文/ 特約記者 陳識
2010年8月5日,英國路透社披露消息,因向力拓員工泄漏商業(yè)機密,首鋼國貿(mào)公司總經(jīng)理助理兼礦業(yè)部部長譚以新,一審被判處有期徒刑3年半,并罰款30萬元;山東萊鋼旗下國際貿(mào)易公司國際海運部經(jīng)理王洪九被判有期徒刑4年,罰款40萬元。看來盡管已經(jīng)經(jīng)過公開審理,歷時一年多的力拓案仍然沒有塵埃落定。幾個月前的3月29日,上海市第一中級人民法院對被告人胡士泰等非國家工作人員受賄、侵犯商業(yè)秘密案作出一審判決,分別以非國家工作人員受賄罪、侵犯商業(yè)秘密罪,判處被告人胡士泰有期徒刑10年;另外三人判處14年到7年不等。根據(jù)審理法院的宣判,力拓案中,商業(yè)機密的泄漏給中國鋼鐵行業(yè)帶來了巨大損失,使中國企業(yè)在鐵礦石談判中處于不利地位。因為力拓案四名案犯的犯罪行為,導(dǎo)致去年有逾20家中國鋼鐵企業(yè)為鐵礦石進口多支付了10.2億元人民幣。罪魁禍?zhǔn)桌K之以法并陸續(xù)落網(wǎng),當(dāng)然很好,但這畢竟是“遲到的正義”,巨額經(jīng)濟損失無法挽回,其對整個行業(yè)造成的負(fù)面影響也難以平復(fù)。可以說,以力拓案為典型的相關(guān)事件為我國企業(yè)的信息安全敲響了警鐘。
目前,對信息安全的定義,一般主要針對于具體的信息安全技術(shù)系統(tǒng)的安全和某些特定的信息體系(如銀行系統(tǒng)、軍事指揮系統(tǒng))的安全,具體說來,企業(yè)的信息安全可以大致歸納為三個方面:一是信息內(nèi)容的安全,應(yīng)做到數(shù)據(jù)和文件安全傳輸、存儲,不泄密,不丟失,不損壞。二是信息系統(tǒng)的安全,應(yīng)做到網(wǎng)絡(luò)運行暢通、穩(wěn)定、可靠,確保信息和處理方法的準(zhǔn)確和完善,使信息僅能讓授權(quán)人訪問,防止病毒及黑客侵入,提高保密性。三是信息管理的安全,應(yīng)做到安全制度嚴(yán)密,控制措施有效,無人泄密。而前兩方面都涉及到技術(shù)層面的保障,這讓信息安全看起來像一個技術(shù)問題,“工欲善其事,必先利其器”,保障信息安全系統(tǒng)的技術(shù)當(dāng)然重要,但是技術(shù)是為人利用和服務(wù)的,相比于硬件型的技術(shù)基礎(chǔ)支持,由人所主導(dǎo)的信息安全組織和管理更具有可操作的彈性空間,因此更加值得我們重視。我國企業(yè)信息安全問題現(xiàn)狀并不樂觀,尤其是中小企業(yè),由于信息化水平仍處于初級階段,還存在著很多亟待解決的問題,比如投入資金不足、信息專業(yè)技術(shù)人員缺乏、法規(guī)與政策環(huán)境不完善、社會化服務(wù)體系不健全等等,其中信息化安全管理存在的問題至關(guān)重要,關(guān)系到中小企業(yè)信息化的成敗。
在企業(yè)信息安全中,從戰(zhàn)術(shù)上說,制度是基礎(chǔ)支撐,技術(shù)是外部保障,而有效的管理就是通過駕馭和協(xié)調(diào)二者,進行合理的資源配置,在企業(yè)信息安全與效益中尋找最佳平衡點,因此要考慮涉及到技術(shù)、制度、管理等多方面因素,三者相輔相成,缺一不可。而從戰(zhàn)略上講,既要主動出擊,建立健全關(guān)乎企業(yè)信息安全的各種機制,又要學(xué)會防守,善于發(fā)現(xiàn)并解決企業(yè)內(nèi)常見的威脅信息安全的管理漏洞,攻守兼?zhèn)浞娇沙晒Α1疚膶⑨槍σ恍┢髽I(yè)在信息安全方面遇到的常見問題為您介紹一些攻守策略。
攻略一:企業(yè)信息安全體系的建立
