最近,有专家警告称:随着 3~5年每个高峰期的间隔,新一波的信息安全危机爆发的几率将越来越高。2003年,席卷全球80%的Windows用户的蠕虫病毒———“冲击波” (Worm.Blaster)爆发,至今余波未平,不过新一波的信息安全大爆发正在酝酿,而这一次问题可能出现在企业内部。
个人与企业均遭遇信息泄露尴尬
最近,在天河北某外资公司上班的白领陈先生告诉记者:经常接到各家保险公司、直销公司,还有短期个人借款公司的推销电话,而且对方对其隐私十分清楚。他说:“和以往的推销电话不同,对方不但确切知道姓名,还了解自己的家庭住址、公司职务、收入情况,甚至家里有几口人,连自己最近在干什么都知道,实在太可怕了!”
据陈先生说,自己的这些资料,即使是银行也不能完全掌握,而最大的可能性就是公司人力资源部门的保密资料外泄。对此,他将情况提交公司法务部门要求调查。而安全专家分析后也同意他的看法,认为来自内部的泄密远比从银行、地产公司,以及运营商等多家资料进行汇总的可能性要大得多。据悉,目前该公司初步将目标锁定在最近离职的前人力资源部门员工身上。
一位前猎头公司中层管理人士告诉记者:“其实这些都是公开的秘密,通过‘黑市’就可以购买到各种齐全的个人资料。”
敏感资料是怎么泄密的?
据了解,几种典型的信息安全泄露途径:软硬件故障导致意外泄密、病毒与黑客入侵是人们最容易想到的途径。企业防火墙失效,以致安全设置形同虚设,以及黑客利用企业安全漏洞访问企业内部网络或数据资源,进行删除、复制甚至毁坏数据的活动。
更严重的是企业内部的敏感信息被内部人员非授权泄露或删除。比如通过USB存储,或者电子邮件等,内部人员将敏感的资料携带出去,这些都是内部信息安全管理不善所导致的。也有可能是信息管理人员对安全权限设置不当,导致某些怀有恶意的人故意破坏企业商业机密的完整性以及向竞争对手故意泄露商业机密等。
一位企业老板这样说:“我已经叫IT部门把公司的USB端口用玻璃胶都封起来了,也安装了防火墙监控,可是还是不能防止公司内部资料外泄。”
防范危机重点在于内部规范
最新的调查数据显示:约三分之一的企业在过去一年由于各种原因实施了灾难恢复计划,其中,22%的企业是因为数据泄露或丢失,21%的企业是因为意外事故或员工恶意行为。
赛门铁克公司副总裁吴锡源认为,单纯用技术手段是无法100%解决问题的,更重要的是在应用安全解决方案时,建立一套健全的企业内部信息管理规范与制度。他建议企业跨越虚拟环境、远程办公、桌面系统、笔记本、服务器、应用程序和数据库实施全面数据保护解决方案,这样可在发生灾难时迅速恢复关键数据和系统。
另一信息安全专家也表示,企业信息安全除了受外界攻击外,自身的安全缺陷是很严重的问题,甚至可以将自己打倒。
吴锡源称,应用了安全解决方案可以防止此类疏失:“因为每个人使用并下载了哪些敏感资料,系统都有日志记录,所以出现问题很容易追查到个人责任,因此员工也会更谨慎。”
他觉得安全解决方案带给人们更好的安全意识,远比杀掉几个病毒、挡住几个黑客更有意义。
小贴士
四个信息安全好习惯
1.尽量别在公司或者公共电脑上存储或者输入隐私资料,包括登录私人网上银行账户、股票账户、电子邮件、QQ或者msn等账号。
2.使用USB或者其他安全装置来保护自己,如使用USB或者硬件装置的认证系统来登录网上银行、股票帐户等。
3.重要资料多重备份。很多人都以为刻录在光盘或者保存在硬盘或U盘上的资料很安全,其实只有一份拷贝是非常危险的事情,目前光盘、U盘的质量远没有人们想象得那么好,所以重要资料建议你最好有两份以上的拷贝,因为一旦出现问题,数据的恢复是很麻烦的。
4.进行数字加密。很多人认为数据加密很复杂,其实对于大多人来说,只要使用类似WinRAR压缩软件的加密功能就已经足够,关键在于密码的选择。密码尽量别太简单,最好是字母与数字还有特殊符号的组合,还有一条:记住密码。