信息安全：“泄密門(mén)”如何避免？

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

八月，強(qiáng)熱帶風(fēng)暴“鸚鵡”襲擊華南地區(qū)，一時(shí)成為全城轟動(dòng)的焦點(diǎn)。同期，筆者參加的一個(gè)CIO企業(yè)信息安全研討會(huì)上，其中最受大家關(guān)注的焦點(diǎn)是近期深圳婦幼醫(yī)院信息泄露和香港出入境資料泄密門(mén)事件，再回憶起去年轟動(dòng)全球的F1“泄密門(mén)”事件。由此可見(jiàn)信息泄密并非偶然事件，深圳婦幼醫(yī)院信息泄露事件只是眾多企業(yè)信息安全風(fēng)險(xiǎn)的一例。

實(shí)際上，企業(yè)信息正面臨各種各樣的安全風(fēng)險(xiǎn)，外部攻擊、內(nèi)部泄露、違規(guī)上網(wǎng)行為、應(yīng)用過(guò)失風(fēng)險(xiǎn)等。為何“泄密門(mén)”事件一次又一次闖入我們的視線，莫非企業(yè)信息“泄密”是防不勝防的事情？

一.典型的幾種信息安全泄露

據(jù)IDC一份調(diào)查統(tǒng)計(jì)表明，全球差不多有80%的企業(yè)存在著信息安全或信息風(fēng)險(xiǎn)問(wèn)題，在所有被調(diào)查的公司中，進(jìn)行常規(guī)性安全檢查的公司還不到一半，只有 30% 的公司具有跟蹤用戶訪問(wèn)的能力，30%的公司使用加密技術(shù)。而且調(diào)查還說(shuō)這些信息安全問(wèn)題大都來(lái)自于企業(yè)內(nèi)部，而其中處于信息泄密高風(fēng)險(xiǎn)的很大一部分都是來(lái)自于信息安全管理不善所致。

想要應(yīng)付信息安全威脅，就要先認(rèn)識(shí)到什么是“信息安全威脅”。企業(yè)需要面對(duì)各種各樣的信息危險(xiǎn)，這種危險(xiǎn)可能是惡意的，也可能是非惡意的，如因失誤而造成的泄露。惡意的危險(xiǎn)又分為兩種，一是理智型的，如故意偷取企業(yè)機(jī)密；二是非理智型的，如毀壞企業(yè)的數(shù)據(jù)。總的說(shuō)來(lái)，典型的信息泄露危險(xiǎn)主要包括如下幾個(gè)方面。

(1)軟硬件故障導(dǎo)致意外泄密

信息系統(tǒng)各種設(shè)備的物理安全和正常運(yùn)行是保障信息安全的前提，當(dāng)這種正常狀態(tài)遭受到破壞時(shí)，信息就存在著泄密的可能。例如發(fā)生設(shè)備被盜、被毀，基礎(chǔ)網(wǎng)絡(luò)設(shè)施線路被截獲或偷聽(tīng)而造成泄露。還有如防火墻意外癱瘓而導(dǎo)致失效，以致安全設(shè)置形同虛設(shè)，再或由于服務(wù)器死機(jī)導(dǎo)致數(shù)據(jù)丟失或外泄等。最后，還有軟硬件設(shè)備環(huán)境缺乏安全保護(hù)，如防水災(zāi)、火災(zāi)、地震等自然災(zāi)害。

(2)黑客入侵

一般來(lái)說(shuō)，黑客常見(jiàn)的入侵動(dòng)機(jī)和形式可以分為兩種。第一種是拒絕服務(wù)(DOS)攻擊。這類(lèi)攻擊一般能使單個(gè)計(jì)算機(jī)或整個(gè)網(wǎng)絡(luò)癱瘓，黑客使用這種攻擊方式是要阻礙合法網(wǎng)絡(luò)用戶使用該服務(wù)或破壞正常的活動(dòng)，但只會(huì)導(dǎo)致網(wǎng)絡(luò)故障，一般不涉及信息安全和信息泄密。而另一種是非法入侵，非法入侵是指黑客利用企業(yè)安全漏洞訪問(wèn)企業(yè)內(nèi)部網(wǎng)絡(luò)或數(shù)據(jù)資源，進(jìn)行刪除、復(fù)制甚至毀壞數(shù)據(jù)的活動(dòng)。這種黑客入侵行為可能會(huì)致使公司數(shù)據(jù)被竊而造成無(wú)法挽回的損失，屬于非常嚴(yán)重的信息安全事件。

