在信息安全领域,2014年的开端似乎战云密布。
1月的时候爆出支付宝有内部人员泄露超过20G的海量用户信息;深圳航空系统也被指黑客利用其系统漏洞,获取系统的所有权限,窃取约500多万名客户的个人信息。正当国内慌不迭地收拾信息泄密残局的时候,国外的企业泄密新闻也频频传来:韩国信用评级公司职员朴某非法收集和泄露上述信用卡公司的1亿400条用户个人信息;日本东京一名半导体制造商“闪迪”前职员将有关“NAND闪存”的开发资料用U盘拷贝带出并向海外企业泄露东芝公司技术。
照此看来真有点年年安防年年泄的滑稽意味。但在哭笑不得之余,我们仍然需要对于“信息安全”这一重大议题时刻保持认真、警惕的态度。通过这些泄密事件,我们才只是闻到了火药味的轻微弥漫,而更为强大的暗流正朝着2014汹涌而来,一场企业信息安全与泄密“势力”之间的硬仗已经不可避免。
第一,BYOD易成为恶意程序启动平台
自带设备(BYOD)的趋势造成公司的两种威胁。首先,因为这些移动平台是员工自己的,确保其设备的安全性就更加艰难,这种恶意程序可以用智能手机和平板电脑作为启动平台向公司网络发起攻击。其次,由于员工使用自己的设备办公,公司数据就会被存储在这些相对不安全的环境中。总而言之,这些源于内部和外部的风险,包括对设备本身的管理不善,对软件漏洞的外部操纵,以及测试不良的不可靠的业务应用程序等都可能造成威胁。
然而,由于生产率收益和省钱对大多数公司来说太具诱惑力,BYOD政策不会被轻易放弃。各公司将不得不采取各种措施锁定或者排除设备,这些措施包括划分信任应用程序和敏感数据,将不受信任的设备隔离在网络之外等。
第二,便捷云计算面临众多威胁
信息技术朝着移动和分布式系统逐渐演变,意味着大多数公司都会有数据渗透到云中。
但云服务的广泛采用,又使得网络犯罪者能够更便捷地绕过许多公司设置的数字防御系统。此外,一些高水平的网络犯罪者创建了他们自己的云服务,比如有人试图入侵某系统,可以注册并迅速租用一个僵尸网络或购买其他非法服务。又或者,网络犯罪者很可能已经使用了多种服务从企业内部窃取数据,或者使用被信任的在线服务获得访问权限,比如一些信誉良好的网站或文件共享服务,并从中下载恶意软件。尽管很多IT经理都确认或假定员工将业务数据储存到云中,但目前很少有企业针对这些情况而采取保护措施。
第三,黑客攻击频繁,企业声誉难保
有人认为,目前世界上只有两种类型的公司:已经遭受过攻击的公司和即将遭受攻击的公司。至今,仍有些企业天真地认为他们不会遭受攻击,或者认为企业不会受到攻击的影响。但对信息安全稍有关注的人就会知道,黑客攻击新闻犹如家常便饭,或大或小,每月不来一桩似乎都不习惯。可以说,黑客攻击风险正在威胁着每一个活着的企业。某位知名的企业高管一阵见血地问道:“对于你的营销经理、你的投资服务主管、你的人力资源团队而言,攻击意味着什么?”可以想见,当攻击可能导致企业股价暴跌时,企业声誉恐怕也难逃一劫。
事实上,今年的信息安全威胁远不止以上三点,如巨量计算、社交网络、大数据、物联网等依然是火热的安全话题。这些话题不仅在企业层面引起普遍关注,在社会甚至国家方面也被提到了前所未有的高度。
从去年6月棱镜门事件爆发开始,信息安全问题就在持续发酵,国家对信息安全工作的重视程度也不断增加;到8月,国家发改委则发布通知明确专项重点支持金融信息安全领域、云计算与大数据信息安全领域、信息安全分级保护领域与工业控制信息安全领域。11月12日,十八届三中全会公报则提出设立国家安全委员会,更是将信息安全上升到了国家战略的高度。后又召开中央网络安全和信息化小组首次会议,到今年两会,“信息安全”再度成热词,备受关注。
如此紧锣密鼓地应对信息安全,可谓史无前例。一场关乎个人、企业与国家的信息安全大战役俨然就要拉开序幕。 戴尔曾不无悲观而又警觉地提出:企业忽视强大未知的新威胁将导致重大损失。因为在一次调查访问中,它发现接近半数的人把BYOD、云计算和互联网作为未来五年一个重要的安全隐患。也就是说,不仅仅是2014,而是在更长时间内,这场硬仗都容不得我们哪怕松一口。看来,各大企业只有做好打持久仗的准备,才能在乱局中求得生存发展。