保护岌岌可危的信息

考研泄题，深圳15万新生儿信息遭泄漏，招行、工行等银行内部员工泄露用户信息……2012年刚一开始，接二连三的信息泄露事件就向我们昭示着，对于信息安全来说，这一年将不会风平浪静。

 

不管是个人信息还是企业内部信息，其价值所在我想无需多提。而信息泄露所造成的影响更是难以估量的，尤其是对设计、研发等拥有自主产权的企业而言，信息泄露对他们造成的损害可说得上是致命的。

 

近期被曝出的多个企业内部信息泄露事件警示着我们，企业时刻面临着各种泄密风险，如何保护好内部信息的安全迫在眉睫。而如今我国在法律层面上对信息尤其是企业内部信息的保护还远远不够，企业更多需要靠自身努力，采取相应的防护措施，防止信息外泄。

 

保护内部信息安全，还是那句老话，需要技术手段以及管理制度相互配合，缺一不可。

 

从技术层面上来说，要防止信息外泄，首先需要“摸清家底”，对企业内部的信息情况、安全状况了解清楚，以便采取相应的措施，否则安全防护将变成“无的放矢”，事情做了，却没有收到实效。

 

家底摸清后，根据每个部门的具体情况，采取相对应管理措施，对网络边界、设备、终端等进行严格、细致的权限管控并详细记录这些操作。

 

对于企业信息安全防护而言，严格而合理的权限控制是必不可少的。如315曝出的招行、工行内部员工泄密事件是通过打印后扫描以及邮件等方式泄露出去的，如果当初对打印、邮件等信息流转渠道进行严格权限控制，或许就能及时遏止泄密事件的发生。对于存放着大量核心、敏感信息的系统，如银行的“个人征信系统”，也需要采取防护措施，如结合IP-guard的透明加密以及安全网关，保护服务器上核心信息在终端使用的安全。

 

采取防护措施之后并不意味着信息防泄漏工作就完了，还需要对内部操作的记录进行定期审计，这是企业信息防泄漏中最关键的一环。通过审计，企业可发现异常情况以及新的安全威胁，及时调整安全策略，防范于未然。像此次315中曝出的招行、工行内部人员是通过打印、邮件等方式将信息外泄的，相信他们如此操作并不是一次两次，如果能定期对内部操作尤其是能接触敏感信息的人员行为进行详细审计，相信不难发现异常情况。导致安全事件发生的不是难以解决或不可避免的技术原因，往往都由于企业疏于防范。

 

除了借助技术上的支持外，信息安全还需要管理层面的辅助。比如建立系统的信息防泄漏流程，明确权责，保证信息安全工作的有效实施；与员工签署保密泄密，建立奖罚制度，让他们认识到泄露信息的严重性；当然，为员工提供安全培训也是不可忽略的，提高大家的意识，并参与到信息安全保护工作中去。

 

保护企业信息安全，需要企业管理者的重视，IT人员的执行以及其他部门的参与，所谓“安全事，人人事”。老黄也将在下一篇博文中为大家聊聊如何做到“安全事，人人事”，对此感兴趣的博友们，敬请期待。