文/ 特約記者 陳識
2010年8月5日,英國路透社披露消息,因向力拓員工泄漏商業機密,首鋼國貿公司總經理助理兼礦業部部長譚以新,一審被判處有期徒刑3年半,並罰款30萬元;山東萊鋼旗下國際貿易公司國際海運部經理王洪九被判有期徒刑4年,罰款40萬元。看來盡管已經經過公開審理,曆時一年多的力拓案仍然沒有塵埃落定。幾個月前的3月29日,上海市第一中級人民法院對被告人胡士泰等非國家工作人員受賄、侵犯商業秘密案作出一審判決,分別以非國家工作人員受賄罪、侵犯商業秘密罪,判處被告人胡士泰有期徒刑10年;另外三人判處14年到7年不等。根據審理法院的宣判,力拓案中,商業機密的泄漏給中國鋼鐵行業帶來了巨大損失,使中國企業在鐵礦石談判中處於不利地位。因為力拓案四名案犯的犯罪行為,導致去年有逾20家中國鋼鐵企業為鐵礦石進口多支付了10.2億元人民幣。罪魁禍首繩之以法並陸續落網,當然很好,但這畢竟是“遲到的正義”,巨額經濟損失無法挽回,其對整個行業造成的負麵影響也難以平複。可以說,以力拓案為典型的相關事件為我國企業的信息安全敲響了警鍾。
目前,對信息安全的定義,一般主要針對於具體的信息安全技術係統的安全和某些特定的信息體係(如銀行係統、軍事指揮係統)的安全,具體說來,企業的信息安全可以大致歸納為三個方麵:一是信息內容的安全,應做到數據和文件安全傳輸、存儲,不泄密,不丟失,不損壞。二是信息係統的安全,應做到網絡運行暢通、穩定、可靠,確保信息和處理方法的準確和完善,使信息僅能讓授權人訪問,防止病毒及黑客侵入,提高保密性。三是信息管理的安全,應做到安全製度嚴密,控製措施有效,無人泄密。而前兩方麵都涉及到技術層麵的保障,這讓信息安全看起來像一個技術問題,“工欲善其事,必先利其器”,保障信息安全係統的技術當然重要,但是技術是為人利用和服務的,相比於硬件型的技術基礎支持,由人所主導的信息安全組織和管理更具有可操作的彈性空間,因此更加值得cq9电子平台重視。我國企業信息安全問題現狀並不樂觀,尤其是中小企業,由於信息化水平仍處於初級階段,還存在著很多亟待解決的問題,比如投入資金不足、信息專業技術人員缺乏、法規與政策環境不完善、社會化服務體係不健全等等,其中信息化安全管理存在的問題至關重要,關係到中小企業信息化的成敗。
在企業信息安全中,從戰術上說,製度是基礎支撐,技術是外部保障,而有效的管理就是通過駕馭和協調二者,進行合理的資源配置,在企業信息安全與效益中尋找最佳平衡點,因此要考慮涉及到技術、製度、管理等多方麵因素,三者相輔相成,缺一不可。而從戰略上講,既要主動出擊,建立健全關乎企業信息安全的各種機製,又要學會防守,善於發現並解決企業內常見的威脅信息安全的管理漏洞,攻守兼備方可成功。本文將針對一些企業在信息安全方麵遇到的常見問題為您介紹一些攻守策略。
攻略一:企業信息安全體係的建立
解決信息安全問題,從管理層麵上看,應該從管理的戰略高度上重視信息安全,把信息安全提高到企業商業秘密保護的高度上,比如在企業審計過程中進行信息安全的審計。從技術層麵上看,要利用相應的安全技術解決信息安全問題,這樣才能讓信息安全落地,如防火牆、入侵檢測、傳輸安全、數據庫安全、內部用戶的上網行為管理等,並且需要動態地跟蹤技術的進步。但技術不是目的,應該圍繞業務保障應用安全,再進一步促進應用的拓展。
而合理的管理和先進的技術得以發揮作用的基礎在於企業信息安全製度體係的建立。這就包括很多方麵:1.要建立安全事件應急管理機製,製訂信息化安全應急預案,提高信息安全應急響應速度。2.建立集中化管理控製機製。將數據安全控製進行集中化管理,以確保安全防範策略能夠由上至下全麵貫徹執行。將加密密鑰進行集中化管理,可以防止由於人為錯誤而造成加密密鑰的丟失帶來的數據安全風險,也可防止與其他的加密策略相互衝突和不兼容。3. 在具體工作上明確信息安全等級,根據各個應用係統的不同特點來定位需要哪種安全服務種類。這樣劃分等級也可以降低企業在信息安全上的成本。4.有備無患,強化重要信息異地數據備份與災難恢複機製,為信息係統的安全可靠運行提供保障。5.加強信息安全風險評估工作,定期對信息係統進行安全風險評估,提高安全風險預防能力。6.引進相關技術和管理人才,細分其職能權限。
