信息安全如何防患于未然

　　車志剛 劉宏偉

　　危機也許就在身邊

　　2005年6月，美國發(fā)生了一起4000萬個信用卡賬戶資料被盜的事件，這是有史以來最嚴(yán)重的信息安全案件。隨著美國聯(lián)邦調(diào)查局介入調(diào)查，更多的細(xì)節(jié)被披露。原來，漏洞出在為

萬事達、維薩和美國運通卡等主要信用卡進行數(shù)據(jù)處理服務(wù)的“卡系統(tǒng)”公司，它的網(wǎng)絡(luò)上被惡意黑客植入了木馬程序。

　　“卡系統(tǒng)”公司負(fù)責(zé)審核商家傳來的消費者信用卡號碼、有效期和驗證碼等信息，審核后再傳送給銀行完成付款手續(xù)。這家公司最近處理的4000萬信用卡賬戶的號碼和有效期等已被木馬程序“一覽無余”，其中包括2200萬個維薩卡賬戶、1390萬個萬事達卡賬戶。安全專家確信：已有20萬個賬戶的信息被轉(zhuǎn)移出去，可能被惡意黑客出售或盜用消費，因此處于“高度危險”狀態(tài)。

　　原來，是這家公司違反數(shù)據(jù)安全規(guī)定留下了隱患。萬事達卡公司等

　　而在這些技術(shù)性漏洞背后，暴露的是企業(yè)對信息安全的忽視和僥幸心理。

　　雖然上面的案例存在特殊性，但這種對信息安全的忽視和僥幸心理卻普遍存在于企業(yè)當(dāng)中，“我們只是個制造業(yè)或服務(wù)業(yè)的中小企業(yè)而已，黑客攻擊離自己還很遙遠(yuǎn)”，這正是許多企業(yè)的普遍心態(tài)。

　　也因為這種心態(tài)的普遍存在，世界上每分鐘都有兩個企業(yè)因為信息安全問題倒閉，有11個企業(yè)因為信息安全問題造成大約800多萬美元的直接經(jīng)濟損失……也許出乎你的意料，但卻是事實。

　　隨處可見的安全隱患

　　一邊是安全防范意識的薄弱，另外一邊則是殘酷的事實。

　　敵人隨時都在瞄準(zhǔn)你的任何一個漏洞，一個細(xì)節(jié)的失誤，足以一分鐘毀滅你的公司，一個信息就可以左右企業(yè)的成敗。這個信息在自己手里是王牌，在對手手里是炸彈。

　　在如今的互聯(lián)網(wǎng)時代，全球范圍的網(wǎng)民數(shù)量近7億，而黑客網(wǎng)站高達20多萬個。經(jīng)常出現(xiàn)的網(wǎng)絡(luò)安全事件，如：網(wǎng)頁篡改、網(wǎng)絡(luò)蠕蟲、特洛伊木馬、計算機病毒等，嚴(yán)重干擾了網(wǎng)絡(luò)的正常運作，一些大型的著名網(wǎng)站也經(jīng)常遭受影響。間諜軟件如今也從幾年前的邊緣角色走到前臺，成為威脅信息安全的又一大隱患。間諜軟件能在用戶覺察不到的情況下安裝到一臺電腦上，并秘密地收集信息。如果不特意加強數(shù)據(jù)安全措施，一旦被黑客盯上造成的損失就很慘重。

　　企業(yè)的信息安全危險還絕不僅僅局限于外部攻擊，在信息系統(tǒng)遭到的攻擊中，一半以上是由公司自己的職員有意或無意引發(fā)的。

　　而貴企業(yè)的重要信息，可能在老板的大腦里、公司電腦里、一個打印稿的背面，甚至在一個垃圾筐里，隨時都有泄漏的可能。泄漏的結(jié)果輕則使公司蒙受損失，重則毀滅公司。

　　一個簡單的例子：節(jié)約用紙是很多公司的好習(xí)慣，員工往往會以使用背面打印紙為榮。其實，將擁有這種習(xí)慣公司的“廢紙”收集在一起，你會發(fā)現(xiàn)打印、復(fù)印造成的廢紙所包含的公司機密竟然如此全面，連執(zhí)行副總都會覺得汗顏，因為廢紙記載了公司里比他的工作日記都全面的內(nèi)容。類似的例子還有很多。

