信息安全管理好比将直路变成弯曲的路线,再加上一些障碍,让原先的长驱直入变得蜿蜒曲折。
几周前,一场沸沸
扬扬的泄密事件让世界两大饮料巨头经受了考验:可口可乐公司的员工企图将公司事关饮料配方的机密文档兜售给其最大的竞争对手——百事可乐公司。尽管这一事件最终圆满收场,百事可乐并不“领情”,揭发了这件事,可口可乐也揪出了“叛徒”,但整个事件还是暴露出了企业在信息安全管理上的脆弱性。
李海翔:大部分信息泄漏是由员工的疏忽造成的,这能占信息风险的95%以上
“如果你拿走我的厂房、资金、品牌等,只留下我们的人,几年内我们将重建一切。”在这一点上,许多知名企业都充满自信,他们把人力资源看作自己最大的财富。不过,专家指出在信息社会,这样的表述还不完整,应该说:“给我留下人和IT系统,我将会重建一个企业!”如今,在人脑和信息系统中,“存储”了企业几乎全部经营管理和产品等核心信息,它们也许是一个产品配方、一沓设计图纸,或者一份客户名单、一份订单。不论哪一类信息,都影响到企业的运营效率和长远发展,尤其是像可口可乐这样以配方见长的企业,秘而不宣的配方是它100多年长盛不衰的法宝。这次泄密事件无疑给其高管和CIO 又一次敲响了警钟——给你的信息设置障碍了吗?“信息安全管理就好比将直路变成弯曲的路线,再加上一些障碍,让原先的长驱直入变得蜿蜒曲折。”CA 公司产品市场经理谢春颖说。经过此事,可口可乐不得不重新审视自己的信息保护措施,寻找漏洞,避免类似事件再次上演。
如今,随着电子文档逐步取代纸质文档,使得组织核心信息被窜改、盗用、泄漏的机会增加、成本降低,以往建立起来的用人工方式看管信息的方法在日新月异的IT新技术面前,已显得捉襟见肘。如何防止涉及电子化文档被篡改、遗失、泄漏,免使企业蒙受巨大损失,已经成为信息安全的首务。
很多组织十分重视防范病毒和黑客等来自外部的安全攻击,却对来自内部的信息泄漏所带来的信息安全风险比较忽视。FBI(美国联邦调查局)和CSI(美国电脑安全研究所)对美国484家公司的网络安全调查显示,超过85%的安全威胁来自于企业内部,由内部人员泄漏信息所造成的损失是黑客的16 倍,是病毒的12 倍。
虽然绝大多数的信息泄漏是员工无意所造成的,但这并不能成为内部信息安全措施缺失的借口,CIO们反而更应该及时找出信息泄漏的源头,从根本上避免这种信息安全风险的出现。
身份管理
最近,山东一家化工企业的负责人A 先生有点烦,原来竞争对手竟然将高薪招聘技术人员的广告贴在了自家工厂门口。对方的意图很明显——希望应聘人员能带着A 先生的生产配方跳槽过去。A先生是搞科研出身,后来带着专利技术下海经商,创办了这家化工企业。由于技术先进,A先生的产品很快就获得了市场认可,直到现在A 先生连销售代表都没有招聘过,然而海外订单却源源不断。这些自然惹得同行眼红,“挖墙角”事件不断出现,尽管有机会接触到专利技术文档的几名骨干人员都还在自己身边,但他还是很焦虑,渐渐地连身边的人都不敢信任了。
造成A 先生如此不安的原因,其实源于他的企业缺乏有效的管控信息传播的渠道。他的企业核心竞争力就在于那些技术文档,纸质文档尚且可以复制传播出去,更何况那些电子文档,复制和外传更简单和隐蔽。这些核心机密一旦泄露出去,就覆水难收。如果组织没有对电子信息的访问、流向和应用进行严格的跟踪和管控,必然会加大信息外泄的风险。
目前,防止组织信息泄漏最直接的办法,就是尽可能地截断信息外泄路径。这就意味着组织所采取的方式可能会有些过火。
华为在经历过几番知识产权之争后,为了最大限度地防止信息泄密,规定员工不得在办公环境下使用笔记本电脑和U 盘,甚至连台式电脑的USB 接口也都被焊死,在华为内部,普通员工没有权限访问互联网。信息安全的最大敌人是电子邮件的传播,为了降低风险,华为还规定员工对外发送电子邮件,必须经由部门主管级以上人员批准。当然,那些能够向外发送信息的聊天工具,在华为也是被禁用的。
华为的“铁腕”策略对于大多数组织而言,不算是上策。既然不能完全阻截信息向外部的扩散,那么不妨从使用者的身份管理入手,授予不同的使用者不同的访问权限,以避免不相干的人获取和泄露信息。
那些在美国上市的中国企业已经开始体会这种身份管理的重要性。塞班斯法案对于上市企业的IT 内控有明确的要求,凡是涉及到企业财务的结论数据必须要有相应的控制手段,以确保数据的真实性。换句话说,企业必须有能力监控所有涉及财务报表编算过程的人员的行为,就算是一份销售订单,任何人也都不能随意访问和修改;即使那些有权利访问和修改订单的人,信息系统也必须对其行为做出记录。
