2012企业信息安全的“六宗罪”

        2012信息安全领域可谓是状况不断,热闹非凡,泄密事件从1月一直到年末,始终没有消停过。那么是不是所有泄密事件都由同一个原因引起的呢?答案是否定的。即使表面看起来十分相似,但其中情形还是各有不同。溢信科技根据去年发生的信息安全事件,将中招的企事业单位划分为六类,并对其背后的原因进行深入的分析。希望能够在信息安全防护上带给大家一些启迪:

一、缺乏安全概念型

        这种类型对于信息安全几乎没有什么意识,他们对信息只是使用,比如登记、存档、查询等,想不到竟然有人还能拿这些信息去卖钱,私售公民个人信息对他们来说就像一种从来没有听过的新事物,所以也就不会顾及到信息安全的保护。这种类型的处境相当危险,很容易落入歹人的圈套。如果其手中还掌握着大量的用户信息,那后果不堪设想。比如2012年某市卫生局将数十万信息婴儿信息轻易地交到了外包人员的手中,结果遭非法泄露。

二、为利舍安全型

        这种类型一般都知道可能存在信息泄露风险,但是他们因为考虑到各种利益原因,比如担心部署信息安全措施会降低用户体验,或者耗用大笔预算,或者其他原因,总之是没有加强信息安全保护。如5月份,某知名电商90万用户信息被500元叫卖。之后安卓论坛等多家网站和论坛累计超过800万用户信息泄密,部分网站的密码和用户名称是以未加密的方式储存在纯文字档案内,意味着所有人都可使用这些信息。

 三、无可奈何型

        这种类型很清楚存在的信息泄露风险,或者已经出现信息泄露的现象,然而他们想控制却控制不了。比如快递信息泄露,因其加盟模式难于管理,总公司即使想整顿信息安全也鞭长莫及,2012年11月,“三通一达”等多家快递公司客户信息遭贩卖。快递单号的信息被大面积泄露,甚至衍生出多个专门交易快递单号信息的网站。

四、防护不力型

        此类型手握着大量的用户信息,也知道这些信息的价值,并且采取一些信息保护的措施,但由于管控不严,仍然存在很多可泄密的漏洞。比如银行拥有大量的个人征信报告,并有专门的人管理这些信息,但内部出现个别腐虫,将信息泄露出去。2012年3央视3.15晚会曝光的几家银行员工以一份十元到几十元的价格大肆兜售个人征信报告、银行卡信息,导致部分用户银行卡账号被盗,就是如此。

五、防不胜防型

        这种类型往往深知信息安全的重要性,信息安全防护的主动性强,部署了严密的信息安全防护措施,但是结局往往始料不及,颠覆想象,有的遭自已人窝里反,有的遭竞争对手挖墙角,过程往往扑朔迷离,防不胜防,并使得企业大伤元气。比如之前曝光的三星OLED技术泄露,东软集团商业秘密外泄等等,其中东软商业秘密外泄就造成公司损失高达4000余万元人民币。

六、“外族”入侵型

        这种类型主要包括因为各种原因遭遇了病毒、木马、黑客入侵等外部攻击,导致数据库被控制、窃取、拖库等。如2012年1月,亚马逊旗下美国电子商务网站Zappos遭到黑客网络攻击,2400万用户的电子邮件和密码等信息被窃取。

        当然,企业信息安全的尴尬或许会远远不止不这六种类型。不过无论是哪种类型,总是反映出了目前国内企业信息安全令人担忧的现状,企业的信息安全意识与措施急待加强。

        近两年国家对信息安全越来越重视,将信息安全产业的发展提高到国家战略的高度,并写入了《十二五规划》。2012国家更加快了网络信息安全保护的的进程,上半年出台了《个人信息保护指南》,4月份公安部在全国二十多个省集中开展打击信息泄露的行动,以及最近的《关于加强网络信息保护的决定》,都可以看出国家大力加强保护信息安全的决心。但是,企业保护信息安全最重要的还是靠对自身需求的觉悟与坚定,而不是符合国家的法律法规,一个主动一个被动,效率孰高孰低,泾渭分明。

发表回复

您的电子邮箱地址不会被公开。 必填项已用*标注