信息安全防范管理
前言:本站為你精心整理了信息安全防范管理范文,希望能為你的創(chuàng)作提供參考價(jià)值,我們的客服老師可以幫助你提供個(gè)性化的參考范文,歡迎咨詢。
企業(yè)的信息安全,絕對(duì)不是一個(gè)人的戰(zhàn)斗,但是很多時(shí)候,中小企業(yè)卻為了信息安全做出一些本末倒置的動(dòng)作。面對(duì)企業(yè)里形形色色的信息安全規(guī)章,到底哪些是應(yīng)該摒棄的?企業(yè)的信息安全規(guī)則應(yīng)該如何確定?在信息化建設(shè)中哪些是“本”,哪些是“末”?這都是應(yīng)該仔細(xì)琢磨的問題。
危機(jī)也許就在身邊
2005年6月,美國(guó)發(fā)生了一起4000萬個(gè)信用卡賬戶資料被盜的事件,這是有史以來最嚴(yán)重的信息安全案件。隨著美國(guó)聯(lián)邦調(diào)查局介入調(diào)查,更多的細(xì)節(jié)被披露。原來,漏洞出在為萬事達(dá)、維薩和美國(guó)運(yùn)通卡等主要信用卡進(jìn)行數(shù)據(jù)處理服務(wù)的“卡系統(tǒng)”公司,它的網(wǎng)絡(luò)上被惡意黑客植入了木馬程序。
“卡系統(tǒng)”公司負(fù)責(zé)審核商家傳來的消費(fèi)者信用卡號(hào)碼、有效期和驗(yàn)證碼等信息,審核后再傳送給銀行完成付款手續(xù)。這家公司最近處理的4000萬信用卡賬戶的號(hào)碼和有效期等已被木馬程序“一覽無余”,其中包括2200萬個(gè)維薩卡賬戶、1390萬個(gè)萬事達(dá)卡賬戶。安全專家確信:已有20萬個(gè)賬戶的信息被轉(zhuǎn)移出去,可能被惡意黑客出售或盜用消費(fèi),因此處于“高度危險(xiǎn)”狀態(tài)。
原來,是這家公司違反數(shù)據(jù)安全規(guī)定留下了隱患。萬事達(dá)卡公司等信用卡發(fā)行機(jī)構(gòu),要求“卡系統(tǒng)”公司處理的數(shù)據(jù)不得過夜保存,但這家公司為進(jìn)行市場(chǎng)研究,自己保存了所有經(jīng)手的賬戶信息,而且這些數(shù)據(jù)不加密、不保護(hù)就存儲(chǔ)在公司電腦中。而公司的網(wǎng)絡(luò)又建立在經(jīng)常暴露出安全漏洞的“WINDOWS2000”操作系統(tǒng)之上,也沒有及時(shí)更新升級(jí)。這都讓惡意黑客有機(jī)可乘。
而在這些技術(shù)性漏洞背后,暴露的是企業(yè)對(duì)信息安全的忽視和僥幸心理。
雖然上面的案例存在特殊性,但這種對(duì)信息安全的忽視和僥幸心理卻普遍存在于企業(yè)當(dāng)中,“我們只是個(gè)制造業(yè)或服務(wù)業(yè)的中小企業(yè)而已,黑客攻擊離自己還很遙遠(yuǎn)”,這正是許多企業(yè)的普遍心態(tài)。
也因?yàn)檫@種心態(tài)的普遍存在,世界上每分鐘都有兩個(gè)企業(yè)因?yàn)樾畔踩珕栴}倒閉,有11個(gè)企業(yè)因?yàn)樾畔踩珕栴}造成大約800多萬美元的直接經(jīng)濟(jì)損失……也許出乎你的意料,但卻是事實(shí)。
隨處可見的安全隱患
一邊是安全防范意識(shí)的薄弱,另外一邊則是殘酷的事實(shí)。
敵人隨時(shí)都在瞄準(zhǔn)你的任何一個(gè)漏洞,一個(gè)細(xì)節(jié)的失誤,足以一分鐘毀滅你的公司,一個(gè)信息就可以左右企業(yè)的成敗。這個(gè)信息在自己手里是王牌,在對(duì)手手里是炸彈。
在如今的互聯(lián)網(wǎng)時(shí)代,全球范圍的網(wǎng)民數(shù)量近7億,而黑客網(wǎng)站高達(dá)20多萬個(gè)。經(jīng)常出現(xiàn)的網(wǎng)絡(luò)安全事件,如:網(wǎng)頁(yè)篡改、網(wǎng)絡(luò)蠕蟲、特洛伊木馬、計(jì)算機(jī)病毒等,嚴(yán)重干擾了網(wǎng)絡(luò)的正常運(yùn)作,一些大型的著名網(wǎng)站也經(jīng)常遭受影響。間諜軟件如今也從幾年前的邊緣角色走到前臺(tái),成為威脅信息安全的又一大隱患。間諜軟件能在用戶覺察不到的情況下安裝到一臺(tái)電腦上,并秘密地收集信息。如果不特意加強(qiáng)數(shù)據(jù)安全措施,一旦被黑客盯上造成的損失就很慘重。
企業(yè)的信息安全危險(xiǎn)還絕不僅僅局限于外部攻擊,在信息系統(tǒng)遭到的攻擊中,一半以上是由公司自己的職員有意或無意引發(fā)的。
