曼彻斯特的惠特沃斯艺术画廊博物馆拥有三幅画作,分别由凡·高、毕加索和高更创作。这三幅作品价值超过700万美元,由闭路电视、一系列的报警系统和保安24小时全天巡逻保护。可是,2003年4月底,一伙盗贼成功地闯入博物馆,躲开层层保安系统,偷走了这三幅作品。数天后,调查人员才在博物馆附近的一家公共厕所墙上发现这伙盗贼留下的文字:“这次行动的意图不在于偷,而是要提醒你们那糟糕的保安系统!”
所以,将这伙夜行盗贼的话翻译成信息安全的箴言,也就是我们第一条信息安全原则:“假以充足的时间,配备足够的工具,再加上攻击的兴趣,黑客就能够攻破任何安全措施。”
当全世界的计算机互联程度越来越高,越来越多的人和公司依赖信息技术,交易、通信如同在一个地球村中,随之而来的是更多的信息系统被攻击和侵入。正如Counter pane Internet Security公司总裁Bruce Scheneier所言:“未来唯一安全的计算机,是一台深埋在秘密地点下20英尺、用保险箱锁着、关了机的计算机。即使如此,我还是不能完全确信它是安全的!”
2008年10月13日消息,据国外媒体报道,最新调查报告显示:在过去的一年中,美国有79%的企业发生过信息泄露事件;法国企业发生过信息泄露事件的比例为63%,位居第二;英国第三,比例为55%,相比之下,德国的比例稍小些,为39%。该结果源自对来自美国、英国、法国和德国的3596名IT专业人员的调查,值得注意的是,41%的信息泄露事件发生在大型主机上,而大型主机存储着全球80%的数据。
信息安全形势异常严峻,病毒危害正在不断加剧,同时,隐藏和逃避技术更加高级,金钱利益成为更大的驱动力,隐私和机密数据所面临的风险更大了。对于企业来讲,保障信息安全,在员工中树立信息安全意识迫在眉睫。
A公司是一家专门为郊区市场业务提供安全站点和Intranet服务的公司。其客户包括该地区几家大型的汽车经销商,公司为他们设计了适应各自情况的Intranet。
有一次,某家汽车经销商的销售人员使用Intranet与他们的销售经理进行联系,并为每一辆新车以及旧车定价。零配件和服务部门同样也使用Intranet来检查库存和零件。A公司安装了一种使用Encryption和口令的防火墙安全系统,以确保用户的站点不会受到黑客或竞争对手的袭击。
但是,在管理上,A公司发现无法找到足够多的高水平和有经验的员工。客户的要求和不断增加的新业务迫使A公司不得不使用未经过充分培训的员工来为重要客户提供高技术水平的服务。这看起来不是什么大问题,直到有一天公司最大的汽车经销商客户报告说它的Intranet防火墙被人侵入了,一切才发生了变化。
这名汽车经销商在一天晚上大约7点的时候,非常恐慌地打来电话:“我的在两个竞争对手那里工作的朋友告诉我,说我们成了他们的经销商。”他要求见他的客户联络人,而那人当天晚上刚刚离开办公室。这位经销商就同一名新员工谈起这事:“有人入侵了我们的防火墙,现在我们的竞争对手知道了所有有关我们汽车、零配件、维修和服务的定价资料。这会让我们损失一部分利润。你最好马上找出哪里出了问题并解决它。”
这名新员工回答说:“先生,我不相信您的站点防火墙已经被入侵了,那几乎不可能。据我了解,这种问题在我们的客户中从没有发生过,这也是我之所以会加入这个公司的原因。您是不是太敏感了?我敢肯定他们一定是从别的渠道了解到这些信息的。您相信所有的销售人员吗?我会告诉老板明天给您打电话的。”
“怎么是我太敏感呢,年轻人?”汽车经销商生气地说,“告诉你的老板,他丢了一个客户,我只希望我们的站点立刻恢复正常,你听到了吗?”
