現(xiàn)在信息安全可以說是關系到企業(yè)命運的大事���,不管CIO愿意不愿意��,他的一個重要職責就是要確保信息安全��。如果企業(yè)的信息安全系統(tǒng)脆弱不堪,CIO必須對此負責。那么,CIO應該制定什么措施來避免泄密事件發(fā)生���。
保障信息安全有兩個支柱,一個是技術�、一個是管理�。而我們?nèi)粘L峒靶畔踩珪r���,多是在技術相關的領域。但正如“木桶原理”所示,安全系數(shù)是由最弱的那個環(huán)節(jié)決定的���。因此,CIO在保護信息安全時,也應該從上述二個方面全面考量,而不能只偏重其中的某一個部分��。
據(jù)IDC一份調(diào)查統(tǒng)計表明���,全球差不多有80%的企業(yè)存在著信息安全或信息風險問題����,在所有被調(diào)查的公司中,進行常規(guī)性安全檢查的公司還不到一半,只有30%的公司具有跟蹤用戶訪問的能力���,30%的公司使用加密技術。而且調(diào)查還說這些信息安全問題大都來自于企業(yè)內(nèi)部,而其中處于信息泄密高風險的很大一部分都是來自于信息安全管理不善所致����。
想要應付信息安全威脅,就要先認識到什么是“信息安全威脅”�。企業(yè)需要面對各種各樣的信息危險�,這種危險可能是惡意的��,也可能是非惡意的���,如因失誤而造成的泄露�����。惡意的危險又分為兩種,一是理智型的��,如故意偷取企業(yè)機密��;二是非理智型的���,如毀壞企業(yè)的數(shù)據(jù)�����?偟恼f來,典型的信息泄露危險主要包括如下幾個方面�。
一�、典型的安全泄露途徑
1�����、軟硬件故障導致意外泄密
信息系統(tǒng)各種設備的物理安全和正常運行是保障信息安全的前提����,當這種正常狀態(tài)遭受到破壞時�,信息就存在著泄密的可能。例如發(fā)生設備被盜���、被毀�����,基礎網(wǎng)絡設施線路被截獲或偷聽而造成泄露�����。還有如防火墻意外癱瘓而導致失效,以致安全設置形同虛設�����,再或由于服務器死機導致數(shù)據(jù)丟失或外泄等����。最后,還有軟硬件設備環(huán)境缺乏安全保護�����,如防水災��、火災�、地震等自然災害。
2�、黑客入侵
一般來說����,黑客常見的入侵動機和形式可以分為兩種�。第一種是拒絕服務(DOS)攻擊。這類攻擊一般能使單個計算機或整個網(wǎng)絡癱瘓��,黑客使用這種攻擊方式是要阻礙合法網(wǎng)絡用戶使用該服務或破壞正常的活動�,但只會導致網(wǎng)絡故障,一般不涉及信息安全和信息泄密�。而另一種是非法入侵,非法入侵是指黑客利用企業(yè)安全漏洞訪問企業(yè)內(nèi)部網(wǎng)絡或數(shù)據(jù)資源�����,進行刪除����、復制甚至毀壞數(shù)據(jù)的活動。這種黑客入侵行為可能會致使公司數(shù)據(jù)被竊而造成無法挽回的損失�����,屬于非常嚴重的信息安全事件���。
3����、病毒侵襲
幾乎有計算機的地方,就有出現(xiàn)病毒的可能性。計算機病毒通常隱藏在文件或程序代碼內(nèi)�,伺機進行自我復制�,并能夠通過網(wǎng)絡���、磁盤���、光盤等諸多手段進行傳播�����。計算機病毒傳播速度相當快����、影響面大����,必須對它的危害要引起關注����。一般來說,殺毒軟件和防火墻是對付病毒的最好方法之一���。
CIH、愛蟲等病毒曾讓企業(yè)信息安全人員恐慌一時��,侵害小病毒的會引起死機影響工作��,大的可能引起系統(tǒng)癱瘓或摧毀數(shù)據(jù)����,有些惡意病毒還具有盜取用戶資料的功能��,如用戶賬號和密碼等���。
4����、非授權泄露或刪除敏感信息
