信息安全：企業抵御風險之道

對一個企業來說，信息和其它商業資產一樣有價值。

而保護信息免受來自各方面的威脅，是一個企業經營管理的重要環節。

信息安全也不只是個技術問題，而更多地是管理的問題。

互聯網的黑色星期天

2004年10月17日這個星期天的下午，許許多多正在使用騰訊公司QQ即時聊天軟件的用戶發現，QQ無法正常登錄了！隨即騰訊公司通過網絡發布公告解釋為通訊線路故障，表示該公司正在搶修。而一天過去了，問題并沒有得到解決，各方開始眾說紛紜，許多IT和反病毒論壇上開始流傳這么一張帖子：“一國內黑客團體，利用騰訊QQ服務器的漏洞要挾騰訊支付100萬美金作為‘修復’費用，騰訊不予理會后，該組織于17日早正式發動攻擊……”

就在同一天，著名反病毒公司江民公司的主頁被篡改了，署名為“河馬史詩”的黑客留下這么一行字樣：“NND，你們去論壇看看，一片怨聲載道，你們干什么去了？！”

幾個小時過后，國內最大的電子數碼產品代理商神州數碼的官方網站也慘遭黑客毒手，被篡改了網頁。

這些攻擊幾乎都在同一日進行，受害對象全是國內知名網站和各界的領頭羊，其中一些被黑網站還受到了黑客的巨額敲詐勒索，這是國內首起網絡黑客勒索事件，且組織嚴密、技術高超、規模巨大。在黑色恐怖的彌漫下，國內互聯網一時人心惶惶，風聲鶴唳……

信息泄漏損失幾何？

此前，慘痛的事例也并非沒有，只是未能引起足夠警覺和重視。比如，就在前不久，被稱為中國戲曲三大網站之一的“中國秦腔網”遭黑客入侵，網站所有數據被全部刪空，事發后，因為該網站平日沒有對數據進行有效備份，巨大的損失根本無從挽回。網站幾年的積累一夜之間化為烏有。如果這一事件發生在銀行、保險、大型網站、敏感機關等網絡內，損失更將是無法估量。

根據日本當地報紙的報道：2004年2月，日本軟件銀行（SoftBank）和雅虎日本在當地共同經營的寬帶業務“Yahoo! BB” 成了一宗利用客戶資料進行勒索的案件的受害者。據統計，共有4517039份軟銀的現訂戶和前訂戶的個人信息遭泄漏，信息的具體內容包括：住址、姓名、電話號碼、申請時的電子郵箱、雅虎郵箱、雅虎日本ID、申請日期七項內容。所幸的是，用戶的信用卡銀行帳號和密碼等重要信息不包括在內。后據調查，泄漏來源是公司內部員工所為。

在此后舉行的一個新聞發布會上，軟銀主席孫正義對此做出正式道歉，宣布他自己以及公司其他管理層將在未來半年內自減薪水50%，還表示將免費為寬帶訂戶提供6個月互聯網接入安全服務。并撥出40億日元（3730萬美元）對受影響客戶做出賠償。

而騰訊公司QQ是一款用戶數量龐大的即時通訊工具，可以判斷，此次故障所波及的用戶不是一個小的數目，損失自不必說。

江民公司，安全公司反倒被人家弄壞了家門，此事令業內人士瞠目結舌不說，公司形象損失更是巨大。

這一系列事件給全社會敲響了警鐘，現今是網絡的時代，網絡和IT產品給我們帶來了前所未有的機會，提供前所未有的方便，但同時我們也會發現我們已經過度的依賴它，并且這種依賴勢必隨著時代的發展日益加深，而這種依賴也必然蘊涵著巨大的風險。

