统,访问网络资源。因此,身份认证是安全系统的第一道关卡。
实现身份认证的物理基础主要有以下三种。
(1)用户所知道的。通常,最常用的方法是密码和口令。这种方法简单,开销小,但是也最不安全。
(2)用户所拥有的。依赖用户拥有的信息(如身份证、护照和密钥盘等)来实现身份认证。其安全性比前者高,泄露信息的可能性较小,但认证系统相对复杂。
(3)用户所具有的特征。这是指用户的生物特征,如指纹、虹膜、DNA、声音和脸部特征,还包括用户下意识的行为。这类技术的安全性最高,也是当前信息安全研究的热点。
2.消息认证
消息认证是指验证消息的完整性,当接收方收到发送方的报文时,接收方能够验证收到的报文是真实的和未被篡改的。消息认证常用的方法就是消息摘要,即发送方在发送的消息中附加一个鉴别码,并经加密后发送给接收方。接收方利用约定的算法对解密后的消息进行鉴别运算,将得到的鉴别码与收到的鉴别码进行比较,若二者相等,则接收,否则拒绝接收。
3.数字签名
消息摘要能保护收发双方之间的数据交换不被第三方侵犯,但并不能规避双方之间的相互欺骗。这需要数字签名技术来保证。
数字签名能够确认两点:其一,信息是由签名者发送的;其二,信息自签发后到收到为止未曾被做过任何修改。
数字签名采用了双重加密的方法,即用消息摘要加密和RSA加密的方法来实现防伪造、防抵赖。其原理如图8.5所示,图8.5也说明了消息摘要在数字签名体制中的简单应用。数字签名原理的具体步骤如下。
(1)发送方用散列算法对原文加密得到128位的数字摘要。
(2)发送方用私钥对数字摘要进行加密,形成数字签名。
(3)发送方将原文和数字签名同时发送给接收方。
(4)接收方用发送方的公钥对数字签名进行解密,同时对收到的原文用散列算法加密产生又一摘要。
图8.5 数字签名原理示意图
(5)接收方将解密后的摘要和对收到的原文重新加密产生的摘要进行对比。若二者一致,则说明传送过程中原文没有被篡改过。
4.数字时间戳
在电子商务交易中,需对交易文件的时间信息采取安全措施。数字时间戳服务(Digital Time-stamp Service,DTS)是由专门的机构提供的对电子文件发送时间进行安全保护的服务。数字时间戳是一个经加密后形成的凭证文档,包括以下三个部分。
(1)附有时间戳的电子文件。
(2)数字时间戳发送和接收
“并不是每天都会有‘天灾’,但是一旦‘天灾’到来,如果应对不当,将对企业形成毁灭性的打击。因此,作为企业‘一把手’的CEO必须具备超乎寻常的危机管理能力,才能够让企业在‘天灾’的打击下绝处逢生。”清华大学特聘教授、知名战略管理专家周培玉在接受记者采访时表示。
日本政府4月12日宣布,把福岛第一核电站放射物质泄漏依国际标准上调至事故最高等级7级。
至此,一场由地震和海啸所引发的核危机,已经演变成了影响波及全球的核灾难。
突如其来的灾难像是一个无情的考官,考验着CEO们的危机管理能力。
危机决策能力——
消除危机为最高原则
“天灾”都是突发的,不会给决策者事先留下足够的思考和反应的时间。即使是经验再丰富的CEO,也很难在这一瞬间准确判断出危机的程度,找出“最适度”的处理方式,以最小的代价化解危机。所以,能够从“天灾”所能造成“最坏”结果出发,不惜以任何代价来处理危机,考验一个CEO的勇气和危机决策能力。
就像在战场上突然陷入敌人的包围圈中一样,指挥员必须迅速选择从哪个方向突围,而不能存有“保存实力”的侥幸,没有根据地认为所遭遇的敌人可能是特别弱小,不堪一击;或者是幻想自己人的队伍也许就在附近,坚持一会就会等来援兵。
周培玉说,用最小代价化解危机的侥幸心理,是最终使危机变成灾难的罪魁祸首。从眼前的日本福岛核危机到去年的BP漏洞事件中,导致灾难不断升级的重要原因都是CEO出于减小损失的考虑,错过了彻底消除危机的关键时机。