解決信息安全問題,從管理層面上看,應(yīng)該從管理的戰(zhàn)略高度上重視信息安全,把信息安全提高到企業(yè)商業(yè)秘密保護的高度上,比如在企業(yè)審計過程中進行信息安全的審計。從技術(shù)層面上看,要利用相應(yīng)的安全技術(shù)解決信息安全問題,這樣才能讓信息安全落地,如防火墻、入侵檢測、傳輸安全、數(shù)據(jù)庫安全、內(nèi)部用戶的上網(wǎng)行為管理等,并且需要動態(tài)地跟蹤技術(shù)的進步。但技術(shù)不是目的,應(yīng)該圍繞業(yè)務(wù)保障應(yīng)用安全,再進一步促進應(yīng)用的拓展。
而合理的管理和先進的技術(shù)得以發(fā)揮作用的基礎(chǔ)在于企業(yè)信息安全制度體系的建立。這就包括很多方面:1.要建立安全事件應(yīng)急管理機制,制訂信息化安全應(yīng)急預(yù)案,提高信息安全應(yīng)急響應(yīng)速度。2.建立集中化管理控制機制。將數(shù)據(jù)安全控制進行集中化管理,以確保安全防范策略能夠由上至下全面貫徹執(zhí)行。將加密密鑰進行集中化管理,可以防止由于人為錯誤而造成加密密鑰的丟失帶來的數(shù)據(jù)安全風(fēng)險,也可防止與其他的加密策略相互沖突和不兼容。3. 在具體工作上明確信息安全等級,根據(jù)各個應(yīng)用系統(tǒng)的不同特點來定位需要哪種安全服務(wù)種類。這樣劃分等級也可以降低企業(yè)在信息安全上的成本。4.有備無患,強化重要信息異地數(shù)據(jù)備份與災(zāi)難恢復(fù)機制,為信息系統(tǒng)的安全可靠運行提供保障。5.加強信息安全風(fēng)險評估工作,定期對信息系統(tǒng)進行安全風(fēng)險評估,提高安全風(fēng)險預(yù)防能力。6.引進相關(guān)技術(shù)和管理人才,細(xì)分其職能權(quán)限。
攻略二:重視企業(yè)信息 情報機構(gòu)的建設(shè)
知己知彼,百戰(zhàn)不殆。保障企業(yè)信息安全,除了建立穩(wěn)固的安全管理體系,還應(yīng)主動出擊,組建企業(yè)的信息安全情報部門,這也是力拓案給我們的重要教訓(xùn)之一。目前,世界500強企業(yè)大多都在香港設(shè)立了辦事處,他們的主要任務(wù)就是為各自的企業(yè)收集回中國最新的經(jīng)濟信息。正如寶山鋼鐵集團公司情報中心主任薛祖華所說,“如果說企業(yè)的決策者是人的大腦,那么企業(yè)的情報部門,就是人的眼睛和耳朵,耳聰目明,才能為大腦做出決策,減少風(fēng)險,增加機遇。企業(yè)在沒有情報分析的情況下做出的決策,肯定是有重大缺陷的決策,也必將在商業(yè)競爭中被淘汰出局。”當(dāng)然,這也應(yīng)視企業(yè)自身情況而定,一些中小企業(yè)可能缺乏資金人力難以建立獨立的情報機構(gòu),但是最好要有負(fù)責(zé)相關(guān)工作的人員,增強企業(yè)競爭情報的意識對信息安全的保障至關(guān)重要。
攻略三:強化信息安全管理的教育 增強信息安全意識
首先需要明確的一個理念是,真正的安全是一種意識,并非技術(shù),不存在一種技術(shù)能真正保證絕對的安全。以“力拓案”為代表的企業(yè)信息泄密很大程度上就是企業(yè)內(nèi)部從管理人員到普通員工集體安全意識缺乏的惡果。據(jù)統(tǒng)計,我國商業(yè)秘密刑事案件中有60%與人才跳槽有關(guān),80%以上的商業(yè)秘密外流案件由內(nèi)部員工引起,因此教育的強化和意識的增強并不是大而空的泛泛而談,而是支持硬性的體制有效執(zhí)行和技術(shù)充分利用的基礎(chǔ)。因此,需要加強信息安全宣傳工作,營造安全風(fēng)險防范從我做起的氛圍,增強所有員工對信息安全重要性的認(rèn)識,要把信息化安全教育列入企業(yè)員工教育培訓(xùn)計劃,加強互聯(lián)網(wǎng)和信息安全知識的普及工作,增強員工信息安全意識,提高員工的信息安全防范能力。同時明確完善的獎懲制度,增強員工團隊凝聚力和對企業(yè)的認(rèn)同力,輔助員工信息安全意識的強化。