　　當(dāng)然，信息也并不是一定與電腦有關(guān)。幾年前，一家著名的市場調(diào)查公司調(diào)查麥當(dāng)勞的產(chǎn)品銷售量，他們使用了痕跡調(diào)查方法，收集了當(dāng)天麥當(dāng)勞所有的垃圾，雇用了許多臨時工從麥當(dāng)勞店內(nèi)收集垃圾，包括包裝紙盒等。他們就是通過計算這些垃圾得出了麥當(dāng)勞每一種產(chǎn)品的銷售量，并且推算出賣當(dāng)勞下一年的銷售計劃。在這之后，麥當(dāng)勞門店內(nèi)的垃圾都要經(jīng)過自己的處理后才運走。

　　同樣的事情也發(fā)生在雅芳和玫琳凱化妝品公司之間。雅芳就曾經(jīng)雇傭私人偵探收集了玫琳凱的丟棄物，并且進一步破解了競爭對手的新化妝品配方。對于玫琳凱來說，它無法奪回這些珍貴的東西，因為雅芳只是研究了它的垃圾而已，這是完全合法的。

　　而你又如何能夠保證，你的競爭對手不用同樣的方法來竊取你的信息？

　　不僅是技術(shù)問題

　　你該怎么辦？采用技術(shù)手段，這是首先會想到的做法。

　　但信息安全遠(yuǎn)不是“技術(shù)”二字可以解決的問題。技術(shù)固然重要，但首先即是加強防患意識，不要在技術(shù)上已近乎完美，卻因一時疏忽而滿盤皆輸。千萬不要像有些公司的總裁，嚴(yán)格規(guī)定不允許任何員工隨意進入自己的辦公室，但卻忘了防范清潔工；也不要像有些銀行完全有能力購買故障率為千萬分之一的服務(wù)器，卻讓過期的磁帶輕易流入二手市場；不要等到某一天公司的一個普通員工捧著一疊董事會的協(xié)議交給你，說是從他身旁的打印機里取出來的；也不要等到競爭對手對自己第二年的戰(zhàn)略規(guī)劃已了如指掌，只因花幾百元買通普通員工輕易取走了你上一年的人事變動情況表，才恍然大悟。

　　“我們的加密方針是所有的數(shù)據(jù)都必須用128位密鑰加密”某券商網(wǎng)絡(luò)部的經(jīng)理得意地說。但是，就在他這么說的時候，一個敞開辦公的區(qū)域，一臺已經(jīng)打開的電腦前卻一個人都沒有，如果誰想要在里面動點手腳可以說連黑客知識都免了。

　　一位知名的CIO曾經(jīng)提出過保衛(wèi)信息安全的四大要素：技術(shù)、制度、流程和人。合適的標(biāo)準(zhǔn)、完善的程序、優(yōu)秀的執(zhí)行團隊，是一個企業(yè)信息安全的重要保障。技術(shù)只是基礎(chǔ)保障，技術(shù)不等于全部，很多問題不是裝一個防火墻或者一個IDS就能解決的。在組織架構(gòu)上，這家企業(yè)有兩個小組：一是規(guī)模較小的一組人，專門制定安全政策和規(guī)則，另外一組是負(fù)責(zé)執(zhí)行的員工，分散在軟件、硬件以及網(wǎng)絡(luò)等相應(yīng)部門。一旦遇到緊急情況，散落在各地的應(yīng)急響應(yīng)小組能在最短時間內(nèi)集合起來。

　　任何問題歸根到底都是人的因素，加強對員工的管理，對企業(yè)管理者來說比單純購買產(chǎn)品或者制定規(guī)則重要得多。很多企業(yè)信息安全措施部署得很全面，但只要一個員工不按規(guī)定辦事，機密很有可能就這樣流出。

　　所以我們認(rèn)為：信息安全＝先進技術(shù)＋防患意識＋完美流程＋嚴(yán)格的制度＋優(yōu)秀的執(zhí)行團隊＋法律保障。

　　總之，企業(yè)的信息安全，絕對不是一個人的戰(zhàn)斗，但是很多時候，中小企業(yè)卻為了信息安全做出一些本末倒置的動作。面對企業(yè)里形形色色的信息安全規(guī)章，到底哪些是應(yīng)該摒棄的？企業(yè)的信息安全規(guī)則應(yīng)該如何確定？在信息化建設(shè)中哪些是“本”，哪些是“末”？這都是應(yīng)該仔細(xì)琢磨的問題。