(3)病毒侵襲

幾乎有計(jì)算機(jī)的地方，就有出現(xiàn)病毒的可能性。計(jì)算機(jī)病毒通常隱藏在文件或程序代碼內(nèi)，伺機(jī)進(jìn)行自我復(fù)制，并能夠通過(guò)網(wǎng)絡(luò)、磁盤(pán)、光盤(pán)等諸多手段進(jìn)行傳播。計(jì)算機(jī)病毒傳播速度相當(dāng)快、影響面大，必須對(duì)它的危害要引起關(guān)注。一般來(lái)說(shuō)，殺毒軟件和防火墻是對(duì)付病毒的最好方法之一。

CIH、愛(ài)蟲(chóng)等病毒曾讓企業(yè)信息安全人員恐慌一時(shí)，侵害小病毒的會(huì)引起死機(jī)影響工作，大的可能引起系統(tǒng)癱瘓或摧毀數(shù)據(jù)，有些惡意病毒還具有盜取用戶資料的功能，如用戶賬號(hào)和密碼等。

(4)非授權(quán)泄露或刪除敏感信息

企業(yè)內(nèi)部的敏感信息被內(nèi)部人員非授權(quán)泄露或刪除。導(dǎo)致這種狀況的有幾種原因，如非法使用移動(dòng)存儲(chǔ)設(shè)備，非法復(fù)制資料等，還有如錯(cuò)誤的電子郵件發(fā)送，配置錯(cuò)誤的訪問(wèn)控制列表，沒(méi)有嚴(yán)格地設(shè)置的用戶訪問(wèn)權(quán)限等，這些都是由于內(nèi)部信息安全管理不善所導(dǎo)致的。也有可能是信息管理人員對(duì)安全權(quán)限設(shè)置不當(dāng)，導(dǎo)致某些懷有惡意的人故意破壞企業(yè)商業(yè)機(jī)密的完整性以及向競(jìng)爭(zhēng)對(duì)手故意泄露商業(yè)機(jī)密等。

由此可見(jiàn)，信息危險(xiǎn)不僅來(lái)自于外面，有時(shí)也來(lái)自于內(nèi)部。因此，對(duì)企業(yè)來(lái)說(shuō)，信息安全工作迫在眉睫，一方面，企業(yè)需要重視計(jì)算機(jī)病毒防護(hù)工作，制定相關(guān)的管理制度和實(shí)施方案，為信息數(shù)據(jù)安全提供保障。另一方面，要不斷完善備份系統(tǒng)，因?yàn)榧词故亲畛錾陌踩珜?zhuān)家也無(wú)法保證數(shù)據(jù)的百分百安全。所以，要建立一個(gè)可持續(xù)性、可恢復(fù)性的備份系統(tǒng)，保證信息系統(tǒng)在遇到數(shù)據(jù)災(zāi)難的時(shí)候能用最快的速度恢復(fù)。

二.為什么說(shuō)信息安全是被自己打敗的？

讓我們?cè)賮?lái)看一下深圳婦幼醫(yī)院信息泄露事件過(guò)程，事件之所以發(fā)生并非外力所為，而是這家醫(yī)院自身缺乏的信息安全管理所導(dǎo)致的。因此，企業(yè)信息安全除了受外界攻擊外，自身的安全缺陷也是很?chē)?yán)重的問(wèn)題，甚至可以將自己打倒。

(1)對(duì)信息安全風(fēng)險(xiǎn)，總是視而不見(jiàn)

雖然，信息系統(tǒng)的缺陷和技術(shù)不足，使得攻擊、泄密、破壞等安全事件時(shí)有發(fā)生，給企業(yè)帶來(lái)?yè)p失。但最為可惜的是，大多數(shù)企業(yè)的IT管理人員以及決策者，對(duì)于企業(yè)信息安全風(fēng)險(xiǎn)甚少有意識(shí)，往往只是在事件發(fā)生后，捶胸頓足、哀聲長(zhǎng)嘆。即使有部分具有前瞻眼光的決策者，察覺(jué)到了信息安全風(fēng)險(xiǎn)的可怕，卻也缺少一種科學(xué)的分析方法，對(duì)于核心業(yè)務(wù)信息安全風(fēng)險(xiǎn)更缺乏嚴(yán)格的評(píng)估、量化和分析。