今年7 月15 日是非美国本土而在美国上市的企业开始遵守塞班斯法案的404条款的日子。在此之前,这些企业已经做了不少的准备工作。在帮助这些企业遵守404 条款的过程中,一些IT 审计机构发现在企业最常见的10 个信息管理漏洞中,7 个都与用户访问的身份控制有关,诸如“在生产过程中有大量用户拥有‘超级用户’的权限”“已中止雇佣关系的员工或已经离开的员工仍然拥有访问权”“研发人员可以在生产环境中运行业务交易”等。
加密管理
除了从传播信息的源头和途径进行控制,CIO还可以利用IT技术手段对信息使用者的使用方式进行管理。当使用者需要打开、复制、编辑、打印及传播电子文档时,都需要输入密码,没有获得系统授权,你什么也做不了;即使有了密码,你所获得的权限也是分级的,未必能做所有的活动;此外,每种权限还可能有时间限制,可能一份电子文档在你的手里只能看3天,之后你就再也打不开它了。
“对电子信息本身进行加密,相对来说,是最容易掌控的一种信息安全管理方式。”上海日立电器公司信息技术部系统管理科经理沈嘉说。
上海日立电器是国内最大的制冷压缩机生产商,其客户主要为海尔、美的、格力等知名家电企业。近几年,随着其研发团队逐渐本地化,研发人员从20多人壮大为200多人。沈嘉和他的同事的一项职责就是确保企业的研发团队能在信息共享、分工协作且安全有效的环境中工作。
从2004年开始,上海日立在推广6西格玛管理时,进行了流程重组和组织机构调整,将原来管理企业文档的档案室并入信息技术部。之后,沈嘉他们从管理研发设计的图纸文档入手,引入了美国Airzip公司的FileSECURE文档管理系统,对研发人员的设计流程提供支持。如今,上海日立的研发人员在设计中可以依据作者或使用者的身份,管理或调用设计图纸。在设计“流水线”上,每位设计人员被赋予了不同电子文档访问和使用权限。上海日立不必再像以前一样担心图纸丢失或被人随意改动。现在,没有经过相应的权限审批,任何人从上海日立带出的电子图纸都只是一堆加密信息,根本无法打开。这些措施尽可能地防范了企业信息泄漏的风险,保护了知识产权。
不过,沈嘉也承认:“任何技术工具都无法100%杜绝信息风险。”所以,要真正做到保护组织的信息安全,还得做到“软硬兼施”——除了信息系统防护外,还要规范组织的安全条例,全面规划组织的信息安全管理。
防护的背后
其实,保护组织信息安全,避免其被随意篡改、泄漏和遗失,从技术角度来看并非难事,但想让技术之外的诸多要素切实到位,组织还需要花一番功夫。通常,组织在构筑自己的安全“围墙”时,都会面临一个问题——如何说服你的员工接受它们?员工既是安全系统的保护对象,也是安全系统的监督对象,其间的分寸一旦掌握不好,很容易引起员工的反感,甚至情绪上的对立。
今年,腾讯公司的OA内部网上曾播放过这样一条Flash:一只小企鹅使尽浑身解数,先后用榔头、锯子等工具,想要打开一个坚实的箱子,全不管用。于是,它扛起炮筒发射了一枚炮弹,结果将自己弄得灰头土脸,箱子依然完好如初。这时,屏幕上打出一行标语——“电子文档加密系统,那是相当的强”,且还附上了公司管理工程部的IT 支持咨询热线。
这是腾讯的管理工程部为了在内部推广企业信息安全管理系统,专门制作的宣传Flash。当时,除了在内网播放Flash,腾讯公司前台悬挂的电视、文化墙等都被用来为对信息安全管理系统进行宣传。腾讯之所以下大力气对新系统进行宣传,是因为对电子文档的加密增加了阅读复杂性,员工容易产生抵触心理。这些宣传手段较好地帮助员工克服了心理上的抵触,使得系统推展很顺利。
对于企业信息外泄,腾讯执行副总裁李海翔认为:“大部分信息泄漏是由员工的疏忽造成的,这能占信息风险的95%以上。”他建议,组织应提供一些指引,以帮助员工提高防范意识,并借助一些管理手段,例如建立记录访问者活动日志的系统、定期审计,从观念上影响员工对于信息安全的重视。如今,信息安全教育已经被许多公司当作入职培训的必修课。
以往建立起来的用人工方式看管信息的方法在日新月异的IT 新技术面前,已显得捉襟见肘
既然信息安全如此重要,那么组织该为此投入多少才合适?投入以后能够收到回报吗?“企业的信息安全成本可能有很多种。”李海翔说,“一种是你的救火成本,如果系统考虑不够完善,造成信息泄漏再去补救所需要的投入;另一种是评估成本,你要花钱去评估现有系统和未来开发的系统有怎样的信息安全风险;还有就是预防成本,评估完后该怎样预防风险。”
方方面面的成本决定了信息安全的投入不会是个小数目,量力而行才是根本之道。“每个组织都有自己的风险承受力,如果夸张地投资许多安全项目来防范风险,其实是不值得的。” 谢春颖说。
既然组织无法阻挡住所有信息风险,那就应该在一些关键地带设置必要的障碍,以尽可能降低信息风险。