登陆注册
459600000012

第12章 保障信息安全,建立安全“防火墙”(1)

树立信息安全责任意识

曼彻斯特的惠特沃斯艺术画廊博物馆拥有三幅画作,分别由凡·高、毕加索和高更创作。这三幅作品价值超过700万美元,由闭路电视、一系列的报警系统和保安24小时全天巡逻保护。可是,2003年4月底,一伙盗贼成功地闯入博物馆,躲开层层保安系统,偷走了这三幅作品。数天后,调查人员才在博物馆附近的一家公共厕所墙上发现这伙盗贼留下的文字:“这次行动的意图不在于偷,而是要提醒你们那糟糕的保安系统!”

所以,将这伙夜行盗贼的话翻译成信息安全的箴言,也就是我们第一条信息安全原则:“假以充足的时间,配备足够的工具,再加上攻击的兴趣,黑客就能够攻破任何安全措施。”

当全世界的计算机互联程度越来越高,越来越多的人和公司依赖信息技术,交易、通信如同在一个地球村中,随之而来的是更多的信息系统被攻击和侵入。正如Counter pane Internet Security公司总裁Bruce Scheneier所言:“未来唯一安全的计算机,是一台深埋在秘密地点下20英尺、用保险箱锁着、关了机的计算机。即使如此,我还是不能完全确信它是安全的!”

2008年10月13日消息,据国外媒体报道,最新调查报告显示:在过去的一年中,美国有79%的企业发生过信息泄露事件;法国企业发生过信息泄露事件的比例为63%,位居第二;英国第三,比例为55%,相比之下,德国的比例稍小些,为39%。该结果源自对来自美国、英国、法国和德国的3596名IT专业人员的调查,值得注意的是,41%的信息泄露事件发生在大型主机上,而大型主机存储着全球80%的数据。

信息安全形势异常严峻,病毒危害正在不断加剧,同时,隐藏和逃避技术更加高级,金钱利益成为更大的驱动力,隐私和机密数据所面临的风险更大了。对于企业来讲,保障信息安全,在员工中树立信息安全意识迫在眉睫。

A公司是一家专门为郊区市场业务提供安全站点和Intranet服务的公司。其客户包括该地区几家大型的汽车经销商,公司为他们设计了适应各自情况的Intranet。

有一次,某家汽车经销商的销售人员使用Intranet与他们的销售经理进行联系,并为每一辆新车以及旧车定价。零配件和服务部门同样也使用Intranet来检查库存和零件。A公司安装了一种使用Encryption和口令的防火墙安全系统,以确保用户的站点不会受到黑客或竞争对手的袭击。

但是,在管理上,A公司发现无法找到足够多的高水平和有经验的员工。客户的要求和不断增加的新业务迫使A公司不得不使用未经过充分培训的员工来为重要客户提供高技术水平的服务。这看起来不是什么大问题,直到有一天公司最大的汽车经销商客户报告说它的Intranet防火墙被人侵入了,一切才发生了变化。

这名汽车经销商在一天晚上大约7点的时候,非常恐慌地打来电话:“我的在两个竞争对手那里工作的朋友告诉我,说我们成了他们的经销商。”他要求见他的客户联络人,而那人当天晚上刚刚离开办公室。这位经销商就同一名新员工谈起这事:“有人入侵了我们的防火墙,现在我们的竞争对手知道了所有有关我们汽车、零配件、维修和服务的定价资料。这会让我们损失一部分利润。你最好马上找出哪里出了问题并解决它。”

这名新员工回答说:“先生,我不相信您的站点防火墙已经被入侵了,那几乎不可能。据我了解,这种问题在我们的客户中从没有发生过,这也是我之所以会加入这个公司的原因。您是不是太敏感了?我敢肯定他们一定是从别的渠道了解到这些信息的。您相信所有的销售人员吗?我会告诉老板明天给您打电话的。”

“怎么是我太敏感呢,年轻人?”汽车经销商生气地说,“告诉你的老板,他丢了一个客户,我只希望我们的站点立刻恢复正常,你听到了吗?”

