用户点评企业信息化的隐患要素

network

用户点评企业信息化的隐患要素
当前国内用户对于企业信息化的认识越发清晰，对于企业信息安全的认识也逐步提升。为此，记者根据一些企业用户的实际情况，总结了部署信息化的安全隐患，并和广大读者分享其中的经验。


当前我们谈到信息安全，已经远不是传统的防火墙+杀毒软件，除了日渐猖獗的黑客攻击，企业内网安全与内部制度的安全建设也已经被提上了日程。虽然从技术上说，“后院着火”一般不是高技术的产物，但根据IDC公布的数字，在国内的信息安全事件中，70%来自企业内部，其中又有一半左右属于“初级”的失误但却造成了严重的后果。


在这个细节决定成败的时代，在企业的安全建设中，依然遵循了这条规律。有专家曾经总结了不下数十条的安全隐患，但落实到企业中却雷声大雨点小，原因在于企业的性质不同、适合的解决方案也不同。

在此，记者根据国内用户的实际情况，将容易忽视的信息化安全隐患按行业进行总结，希望能起到一个抛砖引玉的作用。


高安全行业：金融、电信、政府、能源


安全核心：信息资产保护


安全程度：五星


隐患后果：五星


无疑，像金融、电信、政府、能源等行业由于自身的特点，对于信息安全的要求自然不低，甚至可以说从信息化开始的时候安全建设也同期上马。应该说，这些用户的安全技术水平一般都有保证，技术上不存在太大问题，但在内部安全制度管理与内网管理方面，有些地方还是有疏漏。


在这个方面，高安全行业一般都有专门的冗余备份机制，少数拥有异地远程备份平台，在这个前提下，虽然企业信息资产得到了保护，但是这并不证明就一定是安全的。根据这几个行业的统计，均有过内部员工把资料带走的现象，即便是保护的再周到，也还是有漏洞。


某股份制银行就曾发生过，资料在备份过程中流失的情况。因为该银行职员申请了光盘备份，并把文件做成特定的格式，交给网络管理员操作，然后声称不能正常打开，要求重新备份，在这种情况下，该职员就把留在光驱里的“废盘”据为己有。"


对于一些敏感的资料，有些员工可以采用压缩软件将其打包，然后通过软驱、USB存储或者直接通过电子邮件带走。为了尽可能杜绝这种情况，一些企业虽然配置了“主机终端”方式的开发、运维环境，但是少数员工将自己的笔记本电脑带入办公区，随意拷贝的现象早已不是新闻。


另外，一些政府的用户曾经发现过，少数人喜欢在配发的电脑上隐藏某些分区，以便搜集信息或者隐藏一些资料。虽然这样的方法本身比较拙劣（因为无法隐藏磁盘空间大小），但是隐蔽性较高，除非怀疑到个人，否则很难主动排查，因此已经引起了一些敏感机构的重视。


中安全行业：工商企业


安全核心：业务办公与安全流程


安全程度：四星


隐患后果：三星半


这里说的工商企业，在一些大型的、有进出口业务的企业身上更具代表性。特别是随着中国这两年经济的高速发展，国内企业与海外市场和上下游供应链的关系更加紧密，这种关系不仅是合作，还有竞争。而在此方面的信息化隐患则会直接与经济效益挂钩，有专家甚至表示，这几年“中国卖什么，什么便宜；中国买什么，什么就贵”，或多或少有一点安全的遗憾在其中。


记者曾经看过《中国财富》杂志的统计，对于这类企业，即便是一台打印机、传真机，甚至是打印纸的背面，都可能造成经济损失。


据悉，对于国内企业使用的打印设备，即便是激光打印机，普遍也存在10秒以上的延迟，如果该用户不在第9秒守在打印机的旁边，第一个看到文件的人可能就不是他了。大部分的现代化公司都使网络打印机，并且习惯将打印机、复印机等器材放在一个相对独立的空间里。于是，部门之间的机密文件就可以从设备室开始，在其他部门传播，当部门之间没有秘密，公司也就没有秘密了。


另外，对于打印纸背面的管理也不能疏忽。国内一家日资企业曾作出过规定，节约用纸仅仅限于每个员工自己使用的打印纸，其他部门的打印纸不可以混用。因为这家公司曾经将全公司的“废纸”收集在一起，结果发现打印、复印造成的废纸所包含的公司机密竟然如此全面，公司的负责人甚至直言不讳，这些废纸上的记载，比他的工作日记都全面。


对于传真机的使用，一些中小规模的工商企业必须尤为注意，因为没有专门的秘书，这些企业的员工总是在半小时后才拿到自己的传真，且总有传真是“没有人领取”的，每周一定有人收不到重要的传真。人们总是“惊奇地”发现，自己传真纸的最后一页是别人的开头，而自己的开头却怎么也找不到了。2


低安全行业：教育、医疗等事业单位


安全核心：内部安全机制规范


安全程度：三星


隐患后果：两星


对于像教育、医疗等事业单位来说，目前的当务之急仍然是信息化，虽然安全在信息化中比较重要，但是解决有无的问题来的更加实际。对于少数信息化程度较高的事业单位，安全的程度仍处于基本起步阶段，就其原因还是在于信息资产的重要性较低。


这些企业的用户认为，面对盗取信息资产的行为，破坏的可能性要更大些。因为由于企业的监控程度较低，一些受到“不公平对待”或是离开企业的员工，有可能发泄私愤，故意损坏某些信息。


有些用户认为，解聘后两小时和离职后三十天，都是信息安全的危险期。甚至有专家建议，如果某一天某一个时刻员工得知自己被解雇，那么必须禁止该员工再次打开电脑。当然，很多人认为这并不人道，但初衷很明确，就是保护信息安全。


而专家同时认为，如果员工在某一个企业服务超过两年，而该员工离职后三十天内仍和公司现有员工保持频繁的联系，并且对公司的信息和业务表现出极度的热情，那么该员工就有利用老关系窃取公司信息的可能性。


另外区别于企业用户的是，由于事业单位竞争关系较小，因此公开、共享的信息较多，在其中仍然存在很大隐患。一名来自航天研究所的用户指出，研究所为了保密，不允许员工上互联网，但是在研究所的内网上，几乎所有的秘密信息都处于共享状态。员工可以无所顾及地利用共享方式传播信息。


有专家认为，人们习惯的方式是在开放式办公室的这边，对着另一边的同事喊：“我设置共享了，你拷一下吧”。没错，会有人去拿的，却不一定仅仅是期望的人。虽然少数研究机构已经用FTP取代了共享，但还有大量的事业单位仍然没有意识到这个问题。