攻略二:重視企業信息 情報機構的建設
知己知彼,百戰不殆。保障企業信息安全,除了建立穩固的安全管理體係,還應主動出擊,組建企業的信息安全情報部門,這也是力拓案給cq9电子平台的重要教訓之一。目前,世界500強企業大多都在香港設立了辦事處,他們的主要任務就是為各自的企業收集回中國最新的經濟信息。正如寶山鋼鐵集團公司情報中心主任薛祖華所說,“如果說企業的決策者是人的大腦,那麽企業的情報部門,就是人的眼睛和耳朵,耳聰目明,才能為大腦做出決策,減少風險,增加機遇。企業在沒有情報分析的情況下做出的決策,肯定是有重大缺陷的決策,也必將在商業競爭中被淘汰出局。”當然,這也應視企業自身情況而定,一些中小企業可能缺乏資金人力難以建立獨立的情報機構,但是最好要有負責相關工作的人員,增強企業競爭情報的意識對信息安全的保障至關重要。
攻略三:強化信息安全管理的教育 增強信息安全意識
首先需要明確的一個理念是,真正的安全是一種意識,並非技術,不存在一種技術能真正保證絕對的安全。以“力拓案”為代表的企業信息泄密很大程度上就是企業內部從管理人員到普通員工集體安全意識缺乏的惡果。據統計,我國商業秘密刑事案件中有60%與人才跳槽有關,80%以上的商業秘密外流案件由內部員工引起,因此教育的強化和意識的增強並不是大而空的泛泛而談,而是支持硬性的體製有效執行和技術充分利用的基礎。因此,需要加強信息安全宣傳工作,營造安全風險防範從我做起的氛圍,增強所有員工對信息安全重要性的認識,要把信息化安全教育列入企業員工教育培訓計劃,加強互聯網和信息安全知識的普及工作,增強員工信息安全意識,提高員工的信息安全防範能力。同時明確完善的獎懲製度,增強員工團隊凝聚力和對企業的認同力,輔助員工信息安全意識的強化。
守略一:企業內部存儲設備管理
目前,由於計算機已經應用於企業運作的各個方麵,而存儲在某台計算機上的重要文件、數據等信息的泄漏卻難查覺,往往造成影響或損失時才被發現。由於許多企業對移動存儲設備(筆記本電腦、智能手機、U盤、移動硬盤、MP3等)的使用沒有任何規定或執行不力,增加了企業內部人員依靠這些移動存儲設備對重要文件或數據的泄露竊取的可能性。同時,企業內部人員也可以通過內部網絡非法獲取重要信息並利用互聯網的郵件等功能傳輸到企業外部。另外,員工在企業內外部濫用移動存儲設備,導致病毒漏過企業設置的病毒防火牆,而直接在企業內部傳播。
守略二:密碼設置
對計算機密碼的設置也是信息安全的重要方麵。無論是操作係統,還是管理信息係統,都要考慮對密碼複雜度的限製。密碼過於簡單或長期使用同一密碼會帶來很大安全隱患。在信息係統開發時,應該對用戶密碼做到如下限製:設置密碼長度的最少位數,以及密碼的複雜程度要求。否則,密碼長度太短或者過於簡單有規律,都很容易被猜出;設定一個密碼更新時間,以防止長期使用同一密碼造成的安全隱患;密碼輸入錯誤的次數限定。當密碼輸入錯誤超過限次時,要鎖死係統。在該用戶重新進入係統時要由管理人員開啟,以防止非法用戶用猜碼的方式登錄係統。
守略三:控製訪問權限和上網行為
非授權訪問也是企業機密信息可能發生安全隱患的主要問題,因此企業權限管理應得到足夠重視,必須明確界定每個員工工作的權限。許多企業對操作權限有一定的設置要求,必須注意以下常見現象:員工享有的操作權限重複,導致責任不明。在企業使用的Windows操作係統中,用戶具有管理員的權限,既可以隨意地下載和安裝軟件,也可修改係統的配置,甚至可以擅自修改IP地址,造成IP地址的衝突等。公司辭退員工,沒有及時變更計算機登錄權限。企業在手工過渡到信息化時,為了不對現有的利益產生不良反應,在權限分配上基本模擬手工方式,這些對企業信息安全都會造成一定的影響。與此相關的一個可能常見的問題是,企業員工隨便使用企業計算機網上衝浪、使用和下載軟件和文件、發送電子郵件等,除了影響工作效率外,更是孳生電腦病毒的溫床,對企業信息安全有很大威脅。因此應通過技術與管理等手段,控製這種行為,同時嚴格控製企業外部傳來的文件。
