第12章 保障信息安全，建立安全“防火墙”(1)

树立信息安全责任意识

曼彻斯特的惠特沃斯艺术画廊博物馆拥有三幅画作，分别由凡·高、毕加索和高更创作。这三幅作品价值超过700万美元，由闭路电视、一系列的报警系统和保安24小时全天巡逻保护。可是，2003年4月底，一伙盗贼成功地闯入博物馆，躲开层层保安系统，偷走了这三幅作品。数天后，调查人员才在博物馆附近的一家公共厕所墙上发现这伙盗贼留下的文字：“这次行动的意图不在于偷，而是要提醒你们那糟糕的保安系统！”

所以，将这伙夜行盗贼的话翻译成信息安全的箴言，也就是我们第一条信息安全原则：“假以充足的时间，配备足够的工具，再加上攻击的兴趣，黑客就能够攻破任何安全措施。”

当全世界的计算机互联程度越来越高，越来越多的人和公司依赖信息技术，交易、通信如同在一个地球村中，随之而来的是更多的信息系统被攻击和侵入。正如Counter pane Internet Security公司总裁Bruce Scheneier所言：“未来唯一安全的计算机，是一台深埋在秘密地点下20英尺、用保险箱锁着、关了机的计算机。即使如此，我还是不能完全确信它是安全的！”

2008年10月13日消息，据国外媒体报道，最新调查报告显示：在过去的一年中，美国有79％的企业发生过信息泄露事件；法国企业发生过信息泄露事件的比例为63％，位居第二；英国第三，比例为55％，相比之下，德国的比例稍小些，为39％。该结果源自对来自美国、英国、法国和德国的3596名IT专业人员的调查，值得注意的是，41％的信息泄露事件发生在大型主机上，而大型主机存储着全球80％的数据。

信息安全形势异常严峻，病毒危害正在不断加剧，同时，隐藏和逃避技术更加高级，金钱利益成为更大的驱动力，隐私和机密数据所面临的风险更大了。对于企业来讲，保障信息安全，在员工中树立信息安全意识迫在眉睫。

A公司是一家专门为郊区市场业务提供安全站点和Intranet服务的公司。其客户包括该地区几家大型的汽车经销商，公司为他们设计了适应各自情况的Intranet。

有一次，某家汽车经销商的销售人员使用Intranet与他们的销售经理进行联系，并为每一辆新车以及旧车定价。零配件和服务部门同样也使用Intranet来检查库存和零件。A公司安装了一种使用Encryption和口令的防火墙安全系统，以确保用户的站点不会受到黑客或竞争对手的袭击。

但是，在管理上，A公司发现无法找到足够多的高水平和有经验的员工。客户的要求和不断增加的新业务迫使A公司不得不使用未经过充分培训的员工来为重要客户提供高技术水平的服务。这看起来不是什么大问题，直到有一天公司最大的汽车经销商客户报告说它的Intranet防火墙被人侵入了，一切才发生了变化。

这名汽车经销商在一天晚上大约7点的时候，非常恐慌地打来电话：“我的在两个竞争对手那里工作的朋友告诉我，说我们成了他们的经销商。”他要求见他的客户联络人，而那人当天晚上刚刚离开办公室。这位经销商就同一名新员工谈起这事：“有人入侵了我们的防火墙，现在我们的竞争对手知道了所有有关我们汽车、零配件、维修和服务的定价资料。这会让我们损失一部分利润。你最好马上找出哪里出了问题并解决它。”

这名新员工回答说：“先生，我不相信您的站点防火墙已经被入侵了，那几乎不可能。据我了解，这种问题在我们的客户中从没有发生过，这也是我之所以会加入这个公司的原因。您是不是太敏感了？我敢肯定他们一定是从别的渠道了解到这些信息的。您相信所有的销售人员吗？我会告诉老板明天给您打电话的。”

“怎么是我太敏感呢，年轻人？”汽车经销商生气地说，“告诉你的老板，他丢了一个客户，我只希望我们的站点立刻恢复正常，你听到了吗？”

第二天，A公司总裁知道了这件事以后，立刻打电话向客户道了歉，并做出种种努力，最终挽回了客户。她感到有义务免掉该客户当年剩余的互联网服务费，尽管这将使公司损失利润。

后来，她与公司的管理团队一起分析了这个情况，说道：“我们从中学到了很多有价值的东西。首先，我们需要仔细倾听警报电话。我们知道我们把训练不足的员工放在了不恰当的位置，更有经验的员工是不会犯这个错误的。第二，我们需要一位经理层的人员来负责随时处理顾客的电话。第三，我们需要加强员工的培训，使他们能更多地为客户着想。我们要花费很长一段时间才能从这个危机中恢复过来。”