第二天,A公司总裁知道了这件事以后,立刻打电话向客户道了歉,并做出种种努力,最终挽回了客户。她感到有义务免掉该客户当年剩余的互联网服务费,尽管这将使公司损失利润。
后来,她与公司的管理团队一起分析了这个情况,说道:“我们从中学到了很多有价值的东西。首先,我们需要仔细倾听警报电话。我们知道我们把训练不足的员工放在了不恰当的位置,更有经验的员工是不会犯这个错误的。第二,我们需要一位经理层的人员来负责随时处理顾客的电话。第三,我们需要加强员工的培训,使他们能更多地为客户着想。我们要花费很长一段时间才能从这个危机中恢复过来。”
A公司的这场风波最后虽然平息了下来,但也为每一名企业员工敲响了警钟:网络攻击是不会按照企业规模大小来挑选对象的,只会挑选安全保护有漏洞的企业乘虚而入。现在许多公司都在使用宽带互联网连接,这使得它们暴露在各式各样的安全威胁之中,安全威胁可导致失去敏感客户资料、财务信息,以及导致运营系统停顿,经济损失。由于一些企业的内部IT技术力量比较薄弱,受到威胁后的恢复能力比大型企业要差一些,后继影响更大,信息安全形势异常严峻。所以,企业应树立信息安全责任意识,防患未然。
鼠标一点,你就是首席安全官
要解除威胁,首先要了解威胁来自哪里。“通常,人们都会认为来自于计算机黑客、恶意代码编写者等,认为外部的安全威胁远远大于内部,实际情况并非如此。”赛门铁克公司技术经理曹如玮表示,一般企业安全范围的重点是在防范所谓的外部黑客攻击,但是超过一半的威胁恰恰来自企业内部,外部攻击仅占46%。其中,企业内部的威胁中,50%的被调查企业表示是因为整个流程的文件处理不妥善,另外60%是员工不小心的错误;96%的内部安全威胁是来自于非蓄意的动机和错误,只有1%才是真正的恶意行为。另一项来自信息技术市场调研公司高德纳公司曾进行的一项关于数据被窃的调查,发现被访者中,只有25%的个案是源于不法之徒的恶意攻击,60%的问题却是由于移动设备丢失或被窃。这些数据让人清楚地认识到,企业的信息安全防护重在防范内部威胁。而内部威胁之所以“为所欲为”,归根结底,还是员工安全意识淡薄。
企业的体系庞大,在安全管理上往往是各有汇报条线,很难制定统一的策略。这给企业的信息安全管理造成了巨大的困难。除了企业需要在组织管理上进行改进外,每一名员工都有责任保障信息安全。因为员工才是信息安全最为重要的防线,当你拿起手中的鼠标时,你就是企业的首席安全官,对安全负有责任。
首先从密码开始,有一个好的密码是一个良好的开端。每个用户都是自己所使用的账号和密码的第一责任人。用户设置的密码应具有一定的安全性,长度不能短于6位,应由数字和大、小写英语字母构成,不要使用人名、生日(尤其是家庭成员或者宠物的名字、生日等)、英语单词等易被猜测的字符。员工应该从思想上高度重视计算机应用系统账号和密码管理的重要性,因为密码猜测和暴力破解等攻击方法很难攻击好的密码,但是同时带来的问题是,用户很难记住这些密码。一个好方法是使用你能够很容易记忆的一首歌中的一句话。将这句话中的首字母作为密码,然后将其中的一些字母变成类似形状的特殊字符。
一旦有了一个能够记住的密码,不要将其写在一个可以随处粘贴的便携条上,或者将其写在电脑屏幕下方、键盘下面。
定期更换密码。在用户使用的不方便性以及潜在的可能暴露的威胁之间,6到12周的间隔是一个比较好的平衡点。在你的PDA中增加一条备忘录或者在日程安排中添加一个日期来提醒你及时处理这个问题。要记住的是,其他的密码(比如语音邮件)也是非常有价值的,因此,员工也应该努力保证它们的安全。
最后,对于双重认证系统来说,如果你已经有了一个安全令牌,那么一定不要让其他人来使用这个令牌。
另外,移动设备的使用要谨慎。当前移动办公已经成为不可逆转的趋势,要企业员工减少使用U盘、笔记本电脑等移动IT设备是不现实的。一位业内人士曾经就这个问题拿U盘来举例,他指出,和欧美等国家相比,中国U盘传毒的问题越来越严重,并且一直没办法根绝,和员工缺乏安全意识紧密相关。通常,员工插取U盘时,很少会考虑到是否和公司的安全策略相违背,或者有可能引发公司的安全事故。员工应该在使用移动设备时注意信息加密,查杀病毒,把好安全关。重要的信息资料一定要细心保存,视若珍宝。
据悉,一张存有数千Mc Afee现任和前任员工资料的光盘被有关人员遗失,相关人士的信息安全已经无法得到保证,正面临身份被盗用的危险。
Mc Afee公司发言人Siobhan Mac Dermott表示,该光盘是Deloitte & Touche USA事务所在2005年12月15日丢失的,作为知名计算机安全企业的Mc Afee直到2006年1月11日才获悉此事,1月30日才查清光盘资料的详情。