第二天,A公司总裁知道了这件事以后,立刻打电话向客户道了歉,并做出种种努力,最终挽回了客户。她感到有义务免掉该客户当年剩余的互联网服务费,尽管这将使公司损失利润。

后来,她与公司的管理团队一起分析了这个情况,说道:“我们从中学到了很多有价值的东西。首先,我们需要仔细倾听警报电话。我们知道我们把训练不足的员工放在了不恰当的位置,更有经验的员工是不会犯这个错误的。第二,我们需要一位经理层的人员来负责随时处理顾客的电话。第三,我们需要加强员工的培训,使他们能更多地为客户着想。我们要花费很长一段时间才能从这个危机中恢复过来。”

A公司的这场风波最后虽然平息了下来,但也为每一名企业员工敲响了警钟:网络攻击是不会按照企业规模大小来挑选对象的,只会挑选安全保护有漏洞的企业乘虚而入。现在许多公司都在使用宽带互联网连接,这使得它们暴露在各式各样的安全威胁之中,安全威胁可导致失去敏感客户资料、财务信息,以及导致运营系统停顿,经济损失。由于一些企业的内部IT技术力量比较薄弱,受到威胁后的恢复能力比大型企业要差一些,后继影响更大,信息安全形势异常严峻。所以,企业应树立信息安全责任意识,防患未然。

鼠标一点,你就是首席安全官

要解除威胁,首先要了解威胁来自哪里。“通常,人们都会认为来自于计算机黑客、恶意代码编写者等,认为外部的安全威胁远远大于内部,实际情况并非如此。”赛门铁克公司技术经理曹如玮表示,一般企业安全范围的重点是在防范所谓的外部黑客攻击,但是超过一半的威胁恰恰来自企业内部,外部攻击仅占46%。其中,企业内部的威胁中,50%的被调查企业表示是因为整个流程的文件处理不妥善,另外60%是员工不小心的错误;96%的内部安全威胁是来自于非蓄意的动机和错误,只有1%才是真正的恶意行为。另一项来自信息技术市场调研公司高德纳公司曾进行的一项关于数据被窃的调查,发现被访者中,只有25%的个案是源于不法之徒的恶意攻击,60%的问题却是由于移动设备丢失或被窃。这些数据让人清楚地认识到,企业的信息安全防护重在防范内部威胁。而内部威胁之所以“为所欲为”,归根结底,还是员工安全意识淡薄。

企业的体系庞大,在安全管理上往往是各有汇报条线,很难制定统一的策略。这给企业的信息安全管理造成了巨大的困难。除了企业需要在组织管理上进行改进外,每一名员工都有责任保障信息安全。因为员工才是信息安全最为重要的防线,当你拿起手中的鼠标时,你就是企业的首席安全官,对安全负有责任。

首先从密码开始,有一个好的密码是一个良好的开端。每个用户都是自己所使用的账号和密码的第一责任人。用户设置的密码应具有一定的安全性,长度不能短于6位,应由数字和大、小写英语字母构成,不要使用人名、生日(尤其是家庭成员或者宠物的名字、生日等)、英语单词等易被猜测的字符。员工应该从思想上高度重视计算机应用系统账号和密码管理的重要性,因为密码猜测和暴力破解等攻击方法很难攻击好的密码,但是同时带来的问题是,用户很难记住这些密码。一个好方法是使用你能够很容易记忆的一首歌中的一句话。将这句话中的首字母作为密码,然后将其中的一些字母变成类似形状的特殊字符。

一旦有了一个能够记住的密码,不要将其写在一个可以随处粘贴的便携条上,或者将其写在电脑屏幕下方、键盘下面。

定期更换密码。在用户使用的不方便性以及潜在的可能暴露的威胁之间,6到12周的间隔是一个比较好的平衡点。在你的PDA中增加一条备忘录或者在日程安排中添加一个日期来提醒你及时处理这个问题。要记住的是,其他的密码(比如语音邮件)也是非常有价值的,因此,员工也应该努力保证它们的安全。

