最近一两年信息泄露的案例屡见不鲜,如富士康泄露iPad2设计图、三星泄密事件等各种事件层出不穷,这些信息泄露事件反映出哪些内网安全风险?哪些经验和教训是值得我们学习的?对此,我们采访了知名业界专家、企业代表、厂商专家,集结三方专家与您一起探讨“从泄密事件中看信息防泄漏”。
对于富士康泄露iPad2设计图、三星泄密的信息泄密,青岛中集冷藏箱制造有限公司信息主任耿峰推断,他们的防泄露系统没用完全发挥作用,问题很有可能不在防泄漏系统本身,而在管理。郑州三全食品股份有限公司CIO周清湘也有类似的看法,他认为,员工信息安全管理观念淡薄、信息安全责任管理概念模糊、缺乏信息安全管理规范与制度、信息系统用户授权宽松而混乱、不负责任的文件传输与散播、肆意放纵对外交互工具的使用、电子文件、资料缺少加密措施是最为突出的几点内网安全风险。正是因为不注意这些因素导致严重的信息泄露事故。
为什么会信息会泄密,这些泄露的信息又到了哪里?溢信科技产品总监黄凯认为现在的攻击行为有着更多的牟利倾向,即明确的以盗取信息来换取经济利益,这一点从近期频发的黑客事件中得以体现。在经济利益的诱惑下,不但黑客会发起攻击,内部员工也会铤而走险,窃取公司机密。iPad2设计图泄密事件,就是内部人员为了获取经济利益出卖公司机密的典型案例。三一重工股份有限公司研究总院信息化经理谭俊峰也如果认为企业的核心技术的保密等级不够,信息安全意识不强,企业在信息化过程对信息安全方面规划不到位,没有形成一套完整的信息安全体系并执行到位,那么在激烈的市场竞争中造成信息泄密的结果。
如何在无孔不入的安全威胁中避免内网安全风险?杭州汽轮机股份有限公司所长黄梁认为,信息的信息化建设,要形成体系,并且对体系的建设成果,要进行认证和审核,国内标准有GB/T22239等保要求,国际标准有ISO27001等,企业要按照标准,体系化的建设信息安全,不能头痛医头,脚痛医脚。郑州三全食品股份有限公司CIO周清湘认为,建立信息安全管理制度,并赋予实施可以辅助技术手段,能最大限度的减少机要文件外泄,并且实现不同类型人员对机要文件的授权使用,帮助企业减少信息泄露的风险。
在制度上有保障后,我们还应该注意什么呢?青岛中集冷藏箱制造有限公司信息主任耿峰说出了自己的看法,他认为再好的系统也是由人来使用的,“安全以人为本”最为重要。溢信科技产品总监黄凯分析近年来发生的信息泄漏事件,富士ipad泄密事件、LG等离子泄密等事件,无一例外都是因为拥有合法权限的用户,钻了企业管理流程中的空子,反映在实际情况中可能是权限控制不够严格、审计不彻底、离职权限未及时回收等。IT管理者有必要根据自身的实际需求,制定更加严谨的保密体系,并寻求技术的帮助来保证保密体系发挥作用。对于内网安全尤其应关注的“人”的因素,在目前信息化应用十分先进的背景下,也很容易造成更加严重的后果。
知名制造业信息化专家黄培博士一针见血的指出,先进的技术并不足以保障数据的安全,世界上也没有百分之百的安全。技术构建的壁垒总是可以被攻破的,完善的安全制度、人员的管理也非常重要,另外还要加强执行和审计的部分。制度得不到执行,就没有任何意义,审计也不能仅仅是事后再进行,要通过日常的审计工作发现潜在的威胁。
通过各方专家的论述,我们能够清楚的看到,信息防泄漏并不是一项简单的工作。通过各种安全技术,企业可以构建起坚固的堡垒,但是仅靠技术是远远不够的,我们应当综合考虑各方面因素构建起覆盖全局的防泄漏体系,使得企业内部的操作可视化,并能根据每个部门涉密级别的不同,部署力度轻重有别的整体防护,否则它就是被绕过的马其诺防线;我们也应当注意到,坚固的堡垒往往是从内部被攻破,因此对于“人”的管理也是信息防泄漏工作中的重要一环,信息的权限管理需要根据具体的情况进行动态性的调整,避免机密信息被随意查看、分享。
层出不穷的泄密事件让我们警醒,也让我们明白信息防泄漏是一场旷日持久的战争。这场战争不是一成不变的,随着技术的不断发展,我们会得到更好的防护技术,也同样会面临更多的安全威胁。随着技术的快速发展,云计算、移动应用、社交网络已经成为许多员工的日常应用,这些设备与技术的应用,对内网安全又带来了哪些影响?请看“内网安全 十年十辩” 之九——信息防泄漏的新挑战。
Pingback 引用通告: 内网安全十年之辩专题 | 信息防泄露大讲堂