从目前的分析来看,东京电力公司错过了处理核危机的两个时间节点。一是3月11日地震发生后,东京电力公司未意识到问题的严重程度,没有在第一时间发布福岛核电站冷却系统失灵的消息。二是 3月12日福岛1号机组厂房爆炸后,东电也没有第一时间向日本当局汇报。这两个节点,被认为是以最小代价应对核电事故的关键,但都被延误了。
3月19日的《华尔街日报》援引知情人士的说法称,东京电力公司控制陷入瘫痪的核电站的努力,因担心损害昂贵资产而延误。指称日本此次核泄漏事件“人祸大于天灾”。
早在3月12日上午——地震发生后的第二天,东京电力公司就曾考虑利用附近海岸的海水来冷却6个核反应堆中的一个,但是因为担心海水可能会使核反应堆永久停运,损害其对核反应堆的长期投资,直到核反应堆爆炸,事故进一步恶化,日本首相菅直人下达了命令后,东京电力公司才开始利用海水冷却其他反应堆。
去年4月20日发生的BP公司墨西哥湾钻井平台突然爆炸事故,在处理过程中也没有采取“一步到位”的办法,而是先后尝试了安放巨型钢筋水泥罩、开启止喷阀、设置吸油管等多种堵漏方案,在均毫无成效后,才最终使出“盖帽法”成功堵漏。在3个月左右的时间里,大约490万桶的原油泄漏,其中410万桶流入了墨西哥湾,曾经的英国石油巨头由此被拖垮。
正像一名日本政府官员所说:他们初期没有做出积极的反应。东京电力公司的行动就像是在努力捡一个10日元的硬币,却丢了一个100日元硬币。
数字100公司市场总监师志洁表示,在实践中,很多企业都非常看重CEO的果断决策能力。在中国企业家协会不久前所做的一项调查中,战略规划、果断决策、团队建设依次被认为是职业经理人最核心的能力。相比较而言,外商独资/跨国公司对职业经理人果断决策的能力要求最高。
核泄漏
“并不是每天都会有‘天灾’,但是一旦‘天灾’到来,如果应对不当,将对企业形成毁灭性的打击。因此,作为企业‘一把手’的CEO必须具备超乎寻常的危机管理能力,才能够让企业在‘天灾’的打击下绝处逢生。”清华大学特聘教授、知名战略管理专家周培玉在接受记者采访时表示。
日本政府4月12日宣布,把福岛第一核电站放射物质泄漏依国际标准上调至事故最高等级7级。
至此,一场由地震和海啸所引发的核危机,已经演变成了影响波及全球的核灾难。
突如其来的灾难像是一个无情的考官,考验着CEO们的危机管理能力。
危机决策能力——
消除危机为最高原则
“天灾”都是突发的,不会给决策者事先留下足够的思考和反应的时间。即使是经验再丰富的CEO,也很难在这一瞬间准确判断出危机的程度,找出“最适度”的处理方式,以最小的代价化解危机。所以,能够从“天灾”所能造成“最坏”结果出发,不惜以任何代价来处理危机,考验一个CEO的勇气和危机决策能力。
就像在战场上突然陷入敌人的包围圈中一样,指挥员必须迅速选择从哪个方向突围,而不能存有“保存实力”的侥幸,没有根据地认为所遭遇的敌人可能是特别弱小,不堪一击;或者是幻想自己人的队伍也许就在附近,坚持一会就会等来援兵。
周培玉说,用最小代价化解危机的侥幸心理,是最终使危机变成灾难的罪魁祸首。从眼前的日本福岛核危机到去年的BP漏洞事件中,导致灾难不断升级的重要原因都是CEO出于减小损失的考虑,错过了彻底消除危机的关键时机。
从目前的分析来看,东京电力公司错过了处理核危机的两个时间节点。一是3月11日地震发生后,东京电力公司未意识到问题的严重程度,没有在第一时间发布福岛核电站冷却系统失灵的消息。二是 3月12日福岛1号机组厂房爆炸后,东电也没有第一时间向日本当局汇报。这两个节点,被认为是以最小代价应对核电事故的关键,但都被延误了。
