信息安全威脅：企業面臨的另一種天災

　　信息安全

　　最大的敵人或許不是你的競爭對手，而是來自網絡深處的黑客

　　文/本刊記者 李 源

　　安悅保險公司的CANDY又拿到一個客戶，她心情舒暢，現在她要做的第一件事就是把這個客戶的資料輸入公司的數據庫。跟往常一樣,她一大早來到辦公室，打開電腦，準備登陸主機，可是就在顯示器亮起來的一瞬間她傻眼了：公司數據庫被盜，所有客戶資料失竊!

　　CANDY知道這意味什么：包括客戶的身份證號碼、銀行賬戶信息、個人財產狀況統統丟失，這些資料可能被盜用，可能被用于勒索和欺詐，可能造成用于銀行存款被竊……當日安悅保險公司數據庫失竊的事件被媒體曝光，安悅的股價直線下跌，保戶打爆了安悅所有業務員的電話。

　　安悅緊急召開董事會，暫停一切事務，在最短的時間內拿出解決辦法：解聘CEO和CTO，拿出1000萬美金賠償用戶資料丟失的損失。

　　但是失竊事件直接影響了安悅的信譽，在接下來的3個月里，安悅的業務員幾乎拿不到任何生意，而1000萬美元遠遠不夠用于賠償，保戶對安悅的起訴，讓法院傳票像雪片一樣飛來，3個月之后，安悅宣布倒閉。

　　事實上，這世界上沒有一個叫安悅的保險公司；但這樣的故事，卻很可能在未來發生在任何一家公司身上。

　　天災，也叫“不可抗力”的災難，通常指水火無情的自然災害，而在科技越來越發達的今天，企業的可能要面臨另一種“天災”，那就是——信息安全威脅。

　　天災實為人禍

　　當企業的業務、管理越來越多地依賴網絡的時候，決策者們必須意識到企業的命運已經跟信息安全緊緊聯系在一起。但令人遺憾的是，雖然信息安全將企業推上死路的例子數不勝數，因為安全問題造成的損失紀錄也不斷刷新，可是信息安全還沒有被企業決策者們真正重視起來。

　　根據公安部《2004年全國信息網絡安全狀況調查分析報告》顯示，2003年5月至2004年5月，在7072家被調查單位中有4057家單位發生過信息網絡安全事件，占被調查總數的58%。調查結果表明，造成網絡安全事件發生的主要原因是安全管理制度不落實和安全防范意識薄弱。

　　一個企業就是一個決策者的企業，如果說一個企業的安全意識薄弱，那就是決策者的安全意識有問題。

　　若干年前，美國前總統克林頓在白宮召見被俘黑客，其中包括攻入美國軍事安全系統瀏覽了所有核導彈部署的頂級高手。但是他們中的大部分人這樣說：“我們的技術并沒有你們想象的那么高超，將我們放入網絡的，除了系統漏洞之外，就是那些管理者。”

　　然而，當年的故事還在上演。北京安泰網安網絡科技有限公司的總經理鄧臻告訴《中國新時代》：“目前企業家，尤其是中小企業的決策者對信息安全的認知程度，只能用兩個字來形容——悲哀。”

　　或許多數企業家在看待信息的時候，還沒有將其看作資產的一部分；企業的決策者就是企業信息的所有者，事實證明，沒有哪一個企業的網絡安全規則是在沒有得到CEO大力倡導高度重視的情況下，順利得以實施的。

　　是什么讓企業家在面對信息安全的時候蒙蔽了雙眼？“信息安全的投入產出比難以估算可能是重要的原因之一。”賽門鐵克技術總監郭訊平對《中國新時代》說，“對于安全的投資可能無法立刻見到成效，這讓很多決策者在安全投入上大打折扣。”