(2)沒(méi)有進(jìn)行安全風(fēng)險(xiǎn)評(píng)估，沒(méi)有做好預(yù)防措施

想要加強(qiáng)企業(yè)信息的安全性，就需要對(duì)企業(yè)信息安全的實(shí)際風(fēng)險(xiǎn)做一個(gè)盡可能準(zhǔn)確的評(píng)估，否則的話就會(huì)出現(xiàn)本來(lái)需要高安全級(jí)別的信息系統(tǒng)，結(jié)果為了省錢(qián)，建立了一個(gè)安全性能不是很高的IT系統(tǒng)；或者本來(lái)需要的安全級(jí)別不是很高的，結(jié)果花了相當(dāng)多的錢(qián)建立了一個(gè)安全性能極高的IT系統(tǒng)，浪費(fèi)了投資。所以，一定要盡可能正確地評(píng)估企業(yè)信息安全的風(fēng)險(xiǎn)。

因此，正確對(duì)信息安全風(fēng)險(xiǎn)評(píng)估的意義非常重大，一般可從以下幾個(gè)方面考慮：根據(jù)公司的具體業(yè)務(wù)，評(píng)估信息安全風(fēng)險(xiǎn)是什么；本企業(yè)信息對(duì)黑客的吸引力大不大；本企業(yè)對(duì)外部開(kāi)放程度如何；一旦出現(xiàn)信息安全事故，對(duì)本公司的影響最大程度是什么；若提供保護(hù)這些信息的安全，可能需要的投資額是多少，是否值得為此付出這么多代價(jià)等。

從以上幾個(gè)方面考慮是因?yàn)椴煌再|(zhì)的企業(yè)，黑客對(duì)它們的興趣大小不同。如高精尖企業(yè)以及銀行、海關(guān)、證券等企業(yè)很容易引起黑客的興趣，這樣的企業(yè)信息安全風(fēng)險(xiǎn)性就大些；而一些生產(chǎn)普通物品的企業(yè)黑客卻很少光顧，這樣的企業(yè)信息安全風(fēng)險(xiǎn)性就小些。再比如，有些企業(yè)一旦出現(xiàn)信息安全事故，可能會(huì)企業(yè)產(chǎn)生致命的打擊，有些企業(yè)可能就無(wú)所謂。因此，它們的信息安全風(fēng)險(xiǎn)程度絕對(duì)不會(huì)相同。

三.CIO如何避免泄密門(mén)事件發(fā)生？

現(xiàn)在信息安全可以說(shuō)是關(guān)系到企業(yè)命運(yùn)的大事，不管CIO愿意不愿意，他的一個(gè)重要職責(zé)就是要確保信息安全。如果企業(yè)的信息安全系統(tǒng)脆弱不堪，CIO必須對(duì)此負(fù)責(zé)。那么，CIO應(yīng)該制定什么措施來(lái)避免泄密事件發(fā)生。

保障信息安全有兩個(gè)支柱，一個(gè)是技術(shù)、一個(gè)是管理。而我們?nèi)粘Ｌ峒靶畔踩珪r(shí)，多是在技術(shù)相關(guān)的領(lǐng)域。但正如“木桶原理”所示，安全系數(shù)是由最弱的那個(gè)環(huán)節(jié)決定的。因此，CIO在保護(hù)信息安全時(shí)，也應(yīng)該從上述二個(gè)方面全面考量，而不能只偏重其中的某一個(gè)部分。

(1)管理短視是信息安全最大隱憂

管理短視，可能是很多CIO最不愿意承認(rèn)，卻總是會(huì)造成致命打擊。例如，病毒可能會(huì)一下子讓企業(yè)處于癱瘓狀態(tài)，造成的直接經(jīng)濟(jì)損失大得驚人?？闪钊速M(fèi)解的是，眾多企業(yè)寧可花大把的錢(qián)購(gòu)買(mǎi)服務(wù)器、交換機(jī)、防火墻，卻很少愿意去加強(qiáng)企業(yè)信息管理的安全措施。歸根結(jié)底，還是因?yàn)楹芏嗥髽I(yè)沒(méi)有養(yǎng)成主動(dòng)維護(hù)信息安全的習(xí)慣。同時(shí)，也缺乏安全方面良好的管理機(jī)制。保證信息安全的第一步，首先要做到的就是重視信息安全管理，不要“坐以待斃”。對(duì)于一個(gè)企業(yè)來(lái)說(shuō)，信息安全不僅僅是一個(gè)技術(shù)問(wèn)題，也是一個(gè)管理問(wèn)題。

