從泄密事件頻發(fā)看信息防泄漏
最近一兩年信息泄露的案例屢見不鮮,如富士康泄露iPad2設(shè)計(jì)圖、三星泄密事件等各種事件層出不窮,這些信息泄露事件反映出哪些內(nèi)網(wǎng)安全風(fēng)險(xiǎn)?哪些經(jīng)驗(yàn)和教訓(xùn)是值得我們學(xué)習(xí)的?對此,我們采訪了知名業(yè)界專家、企業(yè)代表、廠商專家,集結(jié)三方專家與您一起探討"從泄密事件中看信息防泄漏"。
對于富士康泄露iPad2設(shè)計(jì)圖、三星泄密的信息泄密,青島中集冷藏箱制造有限公司信息主任耿峰推斷,他們的防泄露系統(tǒng)沒用完全發(fā)揮作用,問題很有可能不在防泄漏系統(tǒng)本身,而在管理。鄭州三全食品股份有限公司CIO周清湘也有類似的看法,他認(rèn)為,員工信息安全管理觀念淡薄、信息安全責(zé)任管理概念模糊、缺乏信息安全管理規(guī)范與制度、信息系統(tǒng)用戶授權(quán)寬松而混亂、不負(fù)責(zé)任的文件傳輸與散播、肆意放縱對外交互工具的使用、電子文件、資料缺少加密措施是最為突出的幾點(diǎn)內(nèi)網(wǎng)安全風(fēng)險(xiǎn)。正是因?yàn)椴蛔⒁膺@些因素導(dǎo)致嚴(yán)重的信息泄露事故。
為什么會(huì)信息會(huì)泄密,這些泄露的信息又到了哪里?溢信科技產(chǎn)品總監(jiān)黃凱認(rèn)為現(xiàn)在的攻擊行為有著更多的牟利傾向,即明確的以盜取信息來換取經(jīng)濟(jì)利益,這一點(diǎn)從近期頻發(fā)的黑客事件中得以體現(xiàn)。在經(jīng)濟(jì)利益的誘惑下,不但黑客會(huì)發(fā)起攻擊,內(nèi)部員工也會(huì)鋌而走險(xiǎn),竊取公司機(jī)密。iPad2設(shè)計(jì)圖泄密事件,就是內(nèi)部人員為了獲取經(jīng)濟(jì)利益出賣公司機(jī)密的典型案例。三一重工股份有限公司研究總院信息化經(jīng)理譚俊峰也如果認(rèn)為企業(yè)的核心技術(shù)的保密等級(jí)不夠,信息安全意識(shí)不強(qiáng),企業(yè)在信息化過程對信息安全方面規(guī)劃不到位,沒有形成一套完整的信息安全體系并執(zhí)行到位,那么在激烈的市場競爭中造成信息泄密的結(jié)果。
如何在無孔不入的安全威脅中避免內(nèi)網(wǎng)安全風(fēng)險(xiǎn)?杭州汽輪機(jī)股份有限公司所長黃梁認(rèn)為,信息的信息化建設(shè),要形成體系,并且對體系的建設(shè)成果,要進(jìn)行認(rèn)證和審核,國內(nèi)標(biāo)準(zhǔn)有GB/T22239等保要求,國際標(biāo)準(zhǔn)有ISO27001等,企業(yè)要按照標(biāo)準(zhǔn),體系化的建設(shè)信息安全,不能頭痛醫(yī)頭,腳痛醫(yī)腳。鄭州三全食品股份有限公司CIO周清湘認(rèn)為,建立信息安全管理制度,并賦予實(shí)施可以輔助技術(shù)手段,能最大限度的減少機(jī)要文件外泄,并且實(shí)現(xiàn)不同類型人員對機(jī)要文件的授權(quán)使用,幫助企業(yè)減少信息泄露的風(fēng)險(xiǎn)。
在制度上有保障后,我們還應(yīng)該注意什么呢?青島中集冷藏箱制造有限公司信息主任耿峰說出了自己的看法,他認(rèn)為再好的系統(tǒng)也是由人來使用的,"安全以人為本"最為重要。溢信科技產(chǎn)品總監(jiān)黃凱分析近年來發(fā)生的信息泄漏事件,富士ipad泄密事件、LG等離子泄密等事件,無一例外都是因?yàn)閾碛泻戏?quán)限的用戶,鉆了企業(yè)管理流程中的空子,反映在實(shí)際情況中可能是權(quán)限控制不夠嚴(yán)格、審計(jì)不徹底、離職權(quán)限未及時(shí)回收等。IT管理者有必要根據(jù)自身的實(shí)際需求,制定更加嚴(yán)謹(jǐn)?shù)谋C荏w系,并尋求技術(shù)的幫助來保證保密體系發(fā)揮作用。對于內(nèi)網(wǎng)安全尤其應(yīng)關(guān)注的"人"的因素,在目前信息化應(yīng)用十分先進(jìn)的背景下,也很容易造成更加嚴(yán)重的后果。
知名制造業(yè)信息化專家黃培博士一針見血的指出,先進(jìn)的技術(shù)并不足以保障數(shù)據(jù)的安全,世界上也沒有百分之百的安全。技術(shù)構(gòu)建的壁壘總是可以被攻破的,完善的安全制度、人員的管理也非常重要,另外還要加強(qiáng)執(zhí)行和審計(jì)的部分。制度得不到執(zhí)行,就沒有任何意義,審計(jì)也不能僅僅是事后再進(jìn)行,要通過日常的審計(jì)工作發(fā)現(xiàn)潛在的威脅。
通過各方專家的論述,我們能夠清楚的看到,信息防泄漏并不是一項(xiàng)簡單的工作。通過各種安全技術(shù),企業(yè)可以構(gòu)建起堅(jiān)固的堡壘,但是僅靠技術(shù)是遠(yuǎn)遠(yuǎn)不夠的,我們應(yīng)當(dāng)綜合考慮各方面因素構(gòu)建起覆蓋全局的防泄漏體系,使得企業(yè)內(nèi)部的操作可視化,并能根據(jù)每個(gè)部門涉密級(jí)別的不同,部署力度輕重有別的整體防護(hù),否則它就是被繞過的馬其諾防線;我們也應(yīng)當(dāng)注意到,堅(jiān)固的堡壘往往是從內(nèi)部被攻破,因此對于"人"的管理也是信息防泄漏工作中的重要一環(huán),信息的權(quán)限管理需要根據(jù)具體的情況進(jìn)行動(dòng)態(tài)性的調(diào)整,避免機(jī)密信息被隨意查看、分享。
層出不窮的泄密事件讓我們警醒,也讓我們明白信息防泄漏是一場曠日持久的戰(zhàn)爭。這場戰(zhàn)爭不是一成不變的,隨著技術(shù)的不斷發(fā)展,我們會(huì)得到更好的防護(hù)技術(shù),也同樣會(huì)面臨更多的安全威脅。隨著技術(shù)的快速發(fā)展,云計(jì)算、移動(dòng)應(yīng)用、社交網(wǎng)絡(luò)已經(jīng)成為許多員工的日常應(yīng)用,這些設(shè)備與技術(shù)的應(yīng)用,對內(nèi)網(wǎng)安全又帶來了哪些影響?請看"內(nèi)網(wǎng)安全 十年十辯" 之九--信息防泄漏的新挑戰(zhàn)。
