危机也许就在身边
2005年6月,美国发生了一起4000万个信用卡账户资料被盗的事件,这是有史以来最严重的信息安全案件。随着美国联邦调查局介入调查,更多的细节被披露。原来,漏洞出在为万事达、维萨和美国运通卡等主要信用卡进行数据处理服务的“卡系统”公司,它的网络上被恶意黑客植入了木马程序。
“卡系统”公司负责审核商家传来的消费者信用卡号码、有效期和验证码等信息,审核后再传送给银行完成付款手续。这家公司最近处理的4000万信用卡账户的号码和有效期等已被木马程序“一览无余”,其中包括2200万个维萨卡账户、1390万个万事达卡账户。安全专家确信:已有20万个账户的信息被转移出去,可能被恶意黑客出售或盗用消费,因此处于“高度危险”状态。
原来,是这家公司违反数据安全规定留下了隐患。万事达卡公司等信用卡发行机构,要求“卡系统”公司处理的数据不得过夜保存,但这家公司为进行市场研究,自己保存了所有经手的账户信息,而且这些数据不加密、不保护就存储在公司电脑中。而公司的网络又建立在经常暴露出安全漏洞的“WINDOWS2000”操作系统之上,也没有及时更新升级。这都让恶意黑客有机可乘。
而在这些技术性漏洞背后,暴露的是企业对信息安全的忽视和侥幸心理。
虽然上面的案例存在特殊性,但这种对信息安全的忽视和侥幸心理却普遍存在于企业当中,“我们只是个制造业或服务业的中小企业而已,黑客攻击离自己还很遥远”,这正是许多企业的普遍心态。
也因为这种心态的普遍存在,世界上每分钟都有两个企业因为信息安全问题倒闭,有11个企业因为信息安全问题造成大约800多万美元的直接经济损失……也许出乎你的意料,但却是事实。
随处可见的安全隐患
一边是安全防范意识的薄弱,另外一边则是残酷的事实。
敌人随时都在瞄准你的任何一个漏洞,一个细节的失误,足以一分钟毁灭你的公司,一个信息就可以左右企业的成败。这个信息在自己手里是王牌,在对手手里是炸弹。
在如今的互联网时代,全球范围的网民数量近7亿,而黑客网站高达20多万个。经常出现的网络安全事件,如:网页篡改、网络蠕虫、特洛伊木马、计算机病毒等,严重干扰了网络的正常运作,一些大型的著名网站也经常遭受影响。间谍软件如今也从几年前的边缘角色走到前台,成为威胁信息安全的又一大隐患。间谍软件能在用户觉察不到的情况下安装到一台电脑上,并秘密地收集信息。如果不特意加强数据安全措施,一旦被黑客盯上造成的损失就很惨重。
企业的信息安全危险还绝不仅仅局限于外部攻击,在信息系统遭到的攻击中,一半以上是由公司自己的职员有意或无意引发的。
而贵企业的重要信息,可能在老板的大脑里、公司电脑里、一个打印稿的背面,甚至在一个垃圾筐里,随时都有泄漏的可能。泄漏的结果轻则使公司蒙受损失,重则毁灭公司。
一个简单的例子:节约用纸是很多公司的好习惯,员工往往会以使用背面打印纸为荣。其实,将拥有这种习惯公司的“废纸”收集在一起,你会发现打印、复印造成的废纸所包含的公司机密竟然如此全面,连执行副总都会觉得汗颜,因为废纸记载了公司里比他的工作日记都全面的内容。类似的例子还有很多。
当然,信息也并不是一定与电脑有关。几年前,一家著名的市场调查公司调查麦当劳的产品销售量,他们使用了痕迹调查方法,收集了当天麦当劳所有的垃圾,雇用了许多临时工从麦当劳店内收集垃圾,包括包装纸盒等。他们就是通过计算这些垃圾得出了麦当劳每一种产品的销售量,并且推算出卖当劳下一年的销售计划。在这之后,麦当劳门店内的垃圾都要经过自己的处理后才运走。
同样的事情也发生在雅芳和玫琳凯化妆品公司之间。雅芳就曾经雇佣私人侦探收集了玫琳凯的丢弃物,并且进一步破解了竞争对手的新化妆品配方。对于玫琳凯来说,它无法夺回这些珍贵的东西,因为雅芳只是研究了它的垃圾而已,这是完全合法的。
而你又如何能够保证,你的竞争对手不用同样的方法来窃取你的信息?
不仅是技术问题
你该怎么办?采用技术手段,这是首先会想到的做法。
但信息安全远不是“技术”二字可以解决的问题。技术固然重要,但首先即是加强防患意识,不要在技术上已近乎完美,却因一时疏忽而满盘皆输。千万不要像有些公司的总裁,严格规定不允许任何员工随意进入自己的办公室,但却忘了防范清洁工;也不要像有些银行完全有能力购买故障率为千万分之一的服务器,却让过期的磁带轻易流入二手市场;不要等到某一天公司的一个普通员工捧着一叠董事会的协议交给你,说是从他身旁的打印机里取出来的;也不要等到竞争对手对自己第二年的战略规划已了如指掌,只因花几百元买通普通员工轻易取走了你上一年的人事变动情况表,才恍然大悟。
“我们的加密方针是所有的数据都必须用128位密钥加密”某券商网络部的经理得意地说。但是,就在他这么说的时候,一个敞开办公的区域,一台已经打开的电脑前却一个人都没有,如果谁想要在里面动点手脚可以说连黑客知识都免了。
一位知名的CIO曾经提出过保卫信息安全的四大要素:技术、制度、流程和人。合适的标准、完善的程序、优秀的执行团队,是一个企业信息安全的重要保障。技术只是基础保障,技术不等于全部,很多问题不是装一个防火墙或者一个IDS就能解决的。在组织架构上,这家企业有两个小组:一是规模较小的一组人,专门制定安全政策和规则,另外一组是负责执行的员工,分散在软件、硬件以及网络等相应部门。一旦遇到紧急情况,散落在各地的应急响应小组能在最短时间内集合起来。
任何问题归根到底都是人的因素,加强对员工的管理,对企业管理者来说比单纯购买产品或者制定规则重要得多。很多企业信息安全措施部署得很全面,但只要一个员工不按规定办事,机密很有可能就这样流出。
所以我们认为:信息安全=先进技术+防患意识+完美流程+严格的制度+优秀的执行团队+法律保障。
总之,企业的信息安全,绝对不是一个人的战斗,但是很多时候,中小企业却为了信息安全做出一些本末倒置的动作。面对企业里形形色色的信息安全规章,到底哪些是应该摒弃的?企业的信息安全规则应该如何确定?在信息化建设中哪些是“本”,哪些是“末”?这都是应该仔细琢磨的问题。