企業(yè)內(nèi)部的敏感信息被內(nèi)部人員非授權泄露或刪除���。導致這種狀況的有幾種原因�����,如非法使用移動存儲設備����,非法復制資料等,還有如錯誤的電子郵件發(fā)送,配置錯誤的訪問控制列表���,沒有嚴格地設置的用戶訪問權限等��,這些都是由于內(nèi)部信息安全管理不善所導致的�����。也有可能是信息管理人員對安全權限設置不當,導致某些懷有惡意的人故意破壞企業(yè)商業(yè)機密的完整性以及向競爭對手故意泄露商業(yè)機密等���。
由此可見,信息危險不僅來自于外面�,有時也來自于內(nèi)部����。因此����,對企業(yè)來說,信息安全工作迫在眉睫�,一方面��,企業(yè)需要重視計算機病毒防護工作,制定相關的管理制度和實施方案����,為信息數(shù)據(jù)安全提供保障����。另一方面���,要不斷完善備份系統(tǒng)�,因為即使是最出色的安全專家也無法保證數(shù)據(jù)的百分百安全。所以�����,要建立一個可持續(xù)性���、可恢復性的備份系統(tǒng)�,保證信息系統(tǒng)在遇到數(shù)據(jù)災難的時候能用最快的速度恢復�����。
二���、不要讓自己成為信息安全的泄露者
1�、對信息安全風險��,總是視而不見
雖然����,信息系統(tǒng)的缺陷和技術不足����,使得攻擊、泄密��、破壞等安全事件時有發(fā)生���,給企業(yè)帶來損失��。但最為可惜的是����,大多數(shù)企業(yè)的IT管理人員以及決策者����,對于企業(yè)信息安全風險甚少有意識����,往往只是在事件發(fā)生后�����,捶胸頓足、哀聲長嘆。即使有部分具有前瞻眼光的決策者,察覺到了信息安全風險的可怕��,卻也缺少一種科學的分析方法����,對于核心業(yè)務信息安全風險更缺乏嚴格的評估、量化和分析。
2��、沒有進行安全風險評估��,沒有做好預防措施
想要加強企業(yè)信息的安全性�����,就需要對企業(yè)信息安全的實際風險做一個盡可能準確的評估,否則的話就會出現(xiàn)本來需要高安全級別的信息系統(tǒng)�,結果為了省錢��,建立了一個安全性能不是很高的IT系統(tǒng);或者本來需要的安全級別不是很高的,結果花了相當多的錢建立了一個安全性能極高的IT系統(tǒng)�����,浪費了投資��。所以�,一定要盡可能正確地評估企業(yè)信息安全的風險���。
因此�����,正確對信息安全風險評估的意義非常重大,一般可從以下幾個方面考慮:根據(jù)公司的具體業(yè)務�����,評估信息安全風險是什么�����;本企業(yè)信息對黑客的吸引力大不大����;本企業(yè)對外部開放程度如何���;一旦出現(xiàn)信息安全事故��,對本公司的影響最大程度是什么���;若提供保護這些信息的安全�����,可能需要的投資額是多少,是否值得為此付出這么多代價等����。
從以上幾個方面考慮是因為不同性質(zhì)的企業(yè)����,黑客對它們的興趣大小不同���。如高精尖企業(yè)以及銀行��、海關、證券等企業(yè)很容易引起黑客的興趣,這樣的企業(yè)信息安全風險性就大些����;而一些生產(chǎn)普通物品的企業(yè)黑客卻很少光顧�,這樣的企業(yè)信息安全風險性就小些。再比如��,有些企業(yè)一旦出現(xiàn)信息安全事故���,可能會企業(yè)產(chǎn)生致命的打擊���,有些企業(yè)可能就無所謂����。因此,它們的信息安全風險程度絕對不會相同����。
總而言之�,任何事物都有它的兩面性�。正確、恰當?shù)厥褂肐T信息能為企業(yè)帶來飛速的發(fā)展�,但由于系統(tǒng)缺陷����、人為誤操作���、惡意攻擊等不可預料的各種風險也同樣使得企業(yè)信息面臨著巨大的災難����。因此�,企業(yè)應通過建立冗余機制、災備機制、詳盡的信息安全策略等各種手段來降低企業(yè)的信息安全風險���。
