博威---云架构决胜云计算

 找回密码
 注册

QQ登录

只需一步,快速开始

搜索
查看: 2075|回复: 0

用户点评企业信息化的隐患要素

[复制链接]
发表于 2007-4-7 22:31:16 | 显示全部楼层 |阅读模式
用户点评企业信息化的隐患要素
当前国内用户对于企业信息化的认识越发清晰,对于企业信息安全的认识也逐步提升。为此,记者根据一些企业用户的实际情况,总结了部署信息化的安全隐患,并和广大读者分享其中的经验。


当前我们谈到信息安全,已经远不是传统的防火墙+杀毒软件,除了日渐猖獗的黑客攻击,企业内网安全与内部制度的安全建设也已经被提上了日程。虽然从技术上说,“后院着火”一般不是高技术的产物,但根据IDC公布的数字,在国内的信息安全事件中,70%来自企业内部,其中又有一半左右属于“初级”的失误但却造成了严重的后果。


在这个细节决定成败的时代,在企业的安全建设中,依然遵循了这条规律。有专家曾经总结了不下数十条的安全隐患,但落实到企业中却雷声大雨点小,原因在于企业的性质不同、适合的解决方案也不同。

在此,记者根据国内用户的实际情况,将容易忽视的信息化安全隐患按行业进行总结,希望能起到一个抛砖引玉的作用。


高安全行业:金融、电信、政府、能源


安全核心:信息资产保护


安全程度:五星


隐患后果:五星


无疑,像金融、电信、政府、能源等行业由于自身的特点,对于信息安全的要求自然不低,甚至可以说从信息化开始的时候安全建设也同期上马。应该说,这些用户的安全技术水平一般都有保证,技术上不存在太大问题,但在内部安全制度管理与内网管理方面,有些地方还是有疏漏。


在这个方面,高安全行业一般都有专门的冗余备份机制,少数拥有异地远程备份平台,在这个前提下,虽然企业信息资产得到了保护,但是这并不证明就一定是安全的。根据这几个行业的统计,均有过内部员工把资料带走的现象,即便是保护的再周到,也还是有漏洞。


某股份制银行就曾发生过,资料在备份过程中流失的情况。因为该银行职员申请了光盘备份,并把文件做成特定的格式,交给网络管理员操作,然后声称不能正常打开,要求重新备份,在这种情况下,该职员就把留在光驱里的“废盘”据为己有。"


对于一些敏感的资料,有些员工可以采用压缩软件将其打包,然后通过软驱、USB存储或者直接通过电子邮件带走。为了尽可能杜绝这种情况,一些企业虽然配置了“主机终端”方式的开发、运维环境,但是少数员工将自己的笔记本电脑带入办公区,随意拷贝的现象早已不是新闻。


另外,一些政府的用户曾经发现过,少数人喜欢在配发的电脑上隐藏某些分区,以便搜集信息或者隐藏一些资料。虽然这样的方法本身比较拙劣(因为无法隐藏磁盘空间大小),但是隐蔽性较高,除非怀疑到个人,否则很难主动排查,因此已经引起了一些敏感机构的重视。


中安全行业:工商企业


安全核心:业务办公与安全流程


安全程度:四星


隐患后果:三星半


这里说的工商企业,在一些大型的、有进出口业务的企业身上更具代表性。特别是随着中国这两年经济的高速发展,国内企业与海外市场和上下游供应链的关系更加紧密,这种关系不仅是合作,还有竞争。而在此方面的信息化隐患则会直接与经济效益挂钩,有专家甚至表示,这几年“中国卖什么,什么便宜;中国买什么,什么就贵”,或多或少有一点安全的遗憾在其中。


记者曾经看过《中国财富》杂志的统计,对于这类企业,即便是一台打印机、传真机,甚至是打印纸的背面,都可能造成经济损失。


据悉,对于国内企业使用的打印设备,即便是激光打印机,普遍也存在10秒以上的延迟,如果该用户不在第9秒守在打印机的旁边,第一个看到文件的人可能就不是他了。大部分的现代化公司都使网络打印机,并且习惯将打印机、复印机等器材放在一个相对独立的空间里。于是,部门之间的机密文件就可以从设备室开始,在其他部门传播,当部门之间没有秘密,公司也就没有秘密了。


另外,对于打印纸背面的管理也不能疏忽。国内一家日资企业曾作出过规定,节约用纸仅仅限于每个员工自己使用的打印纸,其他部门的打印纸不可以混用。因为这家公司曾经将全公司的“废纸”收集在一起,结果发现打印、复印造成的废纸所包含的公司机密竟然如此全面,公司的负责人甚至直言不讳,这些废纸上的记载,比他的工作日记都全面。


对于传真机的使用,一些中小规模的工商企业必须尤为注意,因为没有专门的秘书,这些企业的员工总是在半小时后才拿到自己的传真,且总有传真是“没有人领取”的,每周一定有人收不到重要的传真。人们总是“惊奇地”发现,自己传真纸的最后一页是别人的开头,而自己的开头却怎么也找不到了。2


低安全行业:教育、医疗等事业单位


安全核心:内部安全机制规范


安全程度:三星


隐患后果:两星


对于像教育、医疗等事业单位来说,目前的当务之急仍然是信息化,虽然安全在信息化中比较重要,但是解决有无的问题来的更加实际。对于少数信息化程度较高的事业单位,安全的程度仍处于基本起步阶段,就其原因还是在于信息资产的重要性较低。


这些企业的用户认为,面对盗取信息资产的行为,破坏的可能性要更大些。因为由于企业的监控程度较低,一些受到“不公平对待”或是离开企业的员工,有可能发泄私愤,故意损坏某些信息。


有些用户认为,解聘后两小时和离职后三十天,都是信息安全的危险期。甚至有专家建议,如果某一天某一个时刻员工得知自己被解雇,那么必须禁止该员工再次打开电脑。当然,很多人认为这并不人道,但初衷很明确,就是保护信息安全。


而专家同时认为,如果员工在某一个企业服务超过两年,而该员工离职后三十天内仍和公司现有员工保持频繁的联系,并且对公司的信息和业务表现出极度的热情,那么该员工就有利用老关系窃取公司信息的可能性。


另外区别于企业用户的是,由于事业单位竞争关系较小,因此公开、共享的信息较多,在其中仍然存在很大隐患。一名来自航天研究所的用户指出,研究所为了保密,不允许员工上互联网,但是在研究所的内网上,几乎所有的秘密信息都处于共享状态。员工可以无所顾及地利用共享方式传播信息。


有专家认为,人们习惯的方式是在开放式办公室的这边,对着另一边的同事喊:“我设置共享了,你拷一下吧”。没错,会有人去拿的,却不一定仅仅是期望的人。虽然少数研究机构已经用FTP取代了共享,但还有大量的事业单位仍然没有意识到这个问题。
您需要登录后才可以回帖 登录 | 注册

本版积分规则

小黑屋|手机版|Archiver|boway Inc. ( 冀ICP备10011147号 )

GMT+8, 2024-11-27 10:11 , Processed in 0.090813 second(s), 16 queries .

Powered by Discuz! X3.4

Copyright © 2001-2021, Tencent Cloud.

快速回复 返回顶部 返回列表