A公司的这场风波最后虽然平息了下来，但也为每一名企业员工敲响了警钟：网络攻击是不会按照企业规模大小来挑选对象的，只会挑选安全保护有漏洞的企业乘虚而入。现在许多公司都在使用宽带互联网连接，这使得它们暴露在各式各样的安全威胁之中，安全威胁可导致失去敏感客户资料、财务信息，以及导致运营系统停顿，经济损失。由于一些企业的内部IT技术力量比较薄弱，受到威胁后的恢复能力比大型企业要差一些，后继影响更大，信息安全形势异常严峻。所以，企业应树立信息安全责任意识，防患未然。

鼠标一点，你就是首席安全官

要解除威胁，首先要了解威胁来自哪里。“通常，人们都会认为来自于计算机黑客、恶意代码编写者等，认为外部的安全威胁远远大于内部，实际情况并非如此。”赛门铁克公司技术经理曹如玮表示，一般企业安全范围的重点是在防范所谓的外部黑客攻击，但是超过一半的威胁恰恰来自企业内部，外部攻击仅占46%。其中，企业内部的威胁中，50%的被调查企业表示是因为整个流程的文件处理不妥善，另外60%是员工不小心的错误；96%的内部安全威胁是来自于非蓄意的动机和错误，只有1%才是真正的恶意行为。另一项来自信息技术市场调研公司高德纳公司曾进行的一项关于数据被窃的调查，发现被访者中，只有25%的个案是源于不法之徒的恶意攻击，60%的问题却是由于移动设备丢失或被窃。这些数据让人清楚地认识到，企业的信息安全防护重在防范内部威胁。而内部威胁之所以“为所欲为”，归根结底，还是员工安全意识淡薄。

企业的体系庞大，在安全管理上往往是各有汇报条线，很难制定统一的策略。这给企业的信息安全管理造成了巨大的困难。除了企业需要在组织管理上进行改进外，每一名员工都有责任保障信息安全。因为员工才是信息安全最为重要的防线，当你拿起手中的鼠标时，你就是企业的首席安全官，对安全负有责任。

首先从密码开始，有一个好的密码是一个良好的开端。每个用户都是自己所使用的账号和密码的第一责任人。用户设置的密码应具有一定的安全性，长度不能短于6位，应由数字和大、小写英语字母构成，不要使用人名、生日（尤其是家庭成员或者宠物的名字、生日等）、英语单词等易被猜测的字符。员工应该从思想上高度重视计算机应用系统账号和密码管理的重要性，因为密码猜测和暴力破解等攻击方法很难攻击好的密码，但是同时带来的问题是，用户很难记住这些密码。一个好方法是使用你能够很容易记忆的一首歌中的一句话。将这句话中的首字母作为密码，然后将其中的一些字母变成类似形状的特殊字符。

一旦有了一个能够记住的密码，不要将其写在一个可以随处粘贴的便携条上，或者将其写在电脑屏幕下方、键盘下面。

定期更换密码。在用户使用的不方便性以及潜在的可能暴露的威胁之间，6到12周的间隔是一个比较好的平衡点。在你的PDA中增加一条备忘录或者在日程安排中添加一个日期来提醒你及时处理这个问题。要记住的是，其他的密码（比如语音邮件）也是非常有价值的，因此，员工也应该努力保证它们的安全。

最后，对于双重认证系统来说，如果你已经有了一个安全令牌，那么一定不要让其他人来使用这个令牌。

另外，移动设备的使用要谨慎。当前移动办公已经成为不可逆转的趋势，要企业员工减少使用U盘、笔记本电脑等移动IT设备是不现实的。一位业内人士曾经就这个问题拿U盘来举例，他指出，和欧美等国家相比，中国U盘传毒的问题越来越严重，并且一直没办法根绝，和员工缺乏安全意识紧密相关。通常，员工插取U盘时，很少会考虑到是否和公司的安全策略相违背，或者有可能引发公司的安全事故。员工应该在使用移动设备时注意信息加密，查杀病毒，把好安全关。重要的信息资料一定要细心保存，视若珍宝。

据悉，一张存有数千Mc Afee现任和前任员工资料的光盘被有关人员遗失，相关人士的信息安全已经无法得到保证，正面临身份被盗用的危险。

Mc Afee公司发言人Siobhan Mac Dermott表示，该光盘是Deloitte & Touche USA事务所在2005年12月15日丢失的，作为知名计算机安全企业的Mc Afee直到2006年1月11日才获悉此事，1月30日才查清光盘资料的详情。

Mac Dermott说，光盘内存有2005年4月之前Mc Afee美国和加拿大的所有现任雇员以及约6000名离职员工的详细个人资料，可能包含姓名、社会保险号码、持有Mc Afee股票数量等，而且均未加密。