最后,对于双重认证系统来说,如果你已经有了一个安全令牌,那么一定不要让其他人来使用这个令牌。

另外,移动设备的使用要谨慎。当前移动办公已经成为不可逆转的趋势,要企业员工减少使用U盘、笔记本电脑等移动IT设备是不现实的。一位业内人士曾经就这个问题拿U盘来举例,他指出,和欧美等国家相比,中国U盘传毒的问题越来越严重,并且一直没办法根绝,和员工缺乏安全意识紧密相关。通常,员工插取U盘时,很少会考虑到是否和公司的安全策略相违背,或者有可能引发公司的安全事故。员工应该在使用移动设备时注意信息加密,查杀病毒,把好安全关。重要的信息资料一定要细心保存,视若珍宝。

据悉,一张存有数千Mc Afee现任和前任员工资料的光盘被有关人员遗失,相关人士的信息安全已经无法得到保证,正面临身份被盗用的危险。

Mc Afee公司发言人Siobhan Mac Dermott表示,该光盘是Deloitte & Touche USA事务所在2005年12月15日丢失的,作为知名计算机安全企业的Mc Afee直到2006年1月11日才获悉此事,1月30日才查清光盘资料的详情。

Mac Dermott说,光盘内存有2005年4月之前Mc Afee美国和加拿大的所有现任雇员以及约6000名离职员工的详细个人资料,可能包含姓名、社会保险号码、持有Mc Afee股票数量等,而且均未加密。

同类推荐
  • 电力知识

    电力知识

    本书对电力技术、生产建设和技术经济等知识,以及当代世界高新技术发展和电力科技的新发展等方面作了深入浅出的论述,知识面宽、通俗易懂,可作为技术工人、技术人员、管理人员和领导干部了解电力科技知识和高新技术知识的“入门”读物。供学习参考。,为了进一步提高电力职工和各级领导干部的科技素质,更好地依靠科技进步,促进电力工业的迅速发展,特编写出版《电力知识》一书
  • 我是手扶拖拉机驾驶与维修能手

    我是手扶拖拉机驾驶与维修能手

    是“金阳光”新农村丛书之一,《我是手扶拖拉机驾驶与维修能手》是以广大农村干部群众为主要读者对象,以让读者看得懂、用得上、买得起、买得到为基本宗旨,简明扼要地讲解了手扶拖拉机驾驶与维修技术。
  • 汽车养护与急救

    汽车养护与急救

    本书站在专业汽车修理人员的角度,从车主和驾驶员朋友的实际情况出发,用通俗化的语言简要地介绍了汽车在使用和管理过程中,驾驶员朋友自己能够动手或者有必要知道的一些关于汽车养护翻故障应急修理的相关知识。其主要内容主要包括汽车养护、汽车故障诊断基础、常见部件的保养及汽车运行中一些常见故障的应急处理。
  • 安全责任重在落实

    安全责任重在落实

    安全无小事,事事抓落实。一切安全事故都是可以预防和避免的。责任是安全的最好屏障,安全是员工的最大福利。安全第一,警钟长鸣。唯有立足岗位,时刻紧绷安全这根弦,做到防微杜渐,强化安全责任落实,才能让平安、幸福、和谐永驻身边。
热门推荐
  • 傻子王爷无情妃

    傻子王爷无情妃

    一只毒蝎子,彻底断送了她年轻的生命!别人只知道,那个软弱没主见的女人被迫嫁给一个痴傻呆闷的七皇子。殊不知,她早已不再是“她”!面对痴傻只会憨笑的美男,她气愤难填!你傻,本美女就医好你,谁知医好后,遭到嫌弃,却换来一纸休书,气愤之下,她恨不得与他同归于尽……
  • 妖艳太子不过期