3月19日的《华尔街日报》援引知情人士的说法称,东京电力公司控制陷入瘫痪的核电站的努力,因担心损害昂贵资产而延误。指称日本此次核泄漏事件“人祸大于天灾”。
早在3月12日上午——地震发生后的第二天,东京电力公司就曾考虑利用附近海岸的海水来冷却6个核反应堆中的一个,但是因为担心海水可能会使核反应堆永久停运,损害其对核反应堆的长期投资,直到核反应堆爆炸,事故进一步恶化,日本首相菅直人下达了命令后,东京电力公司才开始利用海水冷却其他反应堆。
去年4月20日发生的BP公司墨西哥湾钻井平台突然爆炸事故,在处理过程中也没有采取“一步到位”的办法,而是先后尝试了安放巨型钢筋水泥罩、开启止喷阀、设置吸油管等多种堵漏方案,在均毫无成效后,才最终使出“盖帽法”成功堵漏。在3个月左右的时间里,大约490万桶的原油泄漏,其中410万桶流入了墨西哥湾,曾经的英国石油巨头由此被拖垮。
正像一名日本政府官员所说:他们初期没有做出积极的反应。东京电力公司的行动就像是在努力捡一个10日元的硬币,却丢了一个100日元硬币。
数字100公司市场总监师志洁表示,在实践中,很多企业都非常看重CEO的果断决策能力。在中国企业家协会不久前所做的一项调查中,战略规划、果断决策、团队建设依次被认为是职业经理人最核心的能力。相比较而言,外商独资/跨国公司对职业经理人果断决策的能力要求最高。
危机处理能力——
科学系统的解决方案
正像陷入包围中的部队不能盲目突围,而是指挥员要在瞬间内依据经验和直觉对形势做出判断,并制定相应的作战方案一样,危机处理通常都是一个系统工程,需要CEO制定科学系统的解决方案。
2010年,发生在智利圣何塞铜矿场的持续两个月的矿难救援,被看做是科学系统处理危机的完美案例。美国《华尔街日报》撰文,题为:智利救援公式,75%的科学,25%的奇迹。称救援过程的每一个细节都经过慎重考虑和科学考量。
2010年8月5日当地时间下午两点,圣何塞金铜矿发生滑坡造成距地面518米的一条隧道发生塌方,33名矿工被困井下。
矿难发生后,当局立即组成分工明确的救援机构,其中包括救援人员、医护人员和一个专门实验室,负责设计救援所需器械和设备。同时还邀请美国太空总署专家小组提供意见。
为将矿工平安救出,救援方制定了A、B、C行动计划,分别使用三台不同挖掘机械。直到依照B计划,成功实施救援后,仍有另一套计划在同步进行,以备B计划突然出现意外。
为加快救援进度,救援人员采用了大口径、高强度机械,并且对地面以下近100米最易坍塌的地层实施了植入铜管的措施,降低坍塌可能性。
救援通道打通后,矿工们需要在井下实施一次可控的爆破,以便清除救援通道附近的沙土,让救援舱方便进出。这被视为整个救援过程中最危险的,因为爆破随时可能令矿坑倒塌。就此,工程师详细分析井下情况后划定了爆破区域,有效防止了坍塌和爆炸冲击波伤害矿工的状况发生。
在发现33名矿工依然幸存后,救援队便开始让受困矿工“恢复营养”,接受专业治疗。营救人员还设计了一种名叫“白兰鸽”的救援器材。这一套设备每天要往返40次,运送食物和其他必需品并带回信件和脏衣物。
由于救生舱狭小,来自美国的营养师为被困矿工制定了特殊的食谱,限定矿工每人每天摄入的热量不超过2200卡路里,以防止肥胖。
在救援过程中,为了防止矿工们因被困在狭小的空间里,产生恐惧感或造成其他的心理问题,救援人员运用科技手段,让矿工们与外界实现书信、电话、视频交流沟通。还向NASA专家征询对如何保持长时间处于密闭空间内人员的情绪和心理健康建议。
在救援中最引人关注的设备是“凤凰号”“胶囊”救生舱。救生舱内装备有供氧系统、内置音视频通讯系统和逃生设备,配备防护手套、眼罩和安全带。