(2)建立規(guī)范化信息安全制度

信息安全管理的根本立足點(diǎn)，不只是對(duì)設(shè)備的保護(hù)，也不只是對(duì)數(shù)據(jù)的看守，而是規(guī)范企業(yè)員工的行為，這是上升到對(duì)人的管理。安全設(shè)備的建立只是企業(yè)信息安全的第一步，如何在信息安全體系中有效貫徹安全制度，以及不斷深化全員信息安全意識(shí)才是關(guān)鍵所在。光依靠技術(shù)不能完全解決信息安全問(wèn)題，因?yàn)檫^(guò)了一段時(shí)間，一些先進(jìn)的技術(shù)可能就過(guò)時(shí)了。

因此，應(yīng)該要通過(guò)技術(shù)設(shè)備和規(guī)章制度結(jié)合起來(lái)的方式，指導(dǎo)和規(guī)范員工正確使用IT資源。所以，CIO需要建立規(guī)范化的信息安全管理制度和安全措施。這些安全措施包括培養(yǎng)員工的安全意識(shí)，養(yǎng)成良好的上網(wǎng)習(xí)慣，及時(shí)升級(jí)系統(tǒng)補(bǔ)丁，不要瀏覽不良網(wǎng)站，不隨意下載安裝來(lái)歷不明的軟件等。

(3)力爭(zhēng)在信息安全投入足夠預(yù)算

CIO要力爭(zhēng)并確保足夠資金投資于信息安全項(xiàng)目，盡力讓公司為信息安全劃撥一定金額的預(yù)算，以承擔(dān)安全建設(shè)。例如防病毒軟件、防火墻服務(wù)器、加密軟件、入侵檢測(cè)系統(tǒng)、集中安全管理等成本。

有時(shí)，公司高層主管會(huì)認(rèn)為CIO對(duì)信息安全過(guò)于大驚小怪。但CIO要清醒認(rèn)識(shí)到：影響企業(yè)生存的信息出現(xiàn)安全問(wèn)題，或造成嚴(yán)重?fù)p害只是個(gè)時(shí)間問(wèn)題。對(duì)于信息安全來(lái)說(shuō)，生于憂患，死于安樂(lè)的意識(shí)并不是傳說(shuō)中的事情。擔(dān)憂有人對(duì)公司的信息構(gòu)成危害的心態(tài)，并非總是出于想象中的恐懼。

(4)定期進(jìn)行信息安全檢測(cè)

在明確了信息安全目標(biāo)之后，CIO應(yīng)當(dāng)就信息安全問(wèn)題定期進(jìn)行檢測(cè)。一旦安全檢查到現(xiàn)有的運(yùn)作存在信息安全問(wèn)題，或評(píng)估以往安全措施的執(zhí)行情況存在問(wèn)題時(shí)，CIO就需要立即把解決信息安全的時(shí)間計(jì)劃提上議事日程。

(5)建立信息備份恢復(fù)

不管企業(yè)愿意不愿意，信息資產(chǎn)總有機(jī)會(huì)遭受到攻擊和損壞。因此，為了保證業(yè)務(wù)的連續(xù)性和安全性，為信息安全配備一套備份與災(zāi)難恢復(fù)系統(tǒng)就非常有必要。當(dāng)一旦發(fā)生信息安全故障，可以利用災(zāi)難恢復(fù)系統(tǒng)實(shí)現(xiàn)快速恢復(fù)，使企業(yè)迅速回歸正常運(yùn)營(yíng)。

總而言之，任何事物都有它的兩面性。正確、恰當(dāng)?shù)厥褂肐T信息能為企業(yè)帶來(lái)飛速的發(fā)展，但由于系統(tǒng)缺陷、人為誤操作、惡意攻擊等不可預(yù)料的各種風(fēng)險(xiǎn)也同樣使得企業(yè)信息面臨著巨大的災(zāi)難。因此，企業(yè)應(yīng)通過(guò)建立冗余機(jī)制、災(zāi)備機(jī)制、詳盡的信息安全策略等各種手段來(lái)降低企業(yè)的信息安全風(fēng)險(xiǎn)。（IT專(zhuān)家網(wǎng)）