    妖艳太子不过期

    他是前朝太子,亦是武林的幕后黑手。拥有绝美之容颜,倾国之财富。却心系易主的江山。费尽心机,倾尽所有。即将得天下时却被那个名叫莫忆苍的女子打乱心神。之后,他的记忆中只有她的一颦一笑。可是,她却对他说,“今生,我莫忆苍绝对不会嫁于帝王!”究竟是要天下,还是她?
  • 论美国的民主

    论美国的民主

    本书是法国政治学家、社会学家托克维尔在美国进行长期考察后写出的一部举世公认的世界名著。本书前半部分包括美国的种族状况、英裔移民带到北美的影响、美国联邦制的优点以及与其他国家联邦制的比较、联邦政府与各州政府的关系、政党产生的原因、政治社团的作用、舆论的作用等方面;中心思想是阐明美国的民主、自由、平等是如何在政治生活和社会生活中体现的。下半部分是以美国的民主思想和美国的民情为背景分析了美国人的哲学观念、宗教思想、科学理论、文学、艺术、社会心理、民族性格等方面。
  • 战争与和平(语文新课标课外必读第五辑)

    战争与和平(语文新课标课外必读第五辑)

    国家教育部颁布了最新《语文课程标准》,统称新课标,对中、小学语文教学指定了阅读书目,对阅读的数量、内容、质量以及速度都提出了明确的要求,这对于提高学生的阅读能力,培养语文素养,陶冶情操,促进学生终身学习和终身可持续发展,对于提高广大人民的文学素养具有极大的意义。
  • 全面稳定(中国近代历史大事详解)

    全面稳定(中国近代历史大事详解)

    中国历史渊源流长,博大精深,是国人精神底蕴之所在,是民族长盛不衰之根本。认识历史,了解历史,是每一位中国人所必须面对的人生课题。本套丛书浓缩了华夏五千年的风雨历程,以一个全新角度纵览中华民族的辉煌历史。全书以全新史料,记述了上溯古代,下至公元1912年的中国历史进程。内容涵盖政治、经济、军事、科技、文化、艺术、外交、法律、宗教、民俗等方方面面。内容详实,存真去伪。并由历史国学权威学者、专家最终审定。
  • 皇家幼儿园

    皇家幼儿园

    各位朝中的大叔大哥们,把你家的儿子女儿都交给本公主教育吧!保证师资力量雄厚,宰相大人教历史,状元郎教诗书,还有将军大人负责兵法,连女孩子的女工都是太后亲自教导。哪里去找这么厉害的幼儿园?快来速速报名!
  • 缺钙

    缺钙

    尹守国,2006年开始小说创作,发表中短篇小说70多万字,作品多次被《新华文摘》、《小说选刊》、《北京文学中篇小说月报》等选载,中国作家协会会员,辽宁省作协签约作家。
  • 尸心不改

    尸心不改

    控尸门的欢乐二缺弟子江篱炼了一具美得人神共愤引得天雷阵阵的男尸,以为好日子开始了,结果没想到门派惨遭灭门。--情节虚构,请勿模仿
  • 成功人士必知的100个生活哲理

    成功人士必知的100个生活哲理

    一杯清茶,三两知己。不妨坐下来读一读《成功人士必知的100个生活哲理》,从中找到适合自己的生活哲理,化解你所面临的人生难题。本书共分为七篇:第一篇:心态是成功的关键;第二篇:性格是成功的主要因素;第三篇:选择是成功的前提;第四篇:态度是成功的原动力;第五篇:社交是成功的基础;第六篇:学习是成功的助推器;第七篇:口才是成功必备的能力。
  • 穿裘皮的维纳斯

    穿裘皮的维纳斯

    《穿裘皮的维纳斯》是马索克最主要的虐恋作品。这是一位贵族男子自愿成为一位女士的奴隶的故事。他愿意受她的驱使,受她的惩罚,使自己成为她对之握有生杀予夺权利的财产。在他们两人相处的过程中,女方始终比较勉强,最后她移情别恋,残忍地结束了他们之间的关系。