做好信息安全需要內外兼修
目前CSDN、天涯密碼泄密等網站泄密事件弄得沸沸揚揚,從這些泄密事件可以看出,越來越多的人,包括內部的人員以及外部人士都意識到了各大企業內部資料如客戶信息以及企業自身的智力資產等的價值所在,如果獲取了信息是可以直接與利益掛鉤的。
但如果發生泄密,對企業而言,不僅會造成經濟上的損失,而且還會造成負面的社會影響,如這次的CSDN、天涯密碼泄密事件,使得社會公眾對這些網站的信任度大打折扣。同時,企業自身的研發信息等智力資產的泄露,不僅使得企業市場競爭力受損,也不利于企業知識產權保護,不利于國家提倡的產業升級轉型。
縱觀這兩次泄密事件,發生的根本原因在于企業的意識不夠強,信息安全保護不到位所致。據券商TMT研究部門的調研數據,目前,中國互聯網公司的信息安全支出,在整體IT支出中的比例不到1%。
而這次事件受害用戶維權困難也反映了目前法律在個人信息安全保護這一方面的缺失,唯有通過法律的明確規定,企業清楚意識到其義務所在,才能更有力保障個人信息。做好信息安全,需要企業、個人、法律三方共同促進。
防范的建議:
要最大限度避免此類泄密事件的發生,企業要清楚泄密事件對企業所造成的影響,形成強烈的保護意識,并投入相應的人力物力進行安全防護。做安全有如買保險,不發生事情,你就不好覺得這個東西管用,但一旦發生了事情,就后悔莫及了。做好信息安全,需要內外兼修。
1.注重外部防護,防止來自于黑客、木馬等外部攻擊;
2.對內部的安全管理也不可忽視。防止內部信息泄露,需要構建全面的防護體系,并輔以規范的管理。
從技術方面而言,防止內部信息泄露,首先要全面審視內部的安全問題,比如掌握清楚機密信息的存放位置,安全威脅點所在,然后根據內部所存在的安全問題,并結合每個部門的具體情況進行相應的管理,形成力度輕重不一的部署。對于最高保密級別的信息,進行加密防護,為得信息多加一重保障。除此之外,還需要建立嚴格的審計機制,定期對內部行為進行審計,對內部人員行為尤其是有高權限的IT管理人員的行為進行定期審計,隨時發現異常情況以及新的安全威脅,避免疏漏,實現全面、動態性的防護。
管理方面:除了采取技術手段進行防護外,內部的管理也是不可缺少的。建立規范的制度,如簽署保密協議、對機密信息的獲取權限、流程等都進行嚴格管理。
【編輯推薦】