守略一:企業(yè)內(nèi)部存儲設(shè)備管理
目前,由于計算機已經(jīng)應(yīng)用于企業(yè)運作的各個方面,而存儲在某臺計算機上的重要文件、數(shù)據(jù)等信息的泄漏卻難查覺,往往造成影響或損失時才被發(fā)現(xiàn)。由于許多企業(yè)對移動存儲設(shè)備(筆記本電腦、智能手機、U盤、移動硬盤、MP3等)的使用沒有任何規(guī)定或執(zhí)行不力,增加了企業(yè)內(nèi)部人員依靠這些移動存儲設(shè)備對重要文件或數(shù)據(jù)的泄露竊取的可能性。同時,企業(yè)內(nèi)部人員也可以通過內(nèi)部網(wǎng)絡(luò)非法獲取重要信息并利用互聯(lián)網(wǎng)的郵件等功能傳輸?shù)狡髽I(yè)外部。另外,員工在企業(yè)內(nèi)外部濫用移動存儲設(shè)備,導(dǎo)致病毒漏過企業(yè)設(shè)置的病毒防火墻,而直接在企業(yè)內(nèi)部傳播。
守略二:密碼設(shè)置
對計算機密碼的設(shè)置也是信息安全的重要方面。無論是操作系統(tǒng),還是管理信息系統(tǒng),都要考慮對密碼復(fù)雜度的限制。密碼過于簡單或長期使用同一密碼會帶來很大安全隱患。在信息系統(tǒng)開發(fā)時,應(yīng)該對用戶密碼做到如下限制:設(shè)置密碼長度的最少位數(shù),以及密碼的復(fù)雜程度要求。否則,密碼長度太短或者過于簡單有規(guī)律,都很容易被猜出;設(shè)定一個密碼更新時間,以防止長期使用同一密碼造成的安全隱患;密碼輸入錯誤的次數(shù)限定。當(dāng)密碼輸入錯誤超過限次時,要鎖死系統(tǒng)。在該用戶重新進入系統(tǒng)時要由管理人員開啟,以防止非法用戶用猜碼的方式登錄系統(tǒng)。
守略三:控制訪問權(quán)限和上網(wǎng)行為
非授權(quán)訪問也是企業(yè)機密信息可能發(fā)生安全隱患的主要問題,因此企業(yè)權(quán)限管理應(yīng)得到足夠重視,必須明確界定每個員工工作的權(quán)限。許多企業(yè)對操作權(quán)限有一定的設(shè)置要求,必須注意以下常見現(xiàn)象:員工享有的操作權(quán)限重復(fù),導(dǎo)致責(zé)任不明。在企業(yè)使用的Windows操作系統(tǒng)中,用戶具有管理員的權(quán)限,既可以隨意地下載和安裝軟件,也可修改系統(tǒng)的配置,甚至可以擅自修改IP地址,造成IP地址的沖突等。公司辭退員工,沒有及時變更計算機登錄權(quán)限。企業(yè)在手工過渡到信息化時,為了不對現(xiàn)有的利益產(chǎn)生不良反應(yīng),在權(quán)限分配上基本模擬手工方式,這些對企業(yè)信息安全都會造成一定的影響。與此相關(guān)的一個可能常見的問題是,企業(yè)員工隨便使用企業(yè)計算機網(wǎng)上沖浪、使用和下載軟件和文件、發(fā)送電子郵件等,除了影響工作效率外,更是孳生電腦病毒的溫床,對企業(yè)信息安全有很大威脅。因此應(yīng)通過技術(shù)與管理等手段,控制這種行為,同時嚴(yán)格控制企業(yè)外部傳來的文件。
