????網絡安全隱患已經從單純的病毒入侵發展到了針對企業數據和信息的攻擊�,企業的安全防護重點也相應開始轉移
????作者:李全偉
????企業在享受網絡技術好處的同時,也時時面臨許多安全隱患��。引人注意的是��,企業安全隱患已經從單純的病毒入侵發展到針對企業數據和信息的攻擊���。前者的危害一般可以量化��,最嚴重的是造成系統癱瘓;而后者的危害很可能導致企業商譽和品牌受損���,后果不堪設想。前不久���,英國一家老牌商業銀行載有 37 萬名客戶資料的光盤不慎在郵寄過程中遺失,引起了用戶的恐慌�。諸如此類,金融服務企業和機構接連不斷地出現客戶資料泄密事件�����,給企業安全拉響了警鐘。
????商海拼殺��,難免會挨刀,關鍵是要明白刀來自何方。許多管理者認為�,病毒和黑客是企業安全的最大威脅。在兩三年前,或許是這樣��。時至今日�����,信息的丟失和被竊已成為企業面臨的最大安全威脅�����。據 EPIC 組織(Electronic Privacy Information Center��,一家總部位于華盛頓的電子穩私信息中心)統計,企業安全方面的威脅有 48% 來自外部,包括病毒�����、黑客�����、惡意代碼���、垃圾郵件等外網威脅�����;有 52% 是由內而外的行為���,包括員工的過失����、流程的缺陷等內部原因��。在 52% 的來自內部的威脅中,只有 1% 的行為是個別員工主動作案���,絕大部分是內部無意行為所引起,其中包括員工無意訪問含有病毒代碼的網頁��,而最多的是員工疏忽造成的信息和數據遺失���。
????目前���,企業的信息和數據遺失情況呈逐步增多趨勢���。ITPCG(IT Policy Compliance Group)的研究報告顯示�����,近 7 成的受訪機構平均一年遺失多達 6 次以上的重要數據�。在這項研究的被調查機構中����,有 20% 每年遺失數據的次數高達 22 次。賽門鐵克大中國區總裁吳錫源說��,現在筆記本電腦和 U 盤在公司中使用廣泛��,它們的丟失對企業安全構成了威脅��。還有一項調查顯示,每 5 家公司中就有 4 家發生過因筆記本電腦遺失而引起的機密數據丟失�����;每兩家公司中就有 1 家發生過因為 U 盤丟失而導致的數據丟失�。從全球情況看,因 U 盤遺失造成的數據丟失現象越來越多�����。
????來自病毒的危害給企業造成的損失容易估計���。賽門鐵克中國區銷售總監郭訓平說���,病毒主要影響企業基礎構架(企業 IT 建設基本上分為三個層面:一是基礎構架����,包括電腦��、服務器�、網絡設備等硬件產品�;二是應用層面,主要是在 IT 架構上的應用����;三是數據和信息層面)�����。病毒危害會造成使用者的桌面沒法工作,乃至系統癱瘓����,但對業務和信息構不成太大的影響�����。而企業的信息和數據一旦丟失����,損失就很大�����。調查顯示,企業每丟失一項用戶數據��,便需要通知客戶重新錄入�����,整個過程產生的額外支出為 100 美元����。更重要的是�,由于不小心遺失了客戶的機密資料,企業很難相信受損失的客戶還能再放心地使用該機構的服務���。在信息發達的現代社會,得知消息的客戶和潛在客戶會對這家機構產生懷疑���。這些機構一旦失去用戶的信任,受到的打擊可能是致命的。
????數據破壞頻繁發生并日趨常規化����,導致了成本的增加���。因此�,企業負責人越來越將數據丟失防護列為需要考慮的重要問題��。高盛進行的一項安全支出調查表明�,50% 以上的企業安全主管認為�,數據泄露是導致企業安全支出的主要因素。
????關于信息泄露的主要原因���,賽門鐵克公司安全技術和響應部門副總裁史蒂夫·特里林(Steve Trilling)說,首先是計算機和存儲介質的被盜和丟失�。例如,某人可能將U盤遺落在飛機上,或者是因存儲機密數據的移動硬盤未經加密而失竊。其次,一些企業缺乏適當的安全策略,即便是告訴員工不要隨便將工作文件發到私人郵箱這樣簡單的事情,也沒有做到���。
????正是由于安全問題出現了新變化,企業安全解決方案也隨之變化。以前,一談到企業安全問題����,主要涉及的是保證桌面和基礎構架的安全���,現在則是保證信息和數據的安全�。前面的調查數據說明����,要保證信息安全,并不是說把企業的“城堡”打造成刀槍不入就完事大吉�,因為堡壘有可能從內部攻破�����。在四川大地震中,桑棗中學的經歷可以給企業管理者提供一定的啟迪���。緊鄰地震損失最為慘烈的北川縣的安縣桑棗中學��,全校 2,300 多名學生和教師只用 1 分 36 秒就沖出教室����,跑到安全的操場��,身后是岌岌可危的教學樓��。桑棗中學師生安全脫險,跟校長葉志平主抓兩件事有關:一是對教學樓的不斷加固,二是從 2005 年開始每學期組織全校師生進行緊急疏散演習�����。加固了的教學樓,無疑為師生的逃生爭取了時間���,而更重要的原因是葉志平防患于未然的避險意識。吳錫源說����,企業的安全問題����,關鍵還是從首席執行官開始,層層樹立安全意識���,把安全管理納入日常的管理經營中,從戰略層面上加以重視���,采取切實可行的安全解決方案,這樣才能把好企業安全大門�����。
????在具體措施方面�����,郭訓平說��,把安全歸為管理問題�����,具體思路就不一樣�����。企業在做安全規劃時��,首先要考慮的是確立安全策略。企業要明確自己需要的安全級別是什么�����,然后是在此基礎上����,采取什么樣的安全產品和措施與之配套。
????史蒂夫·特里林說����,隨存儲數據每年增長 50%�,想要保護所有的信息,需要付出大量的成本,而且效率極低���。因此,企業需要保護的是關鍵信息�,從源代碼到用戶信息及員工數據���。關鍵在于平衡風險與機遇��、在于保護數據,無論數據是在靜態還是在動態之中���。在進行安全管理前,企業首先需要回答幾個簡單卻十分重要的問題:一是企業擁有哪些敏感信息�?二是這些敏感信息存儲在哪里�?三是這些信息在網絡和端點上是如何使用的����?一旦深入了解信息如何被使用���,企業便能夠開始設置策略來降低風險�。
????具體的方法包括為存儲分級、歸檔和加密設置。例如�����,企業可以規定,員工只有在 U 盤經過加密后才能拷貝數據?���;蛘?��,企業可以規定員工不能用電子郵件發送機密信息��。史蒂夫·特里林認為,所有的企業負責人必須參與到策略設置中,不僅僅是首席信息官,還要包括首席財務官���、首席運營官等,企業上下所有的主管人員都要參與����。畢竟��,如果將安全作為業務的推動者,所有參與業務運營的人也都應當參與安全策略的設置�����。除此之外�,主管人員的參加,對推動安全文化的發展也有至關重要的作用�。
????雖然信息和數據的保護成了企業安全的重中之重��,但傳統的安全解決方案(包括防病毒軟件、內容過濾、反垃圾郵件程序等)仍然很重要�����。在此基礎上�����,企業應從更全面的角度考慮安全問題,把安全納入管理工作中��,對需要保護的數據進行管理�,真正實現以信息為中心的安全部署。