　　短視，可能是很多企業家最不愿意承認，卻總是造成致命打擊的缺點。

　　尷尬的CTO

　　勿庸置疑，今天對于企業的信息安全最大威脅來自于網絡，而我們必須面對的一個事實是，沒有絕對安全的網絡，即便是最完美的系統，也存在著漏洞。

　　然而，為什么有的企業能安然在網上做生意，管理也日趨網絡化，而有的企業卻因為接入互聯網而遭到滅頂之災？當網絡威脅已經無處不在的時候，當我們的安全產品還不能杜絕這些來自網絡的災難的時候，企業家們首先要做的就是在企業內徹底地貫徹網絡安全條例。

　　很多企業家將企業網絡的安全托付給CTO，但是事實證明，多數被賦予CTO之名的管理者，并沒有CTO之實。企業決策者對網絡安全的忽視，讓他們很難將安全規劃和安全條例徹底地執行，CEO和更高的管理者的個人意志完全可以凌駕于安全制度之上。

　　在很多企業里，安全制度根本沒有受到尊重，誰都知道，一個不受尊重的制度如同茶余飯后的笑話——可以用來講，但是效果不過是博人一笑。

　　如果CTO可以被看作企業網絡的看門人的話，那些形同虛設的制度就如同門上的一把壞鎖，每個有鑰匙的人不知道它是壞的，CTO可能不知道它是壞的，而賊卻知道。

　　CTO的另一個尷尬是，那些有著CTO之名的管理者，并沒有CTO之能。令人擔憂的事實是，很多企業中的CTO和他的部門也沒有足夠的信息安全意識。

　　賽門鐵克技術總監郭訊平曾遇到過這樣一個CTO。一次，賽門鐵克為其網絡做滲透測試的時候，他說，你不要給我講你們的產品的性能有多好，如果你能證明我的網絡很脆弱，我就買你的東西。賽門鐵克的技術人員只做了一件事，在中午的時候給該公司的網管打電話，對他說我們是賽門鐵克，我們做測試的時候賬號用不了，你幫我重建一個吧。這個管理人員正在休息，隨口就說你先用我的吧，我下午再幫你重設……接下來的事情可想而知，當日下午，當他們的CTO看到本公司的最重要服務器中的數據擺在眼前的時候，足足一分鐘說不出話來。

　　只要稍稍做一個統計，我們就會發現，很多公司在購買了網絡產品之后，原廠的缺省用戶名和密碼都未曾修改——如果現在你還能用ADMIN輕松進入公司網絡系統，那你的網絡管理人員根本就是不稱職的。

　　廣義安全

　　電子郵件在公司同事間的往來，已經成為再平常不過的事情，而這些CEO們或許不知道，他的員工可能就在某天接到他的郵件，命令其提交一份重要的報告，或者他的家人會收到來信，詢問銀行的賬號和密碼，然而他卻對此一無所知……這不是假想，而是真正發生在眼前的“網絡欺詐”。

　　可以想象，如果他的競爭對手，他的合作伙伴，收到一封以他的名義發來的郵件，內容我們且不作設想，后果已然可以預見的了。

　　據賽門鐵克預測，間諜軟件對網絡的攻擊將在2005年凸顯出來，企業家們必須相信，文章開頭的那一幕，完全可能在某天早上成為你床頭報紙上的A1頭條。

　　事實上，信息安全的薄弱之于企業家可能已經不只是一個意識問題，它還可以被看做是衡量現代企業的管理的一個標尺，“安全之于一個企業歸根到底是一個管理流程，而不只是工具，”鄧臻說，“尤其是對于中小企業來說，對于安全的重視直接反映管理水平。”

　　我們已經看到，在國際合作、吸引外資的活動中，越來越多的跨國公司要求中國公司通過ISO1799質量認證，在這個衡量企業信息安全的國際通用標準里，對安全控制的要求多達128項。

　　對于一個企業來說，信息管理的優化意味著良好的業務流程監控，意味著高效高質的工作，也意味著對自身商務信譽的重視。

　　不得不承認，科技是把雙刃劍。在可以想見的未來，網絡會越來越多地應用到企業的經營和管理中，或許對網絡的拒絕就意味著在下一輪競爭中被淘汰的開始，而緊緊跟隨時代的潮流就要學會利其利而鈍其害，這也許是在2005年，或者在任何時候，企業家都永遠不能放松的那根神經。