信息安全，你重視了嗎？

雖然信息風險與安全的概念早已提出，網絡戰、信息戰等新戰爭形態的研究和規劃也早已進入軍事領域，但是一般企業對信息產品所蘊涵的風險仍然缺乏足夠重視，對一旦發生網絡泄密、IT產品失靈、通訊故障、病毒入侵、黑客破壞甚至恐怖襲擊、自然災害等事故后的應對準備不足、替代方案不夠，在日常也缺少信息危機預警機制、信息備份機制和信息危機事件處置預案，可以斷言，一旦發生嚴重的、大規模的信息危機事件，許多企業基本上只能坐視損失的發生而束手無策。

美國ErnstYoung近日公布的企業信息安全措施的調查結果顯示：企業的首席執行官雖然認識到信息安全存在風險，但仍未采取足夠的措施加以解決。

針對在公司內進行關于信息安全的培訓和提高職員意識的工作，超過70％的企業沒有將其列為“最優先處理的事務”。只有不到20%的企業將信息安全提高到首席執行官級的優先事項。

該調查是以51個國家的1233家企業為對象實施的。企業雖然重視病毒等來自外部的攻擊，但對來自公司內部的威脅仍然視若無睹。

公安部近日公布的2004年全國信息網絡安全狀況調查結果顯示：在被調查的7072家政府、金融證券、教育科研、電信、廣電、能源交通、國防和商貿企業等部門和行業的重要信息網絡、信息系統使用單位中，發生網絡安全事件的比例為58%。

造成網絡安全事件的主要原因，是安全管理制度不落實和安全防范意識薄弱，其中因未修補、防范軟件漏洞等原因造成的安全事件占總數的66%。同時，調查表明：信息網絡使用單位對安全管理工作的重視程度、落實安全管理措施和采用安全專用技術產品等方面均有所提高和加強，但是用戶安全觀念薄弱、安全管理人員缺乏培訓，以及缺乏有效的安全信息通報渠道、安全服務行業發展不能滿足社會需要等問題仍然比較突出。

這些都充分顯示了信息安全并未得到多數企業的重視。所以，企業乃至全社會，樹立必要的信息風險意識、增強應對信息危機的能力已是當務之急。

是誰泄露了機密？

隨著信息化的推進，很多企業把管理搬到了網絡上，但是同時也存在著信息化環境下技術保密、管理保密問題。目前在國內，管理信息系統能夠實現有效加密的很少。一個企業的運營數據很容易獲得。比如：要獲得某個企業的銷售數據，只要聯入數據庫，什么信息應有盡有，而很多軟件，會將聯入數據庫的參數暴露在配置文件中，甚至有的根本沒有進行加密。

而說到保障企業的信息安全，很多人首先想到就是利用各種各樣的技術手段，比如：利用防火墻和各類加密手段。但你有沒有想到，道高一尺，則魔高一丈。比如：隨著技術的發展，現在的個人電腦能夠保存大量的客戶數據。即使是PDA（便攜信息終端）、手機、存儲卡等記錄媒體也能存儲容量可觀的數據。這樣，犯罪手法也相應發生了變化。仔細想一想，這也是當然的事情。罪犯不會傻到特意往你耗時耗力專門搭建的防火墻上撞。比起這種方式，還是直接帶走公司里的信息設備更加簡單。

比如：忘在車里的個人電腦就是隱患之一。如果將這臺電腦忘在某個地方，或者被人偷走的話，就會造成信息泄漏。這種情況下的信息泄漏不僅僅是指電腦里的數據。同時還存在第三者使用這臺電腦訪問公司內部網絡的危險。

再比如：熱衷工作的“您”，也許正是信息泄漏的危險人物。如果太熱衷于工作會有什么危險呢？首先請您回答以下提問：您是否將工作帶到家中？您是否即使外出也要在空隙時間利用網吧工作？是否共享筆記本電腦中的數據，在部門間進行協同作業？是否會在出差地為了了解電子郵件請同事代看？

請問您的回答有幾個YES呢？如果您有上述情形之一就需要“注意”了。因為由于職員或相關人員隨意的行動或由于不經意的失誤導致信息泄漏或系統故障的事件越來越多。因為每位職員的日常行為中潛藏著有可能威脅到企業安全的因素。

