信息安全警世钟

富士康泄露iPad2设计图、三星泄密事件......泄密事件不断。这些信息泄露事件反映出哪些内网安全风险？前车之鉴，后事之师，频发的泄密事件给我们怎样的启示？行业专家如何看待？知名用户有何心得？在此，与大家分享近期与他们的交流所得。它山之石可以攻玉，希望通过他者的观点，能对大家有所启发，从而激发出大家内网安全防护新想法。

为何会信息泄露？

 

对于富士康泄露 iPad2设计图、三星泄密的信息泄密，青岛中集冷藏箱制造有限公司信息主任耿峰推断，他们的防泄露系统没用完全发挥作用，问题很有可能不在防泄漏系统本身，而在管理。

 

郑州三全食品股份有限公司CIO周清湘也有类似的看法，他说，员工信息安全管理观念淡薄、信息安全责任管理概念模糊、缺乏信息安全管理规范与制度、信息系统用户授权宽松而混乱、不负责任的文件传输与散播、肆意放纵对外交互工具的使用、电子文件、资料缺少加密措施是最为突出的几点内网安全风险。正是因为不注意这些因素导致严重的信息泄露事故。

 

三一重工股份有限公司研究总院信息化经理谭俊峰认为如果企业的核心技术保密等级不够，信息安全意识不强，企业在信息化过程对信息安全方面规划不到位，没有形成一套完整的信息安全体系并执行到位，那么在激烈的市场竞争中造成信息泄密的结果。

 

 

如何在无孔不入的安全威胁中避免内网安全风险？

 

青岛中集冷藏箱制造有限公司信息主任耿峰认为再好的系统也是由人来使用的，“安全以人为本”最为重要。

 

诚如耿主任所言，近年来发生的信息泄漏事件，如富士ipad泄密事件、LG等离子泄密等事件，无一例外都是因为拥有合法权限的用户，钻了企业管理流程中的空子，反映在实际情况中可能是权限控制不够严格、审计不彻底、离职权限未及时回收等。IT管理者有必要根据自身的实际需求，制定更加严谨的保密体系，并寻求技术的帮助来保证保密体系发挥作用。对于内网安全尤其应关注的“人”的因素，在目前信息化应用十分先进的背景下，也很容易造成更加严重的后果。

 

制造业信息化专家 黄培博士：先进的技术并不足以保障数据的安全，世界上也没有百分之百的安全。技术构建的壁垒总是可以被攻破的，完善的安全制度、人员的管理也非常重要，另外还要加强执行和审计的部分。制度得不到执行，就没有任何意义，审计也不能仅仅是事后再进行，要通过日常的审计工作发现潜在的威胁。

 

信息防泄漏并不是一项简单的工作，通过各种安全技术，企业可以构建起坚固的堡垒，但是仅靠技术是远远不够的，我们应当综合考虑各方面因素构建起覆盖全局的防泄漏体系，使得企业内部的操作可视化，并能根据每个部门涉密级别的不同，部署力度轻重有别的整体防护，否则它就是被绕过的马其诺防线；我们也应当注意到，坚固的堡垒往往是从内部被攻破，因此对于“人”的管理也是信息防泄漏工作中的重要一环，信息的权限管理需要根据用户不同部门和级别设置操作权限，并根据具体的情况进行动态性的调整，如及时收紧离职人员权限等，避免机密信息被随意查看、分享。