Mac Dermott说,光盘内存有2005年4月之前Mc Afee美国和加拿大的所有现任雇员以及约6000名离职员工的详细个人资料,可能包含姓名、社会保险号码、持有Mc Afee股票数量等,而且均未加密。
Mac Dermott表示已在通知了所有相关人员,并且指出没有理由相信有任何资料已被利用。
Deloitte & Touche USA事务所对该事件予以了证实,承认是他们的一位员工将没有标记的备份光盘落在了飞机座位的物品袋中,但该事务所强调说没有发现资料被非授权存取的迹象。
Mc Afee事件只是近年来一系列信息安全疏忽中最新的一起。根据隐私权信息中心Privacy Rights Clearing house统计,2005年到2006年,共有数十起安全意外发生,造成5300多万人的资料被曝光。美国银行的用户资料备份磁带在空运过程中遭窃,大约120万美国联邦雇员的个人信息因此丢失。
信息安全是要保护数据私密性、完整性以及可用性,以免数据被意外抑或故意误用。每一个员工在当今信息流动巨大,信息安全时刻受到威胁的环境下,为了企业的安全,为了自身利益不受侵犯,要主动担起“首席安全官”的责任,保障企业的信息安全。
责任多一点,损失少一点
企业面对的信息安全问题正在变得复杂化。从便携设备到可移动存储,再到基于Web的协作应用,乃至基于IP的语音技术,每一类新产品都有新的安全问题与之相伴而生。系统在面临着日趋复杂的威胁的同时,遭受攻击的次数也日益增多。对此,安全专家和业务技术人员列出了企业所面临的许多挑战,按比例依次为:提高用户意识(41%)、加强安全策略(36%)、加强对系统访问的控制(26%),以及获取更多的资源(23%)。可见,用户安全意识是维护信息安全最为重要的方面。信息安全的维护依靠每一个人的努力,每一名对企业有责任感的员工,都会把企业当成自己的家,会尽最大努力完成自己的每一项工作,把安全风险降低到最低限度,小心地使用网络服务设施,保护企业资源,维护企业信息安全,高效率地利用好自己的时间。这样,不论是查看网页,还是使用移动存储设备,查看邮件,或者是设置安全防护密码,他都会最大限度地做到小心谨慎,以防企业因为信息安全漏洞遭受巨大的损失。
据《纽约时报》网络版的消息称,美国头号家居修缮零售商Home Depot公司表示,公司的一台笔记本被盗,该笔记本里存储有1万名雇员的个人信息。该笔记本为马塞诸塞州的一个地区经理所拥有,根据这位经理的描述,当时他把车停在了路边,却忘记拿出车里的笔记本。
Home Depot公司的发言人Ron De Feo表示,幸运的是,这台被盗笔记本里没有存储消费用户的信息。他表示该笔记本系统进入采用了密码设置,但他没有说明里面的员工信息是否经过加密保护。
该笔记本存储的信息包括员工的名字、家庭住址、社会保险号,这些信息对于美国人来说极为隐私。Home Depot公司的发言人表示,盗贼可能并不是想要里面的数据,而只是想偷走笔记本而已。
上例中的区域经理因为一时的大意丢失了重要的信息资源,虽然没有造成什么损失,但并不是每次都能遇到买椟还珠的小偷的。我们要树立安全责任意识,将保护信息安全作为自己的一种习惯。
晓云是一家公司的白领,她每天的工作和众多的公司白领没有什么大的区别,早晨到公司打开电脑,她的电脑设有开机密码,当然这个密码没有人知道,并且她会时时更新密码,公司的文档同样设了密码,并且都有备份。在办公室,她有一个专用的移动硬盘,里面有着每份文件的备份,每次使用后,她都会把硬盘锁好,收好钥匙才会离开。她一旦要离开办公桌时,都会将电脑上锁,上班时间里,晓云从不会浏览一些无用的网站,或者点击一些不明来历的链接,因此她的电脑是全公司最“健康”的电脑,很少被病毒侵袭。有人问晓云:“干吗成天这么小心翼翼的,搞得神经兮兮的,很多人不像你这样,一样没出过问题啊。”晓云答:“一旦出问题,一切都晚了,损失是我无法弥补的,所以我要养成好的习惯。”
晓云是一个相当有责任心的人,她懂得信息安全的重要性,知道企业的信息安全一旦出问题,责任重大。因此要时时注意,处处小心。
要注意信息安全不是要消除系统或设施面临的所有威胁,而是消除已知的威胁,在系统被黑客利用漏洞成功入侵后将损失降到最小。因此我们在做信息安全维护工作时要对不同层次的风险,投入相当数量的资源,以保持其收益平衡,避免浪费资源。总之,责任多一点,损失就会少一些。
恪守商业秘密,不要让诱惑毁掉生活