而貴企業(yè)的重要信息,可能在老板的大腦里、公司電腦里、一個(gè)打印稿的背面,甚至在一個(gè)垃圾筐里,隨時(shí)都有泄漏的可能。泄漏的結(jié)果輕則使公司蒙受損失,重則毀滅公司。
一個(gè)簡(jiǎn)單的例子:節(jié)約用紙是很多公司的好習(xí)慣,員工往往會(huì)以使用背面打印紙為榮。其實(shí),將擁有這種習(xí)慣公司的“廢紙”收集在一起,你會(huì)發(fā)現(xiàn)打印、復(fù)印造成的廢紙所包含的公司機(jī)密竟然如此全面,連執(zhí)行副總都會(huì)覺得汗顏,因?yàn)閺U紙記載了公司里比他的工作日記都全面的內(nèi)容。類似的例子還有很多。
當(dāng)然,信息也并不是一定與電腦有關(guān)。幾年前,一家著名的市場(chǎng)調(diào)查公司調(diào)查麥當(dāng)勞的產(chǎn)品銷售量,他們使用了痕跡調(diào)查方法,收集了當(dāng)天麥當(dāng)勞所有的垃圾,雇用了許多臨時(shí)工從麥當(dāng)勞店內(nèi)收集垃圾,包括包裝紙盒等。他們就是通過計(jì)算這些垃圾得出了麥當(dāng)勞每一種產(chǎn)品的銷售量,并且推算出賣當(dāng)勞下一年的銷售計(jì)劃。在這之后,麥當(dāng)勞門店內(nèi)的垃圾都要經(jīng)過自己的處理后才運(yùn)走。
同樣的事情也發(fā)生在雅芳和玫琳凱化妝品公司之間。雅芳就曾經(jīng)雇傭私人偵探收集了玫琳凱的丟棄物,并且進(jìn)一步破解了競(jìng)爭(zhēng)對(duì)手的新化妝品配方。對(duì)于玫琳凱來說,它無法奪回這些珍貴的東西,因?yàn)檠欧贾皇茄芯苛怂睦眩@是完全合法的。
而你又如何能夠保證,你的競(jìng)爭(zhēng)對(duì)手不用同樣的方法來竊取你的信息?
不僅是技術(shù)問題
你該怎么辦?采用技術(shù)手段,這是首先會(huì)想到的做法。
但信息安全遠(yuǎn)不是“技術(shù)”二字可以解決的問題。技術(shù)固然重要,但首先即是加強(qiáng)防患意識(shí),不要在技術(shù)上已近乎完美,卻因一時(shí)疏忽而滿盤皆輸。千萬不要像有些公司的總裁,嚴(yán)格規(guī)定不允許任何員工隨意進(jìn)入自己的辦公室,但卻忘了防范清潔工;也不要像有些銀行完全有能力購(gòu)買故障率為千萬分之一的服務(wù)器,卻讓過期的磁帶輕易流入二手市場(chǎng);不要等到某一天公司的一個(gè)普通員工捧著一疊董事會(huì)的協(xié)議交給你,說是從他身旁的打印機(jī)里取出來的;也不要等到競(jìng)爭(zhēng)對(duì)手對(duì)自己第二年的戰(zhàn)略規(guī)劃已了如指掌,只因花幾百元買通普通員工輕易取走了你上一年的人事變動(dòng)情況表,才恍然大悟。
“我們的加密方針是所有的數(shù)據(jù)都必須用128位密鑰加密”某券商網(wǎng)絡(luò)部的經(jīng)理得意地說。但是,就在他這么說的時(shí)候,一個(gè)敞開辦公的區(qū)域,一臺(tái)已經(jīng)打開的電腦前卻一個(gè)人都沒有,如果誰想要在里面動(dòng)點(diǎn)手腳可以說連黑客知識(shí)都免了。
一位知名的CIO曾經(jīng)提出過保衛(wèi)信息安全的四大要素:技術(shù)、制度、流程和人。合適的標(biāo)準(zhǔn)、完善的程序、優(yōu)秀的執(zhí)行團(tuán)隊(duì),是一個(gè)企業(yè)信息安全的重要保障。技術(shù)只是基礎(chǔ)保障,技術(shù)不等于全部,很多問題不是裝一個(gè)防火墻或者一個(gè)IDS就能解決的。在組織架構(gòu)上,這家企業(yè)有兩個(gè)小組:一是規(guī)模較小的一組人,專門制定安全政策和規(guī)則,另外一組是負(fù)責(zé)執(zhí)行的員工,分散在軟件、硬件以及網(wǎng)絡(luò)等相應(yīng)部門。一旦遇到緊急情況,散落在各地的應(yīng)急響應(yīng)小組能在最短時(shí)間內(nèi)集合起來。
任何問題歸根到底都是人的因素,加強(qiáng)對(duì)員工的管理,對(duì)企業(yè)管理者來說比單純購(gòu)買產(chǎn)品或者制定規(guī)則重要得多。很多企業(yè)信息安全措施部署得很全面,但只要一個(gè)員工不按規(guī)定辦事,機(jī)密很有可能就這樣流出。
所以我們認(rèn)為:信息安全=先進(jìn)技術(shù)+防患意識(shí)+完美流程+嚴(yán)格的制度+優(yōu)秀的執(zhí)行團(tuán)隊(duì)+法律保障。
