八月,强热带风暴“鹦鹉”袭击华南地区,一时成为全城轰动的焦点。同期,笔者参加的一个CIO企业信息安全研讨会上,其中最受大家关注的焦点是近期深圳妇幼医院信息泄露和香港出入境资料泄密门事件,再回忆起去年轰动全球的F1“泄密门”事件。由此可见信息泄密并非偶然事件,深圳妇幼医院信息泄露事件只是众多企业信息安全风险的一例。
实际上,企业信息正面临各种各样的安全风险,外部攻击、内部泄露、违规上网行为、应用过失风险等。为何“泄密门”事件一次又一次闯入我们的视线,莫非企业信息“泄密”是防不胜防的事情?
一.典型的几种信息安全泄露
据IDC一份调查统计表明,全球差不多有80%的企业存在着信息安全或信息风险问题,在所有被调查的公司中,进行常规性安全检查的公司还不到一半,只有 30% 的公司具有跟踪用户访问的能力,30%的公司使用加密技术。而且调查还说这些信息安全问题大都来自于企业内部,而其中处于信息泄密高风险的很大一部分都是来自于信息安全管理不善所致。
想要应付信息安全威胁,就要先认识到什么是“信息安全威胁”。企业需要面对各种各样的信息危险,这种危险可能是恶意的,也可能是非恶意的,如因失误而造成的泄露。恶意的危险又分为两种,一是理智型的,如故意偷取企业机密;二是非理智型的,如毁坏企业的数据。总的说来,典型的信息泄露危险主要包括如下几个方面。
(1)软硬件故障导致意外泄密
信息系统各种设备的物理安全和正常运行是保障信息安全的前提,当这种正常状态遭受到破坏时,信息就存在着泄密的可能。例如发生设备被盗、被毁,基础网络设施线路被截获或偷听而造成泄露。还有如防火墙意外瘫痪而导致失效,以致安全设置形同虚设,再或由于服务器死机导致数据丢失或外泄等。最后,还有软硬件设备环境缺乏安全保护,如防水灾、火灾、地震等自然灾害。
(2)黑客入侵
一般来说,黑客常见的入侵动机和形式可以分为两种。第一种是拒绝服务(DOS)攻击。这类攻击一般能使单个计算机或整个网络瘫痪,黑客使用这种攻击方式是要阻碍合法网络用户使用该服务或破坏正常的活动,但只会导致网络故障,一般不涉及信息安全和信息泄密。而另一种是非法入侵,非法入侵是指黑客利用企业安全漏洞访问企业内部网络或数据资源,进行删除、复制甚至毁坏数据的活动。这种黑客入侵行为可能会致使公司数据被窃而造成无法挽回的损失,属于非常严重的信息安全事件。
(3)病毒侵袭
几乎有计算机的地方,就有出现病毒的可能性。计算机病毒通常隐藏在文件或程序代码内,伺机进行自我复制,并能够通过网络、磁盘、光盘等诸多手段进行传播。计算机病毒传播速度相当快、影响面大,必须对它的危害要引起关注。一般来说,杀毒软件和防火墙是对付病毒的最好方法之一。
CIH、爱虫等病毒曾让企业信息安全人员恐慌一时,侵害小病毒的会引起死机影响工作,大的可能引起系统瘫痪或摧毁数据,有些恶意病毒还具有盗取用户资料的功能,如用户账号和密码等。
(4)非授权泄露或删除敏感信息
企业内部的敏感信息被内部人员非授权泄露或删除。导致这种状况的有几种原因,如非法使用移动存储设备,非法复制资料等,还有如错误的电子邮件发送,配置错误的访问控制列表,没有严格地设置的用户访问权限等,这些都是由于内部信息安全管理不善所导致的。也有可能是信息管理人员对安全权限设置不当,导致某些怀有恶意的人故意破坏企业商业机密的完整性以及向竞争对手故意泄露商业机密等。
由此可见,信息危险不仅来自于外面,有时也来自于内部。因此,对企业来说,信息安全工作迫在眉睫,一方面,企业需要重视计算机病毒防护工作,制定相关的管理制度和实施方案,为信息数据安全提供保障。另一方面,要不断完善备份系统,因为即使是最出色的安全专家也无法保证数据的百分百安全。所以,要建立一个可持续性、可恢复性的备份系统,保证信息系统在遇到数据灾难的时候能用最快的速度恢复。
二.为什么说信息安全是被自己打败的?