最后的救援过程也组织有序。先后下井的人员包括3名智利海军潜水员、医疗人员和1名消防员。他们对矿工进行身体检查,并把升井过程中可能会遇到的问题包括如何呼吸等等细节都告诉矿工们。尽管多名矿工争相志愿最后出井,但经过专家探讨,决定让那些身体健康,尤其是心理素质强的矿工最后出井,因为他们要面对同伴们都离开,只有自己呆在井下的孤单状况。而第一批出井的则是那些经验丰富、有能力处理救援过程中突发情况的矿工。那些身体最虚弱,患有高血压等疾病的矿工被安排在中间出井。
10月14日,33位被困矿工全部成功获救。这次被称为“如外科手术般精确”的救援行动,为全世界的突发事件处理提供了可资借鉴的样本。
师志洁表示,除极端情况外,CEO的危机处理能力更多的来自于实战经验。一家著名企业曾经宣称,只招聘有过失败经历的职业经理人,因为其有从失败中站起来的经验。相关调查表明,行业经验是企业选择职业经理人的重要因素,有近50%的企业在招聘职业经理人时候都侧重考察其经验。
危机预防能力——
说服股东为小概率事件买单
从BP公司钻井平台爆炸事故到福岛核事故,很多突发性事件的发生,其实都是成本惹的祸。
早在2008年6月5日,BP公司位于墨西哥湾的巨型钻井平台——亚特兰蒂斯上的一根钢管破裂。这根钢管与一个发生故障的管线泵相连。英国石油公司推迟了对这个泵的维修,据内部报告后来描述,其原因在于“成本预算紧张”。
在深水地平线钻井平台发生爆炸之前,BP公司CEO唐熙华一再表示他正在同时处理两项艰巨的任务:导致出现重大事故(包括2005年得克萨斯炼油厂爆炸亡人事故)的安全隐患;导致英国石油公司落后于竞争对手荷兰皇家壳牌公司和埃克森美孚公司的臃肿成本。
BP公司的成本削减计划很快见到了成效,其2008年创造了256亿美元的利润,迅速超过壳牌公司,成为欧洲市值最高的石油公司。
但是,BP在安全方面的改进却与其所宣称的不同。美国劳工部负责职业安全与健康管理局的副助理部长巴拉布说,“他们声称非常关注安全问题,我认为这是真心话。但不知为什么,他们的真诚与他们的计划在实际的炼油厂里却体现不出来。”
在福岛核电站事故中,我们同样可以看到“低成本”的影子。早在3年前,日本的一个研究小组将一份报告提交给东电公司,指出福岛核电站只能抵挡6米高的海啸,但是周围海域有可能出现10米以上的海啸。但东电公司并未对此采取任何措施,失去了一个本可以挽回的机会。
CEO们为何肯在降低成本上花大气力,却不肯积极预防“天灾”的发生呢?最重要的原因在于,效益水平是股东考核CEO的常态指标,而安全事故却是小概率事件,就单个企业的某个时段来说,即使减少了安全投入,未必一定会有灾难的发生。但是如果一个企业在安全方面投入过大,而同行企业并没有相应投入,在没有发生安全事件的情况下,该企业的成本就会大于同行业平均成本,从而导致企业在市场竞争中失利。CEO就会受到来自股东和市场的双重压力。
周培玉表示,从这个角度来讲,CEO们的风险预防能力在很大程度上不是取决于其风险控制意识和风险控制能力,而是取决于其说服股东放弃部分利润指标,加大安全投入的能力,甚至是影响同行业同步树立加大安全投入、防范突发性灾难理念的能力。从这一点上说,一个行业的风险控制能力,取决于在行业内具有绝对话语权的前几大企业的风险控制意识和能力。
矿难频发是低成本运营的直接结果。据国家安监总局在2006年底的调查,仅国有重点煤矿的安全欠账就达689亿元,地方和民营煤矿安全欠账更是高达2000多亿元。与此相对应的是,中国煤矿事故死亡人数是美国的100多倍,是印度的13倍,是全世界煤矿死亡事故的3倍。
当安全意识群体缺失的时候,小概率事件就会变成大概率事件。危机管理不单考验CEO应对“天灾”的能力,更是考验其防范人祸的能力。