以“將工作帶到家中”的人士為例：日本三菱重工就曾經發生過將下一戰斗機相關數據泄漏到公司外部的事件，當時該公司職員為了回家工作將上述數據附在電子郵件的附件中發送到了自己的郵箱。

很多企業允許通過互聯網訪問企業的軟件或者公司的內部系統，如果有的職員“即使外出也要在空隙時間利用網吧工作”那就需要注意了。2004年3月6日，日本假冒他人通過互聯網從銀行非法取款1600萬日元（約合人民幣100萬元）的嫌疑人被逮捕，他是用安裝在網吧電腦中名為KeyLogger的監視軟件，取得并記錄鍵盤輸入信息從而盜取了用戶的ID和密碼。由于直接取得的是鍵盤的敲擊紀錄因此即使對通信進行加密也沒有用。由此推想，利用同樣的方法盜取訪問公司內部系統用的ID和密碼也不出奇。

在信息泄漏事故中最可怕的是案犯來自內部，所以在出差地為了了解電子郵件請同事代看的做法實在是不明智的。

如何防止信息泄漏？

保障企業的信息安全應該從企業自身的管理抓起，建立和健全信息安全管理體制，利用各項制度防止任何管理上的漏洞。誠然，有些企業已經采取了安裝防火墻、IDS（入侵檢測系統）及殺毒軟件，或者制定安全政策等各種措施。但上述措施只能在各自擅長的方面發揮作用。因此，必須將所有的安全對策綜合起來考慮，即整體安全管理的方法。

第一，系統安全管理

其中包括：系統資源的管理和信息資源分級分類管理。比如：在很多大型系統中，很多人可能并不清楚，里面究竟有哪些軟件、硬件設備？有沒有人插進來一個設備或者是刪除一個設備？究竟是哪個關鍵部件出了毛病？等等。此外，信息分類、信息安全最基本的原則和目的是為了保護系統。如同人們進入大門、進入房間要進行不同的控制一樣，在系統中進入不同的設備、進入不同的操作也要進行區分。

第二，對用戶的管理

加強對用戶的管理，用管理手段彌補技術落后問題。在自己的系統上所注冊的合法用戶究竟有哪些？他們各自的權限在哪兒？這些問題必須搞清楚，因此，對密碼的配置要進行管理。

要制定重要信息的使用方針。需要有一個規定：每個員工能訪問什么信息以及什么樣的信息可以保存在電腦里。不過，實際問題是無法逐一檢查每個人使用的信息設備內所保存的內容。公司應該以所有設備上都保存有重要信息為前提，來考慮安全問題。需要強化對帶出信息終端的監視，以及強化登錄個人電腦時的密碼認證措施。另外，還應該考慮數據的加密。

第三，對資產的管理

首先要明確企業的哪些資產需要保護：企業必須花費時間與精力來首先確定關鍵數據和相關的業務支持技術資產的價值。通常，各公司認為表述資產的價值是很容易的，但具體到要按級別界定就不那么簡單。對此，就需要用安全廠商與企業共同制定規范以確定需要保護的資產的安全級別，并為制定切實可行的安全管理策略打下基礎。

第四，將安全策略運用于日常業務中

信息安全策略的制定一定是一個好的開始。但無論信息安全策略考慮得有多好，制定得有多詳盡，但是如果人們不知道這些策略，仍然毫無用處。所以還應有一些好的手段，使安全策略得到推廣，比如：

（1）對企業安全管理人員進行安全培訓，以便維護和管理整個安全方案的實施和運行情況。

（2）利用幽默和簡單的語言表述信息安全策略，分發給每個雇員。

（3）印刷日歷，強調每個月不同的策略，將它們張貼在辦公室中。

（4）將信息安全策略和標準發布在內部系統的網站上。

（5）向公司員工發送宣傳信息安全策略的郵件。

（6）建立內部安全熱線，回答雇員關于信息安全策略的問題。

所有這些，都會讓安全問題成為企業日常業務工作的一部分，安全工作就會走向制度化。