让我们再来看一下深圳妇幼医院信息泄露事件过程,事件之所以发生并非外力所为,而是这家医院自身缺乏的信息安全管理所导致的。因此,企业信息安全除了受外界攻击外,自身的安全缺陷也是很严重的问题,甚至可以将自己打倒。
(1)对信息安全风险,总是视而不见
虽然,信息系统的缺陷和技术不足,使得攻击、泄密、破坏等安全事件时有发生,给企业带来损失。但最为可惜的是,大多数企业的IT管理人员以及决策者,对于企业信息安全风险甚少有意识,往往只是在事件发生后,捶胸顿足、哀声长叹。即使有部分具有前瞻眼光的决策者,察觉到了信息安全风险的可怕,却也缺少一种科学的分析方法,对于核心业务信息安全风险更缺乏严格的评估、量化和分析。
(2)没有进行安全风险评估,没有做好预防措施
想要加强企业信息的安全性,就需要对企业信息安全的实际风险做一个尽可能准确的评估,否则的话就会出现本来需要高安全级别的信息系统,结果为了省钱,建立了一个安全性能不是很高的IT系统;或者本来需要的安全级别不是很高的,结果花了相当多的钱建立了一个安全性能极高的IT系统,浪费了投资。所以,一定要尽可能正确地评估企业信息安全的风险。
因此,正确对信息安全风险评估的意义非常重大,一般可从以下几个方面考虑:根据公司的具体业务,评估信息安全风险是什么;本企业信息对黑客的吸引力大不大;本企业对外部开放程度如何;一旦出现信息安全事故,对本公司的影响最大程度是什么;若提供保护这些信息的安全,可能需要的投资额是多少,是否值得为此付出这么多代价等。
从以上几个方面考虑是因为不同性质的企业,黑客对它们的兴趣大小不同。如高精尖企业以及银行、海关、证券等企业很容易引起黑客的兴趣,这样的企业信息安全风险性就大些;而一些生产普通物品的企业黑客却很少光顾,这样的企业信息安全风险性就小些。再比如,有些企业一旦出现信息安全事故,可能会企业产生致命的打击,有些企业可能就无所谓。因此,它们的信息安全风险程度绝对不会相同。
三.CIO如何避免泄密门事件发生?
现在信息安全可以说是关系到企业命运的大事,不管CIO愿意不愿意,他的一个重要职责就是要确保信息安全。如果企业的信息安全系统脆弱不堪,CIO必须对此负责。那么,CIO应该制定什么措施来避免泄密事件发生。
保障信息安全有两个支柱,一个是技术、一个是管理。而我们日常提及信息安全时,多是在技术相关的领域。但正如“木桶原理”所示,安全系数是由最弱的那个环节决定的。因此,CIO在保护信息安全时,也应该从上述二个方面全面考量,而不能只偏重其中的某一个部分。
(1)管理短视是信息安全最大隐忧
管理短视,可能是很多CIO最不愿意承认,却总是会造成致命打击。例如,病毒可能会一下子让企业处于瘫痪状态,造成的直接经济损失大得惊人。可令人费解的是,众多企业宁可花大把的钱购买服务器、交换机、防火墙,却很少愿意去加强企业信息管理的安全措施。归根结底,还是因为很多企业没有养成主动维护信息安全的习惯。同时,也缺乏安全方面良好的管理机制。保证信息安全的第一步,首先要做到的就是重视信息安全管理,不要“坐以待毙”。对于一个企业来说,信息安全不仅仅是一个技术问题,也是一个管理问题。
(2)建立规范化信息安全制度
信息安全管理的根本立足点,不只是对设备的保护,也不只是对数据的看守,而是规范企业员工的行为,这是上升到对人的管理。安全设备的建立只是企业信息安全的第一步,如何在信息安全体系中有效贯彻安全制度,以及不断深化全员信息安全意识才是关键所在。光依靠技术不能完全解决信息安全问题,因为过了一段时间,一些先进的技术可能就过时了。
因此,应该要通过技术设备和规章制度结合起来的方式,指导和规范员工正确使用IT资源。所以,CIO需要建立规范化的信息安全管理制度和安全措施。这些安全措施包括培养员工的安全意识,养成良好的上网习惯,及时升级系统补丁,不要浏览不良网站,不随意下载安装来历不明的软件等。
(3)力争在信息安全投入足够预算
CIO要力争并确保足够资金投资于信息安全项目,尽力让公司为信息安全划拨一定金额的预算,以承担安全建设。例如防病毒软件、防火墙服务器、加密软件、入侵检测系统、集中安全管理等成本。
有时,公司高层主管会认为CIO对信息安全过于大惊小怪。但CIO要清醒认识到:影响企业生存的信息出现安全问题,或造成严重损害只是个时间问题。对于信息安全来说,生于忧患,死于安乐的意识并不是传说中的事情。担忧有人对公司的信息构成危害的心态,并非总是出于想象中的恐惧。
(4)定期进行信息安全检测
在明确了信息安全目标之后,CIO应当就信息安全问题定期进行检测。一旦安全检查到现有的运作存在信息安全问题,或评估以往安全措施的执行情况存在问题时,CIO就需要立即把解决信息安全的时间计划提上议事日程。
(5)建立信息备份恢复
不管企业愿意不愿意,信息资产总有机会遭受到攻击和损坏。因此,为了保证业务的连续性和安全性,为信息安全配备一套备份与灾难恢复系统就非常有必要。当一旦发生信息安全故障,可以利用灾难恢复系统实现快速恢复,使企业迅速回归正常运营。
总而言之,任何事物都有它的两面性。正确、恰当地使用IT信息能为企业带来飞速的发展,但由于系统缺陷、人为误操作、恶意攻击等不可预料的各种风险也同样使得企业信息面临着巨大的灾难。因此,企业应通过建立冗余机制、灾备机制、详尽的信息安全策略等各种手段来降低企业的信息安全风险。