在2003年举办的英国最大的信息技术安全展览“信息安全欧洲2003”上,展览的组织者派遣研究人员到伦敦沃特卢车站进行调查。研究人员免费给车站来往的乘客一支钢笔,但要求他们透露他们办公室电脑的密码,发现竟然有3/4的人马上透露了密码,剩下1/4的乘客经过委婉的试探后,也都泄露了密码。类似这样的研究表明,人们为了一点小利会轻易地泄露安全信息。
美国民间组织隐私权数据交换中心自2005年初Choicepoint数据外泄事件(2004年底该公司被黑客窃取了145万名客户的个人信息,包括社会安全号码和信用卡记录等资料,公司在2005年初才将真相公之于世)后,即对美国的资料安全状况展开了持续的跟踪调查。如果从安全威胁波及程度的角度来看,自2005年1月起有超过600项违规操作被举报,造成了超过16亿个数据记录外泄,其中包括敏感的个人信息数据。而这只是保守估计,由于很多提交报告的企业并不知道数据记录泄漏的确切数目,还有的不愿意透露确切数目,所以估计这个数目还不到实际数目的一半。2006年的个人资料外泄事件再攀新高,涉及上市公司、私人所有企业、非营利企业和各级政府机关,涉及的数据包括高度敏感的健康医疗信息、财政信息、就业信息、信用卡信息、社会安全信息和其他的个人资料。
来自企业内部的威胁占据了主要地位,上述的违规行为中约有60%来自内部。敏感个人信息的黑市交易对于某些人而言是个巨大的诱惑,因为盗窃数据俨然已经成为能带来滚滚财源的生意。是的,随着IT技术的发展,人们获取信息的速度日益加快,可能只要通过一个U盘,一分钟的时间就可以拷走上百兆的资料,而这些资料可能具有难以估量的价值,因此说一分钟损失几千万绝对不是危言耸听。
2002年,原华为公司传输部技术人员王志骏、刘宁、秦学军因与华为公司发生法律纠纷,被国家公安机关羁押。华为称这几名员工以自主创业为名“盗窃”了公司的核心技术。离开华为后,他们在上海成立了上海沪科科技有限公司,并将“窃取”的核心技术资料卖给了华为公司的直接竞争对手。
2004年5月,某大型企业研发中心发现某国外竞争对手领先一步完成了A产品的设计开发,该研发中心领导一下就懵了。A产品的设计开发可是该企业的重大研发项目,该企业想依托A产品完成产品线的转换,大笔资金投入到该项目,众多研发人员也付出了艰辛的劳动。企业在项目立项及开发过程中,从未听说有哪家单位也在进行A产品的开发,为什么竞争对手开发速度如此之快?
情况汇报给企业老总后,老总的第一反应就是内部人员泄密,随即下令该项目所有人员停止开发,迅速离开工作岗位,并向公安部门报案。公安部门技术人员到达现场后,发现该研发中心保密工作存在重大疏漏:设计人员电脑与普通工作人员电脑连在同一个局域网内、计算机端口允许人员将资料随意拷出、设计人员将某些机密文件设成共享、打印资料随意带出、所有电脑都可以上互联网……经过检查,公安部门初步判定为内部人员泄密,但是要查出是谁将资料泄密,难度太大。最终该案不了了之,企业也只能对研发中心领导进行降职处罚,该企业付出的1000余万元研发费用、众多研发人员的辛勤劳动全部付诸东流。
见到利益,人人都想得到,而且希望越多越好,这是世人的共同心理,也是人的本性,没有什么不正常。关键是,不能将这种欲望作为工作的唯一目的,更不能为达到这一目的不择手段、铤而走险。欲望,永不满足的欲望,一方面是人们不懈追求的原动力,成就了人往高处走、水往低处流的箴言;另一方面也诠释了“有了千田想万田,当了皇帝想成仙”、“贪心不足蛇吞象”的人性弱点。致使一个人最终无法获得幸福,坠入痛苦的深渊。
另外,古往今来,贪婪成性的大有人在,因贪婪而身败名裂,甚至招致杀身之祸的人更是不胜枚举,贪婪驱使他们作出种种错误的抉择。
凯特是加拿大一家医院的医生,她采用开处方的手段从所在医院的药房中骗取吗啡40克,然后利用职权向常来看病的吸毒者暗示,让他们下班后到其家中买药。通过这种手段,凯特将稀释为72克的吗啡卖出,从中获取高额利润。
不久之后,凯特的罪行被警察发现,等待她的是法律的严惩。
从圣洁的“白衣天使”堕落为囚徒,凯特利用职务之便作出的这件违法之事,确实发人深省。利用职务或工作之便,做违背职业道德之事,其动机与行为都是极为可恶的。
生存在这个世界上,每个人都要承担责任,当你尝试着对自己的工作负责的时候,你的生活每天都会充满阳光,你的工作也会非常有意义。对工作负责,就是对自己负责。恪守企业的商业秘密,千万不要让眼前的诱惑彻底毁掉自己的生活。
聚合中文网 阅读好时光 www.juhezwn.com
小提示:漏章、缺章、错字过多试试导航栏右上角的源