文/ 特约记者 陈识
2010年8月5日,英国路透社披露消息,因向力拓员工泄漏商业机密,首钢国贸公司总经理助理兼矿业部部长谭以新,一审被判处有期徒刑3年半,并罚款30万元;山东莱钢旗下国际贸易公司国际海运部经理王洪九被判有期徒刑4年,罚款40万元。看来尽管已经经过公开审理,历时一年多的力拓案仍然没有尘埃落定。几个月前的3月29日,上海市第一中级人民法院对被告人胡士泰等非国家工作人员受贿、侵犯商业秘密案作出一审判决,分别以非国家工作人员受贿罪、侵犯商业秘密罪,判处被告人胡士泰有期徒刑10年;另外三人判处14年到7年不等。根据审理法院的宣判,力拓案中,商业机密的泄漏给中国钢铁行业带来了巨大损失,使中国企业在铁矿石谈判中处于不利地位。因为力拓案四名案犯的犯罪行为,导致去年有逾20家中国钢铁企业为铁矿石进口多支付了10.2亿元人民币。罪魁祸首绳之以法并陆续落网,当然很好,但这毕竟是“迟到的正义”,巨额经济损失无法挽回,其对整个行业造成的负面影响也难以平复。可以说,以力拓案为典型的相关事件为我国企业的信息安全敲响了警钟。
目前,对信息安全的定义,一般主要针对于具体的信息安全技术系统的安全和某些特定的信息体系(如银行系统、军事指挥系统)的安全,具体说来,企业的信息安全可以大致归纳为三个方面:一是信息内容的安全,应做到数据和文件安全传输、存储,不泄密,不丢失,不损坏。二是信息系统的安全,应做到网络运行畅通、稳定、可靠,确保信息和处理方法的准确和完善,使信息仅能让授权人访问,防止病毒及黑客侵入,提高保密性。三是信息管理的安全,应做到安全制度严密,控制措施有效,无人泄密。而前两方面都涉及到技术层面的保障,这让信息安全看起来像一个技术问题,“工欲善其事,必先利其器”,保障信息安全系统的技术当然重要,但是技术是为人利用和服务的,相比于硬件型的技术基础支持,由人所主导的信息安全组织和管理更具有可操作的弹性空间,因此更加值得我们重视。我国企业信息安全问题现状并不乐观,尤其是中小企业,由于信息化水平仍处于初级阶段,还存在着很多亟待解决的问题,比如投入资金不足、信息专业技术人员缺乏、法规与政策环境不完善、社会化服务体系不健全等等,其中信息化安全管理存在的问题至关重要,关系到中小企业信息化的成败。
在企业信息安全中,从战术上说,制度是基础支撑,技术是外部保障,而有效的管理就是通过驾驭和协调二者,进行合理的资源配置,在企业信息安全与效益中寻找最佳平衡点,因此要考虑涉及到技术、制度、管理等多方面因素,三者相辅相成,缺一不可。而从战略上讲,既要主动出击,建立健全关乎企业信息安全的各种机制,又要学会防守,善于发现并解决企业内常见的威胁信息安全的管理漏洞,攻守兼备方可成功。本文将针对一些企业在信息安全方面遇到的常见问题为您介绍一些攻守策略。
攻略一:企业信息安全体系的建立
解决信息安全问题,从管理层面上看,应该从管理的战略高度上重视信息安全,把信息安全提高到企业商业秘密保护的高度上,比如在企业审计过程中进行信息安全的审计。从技术层面上看,要利用相应的安全技术解决信息安全问题,这样才能让信息安全落地,如防火墙、入侵检测、传输安全、数据库安全、内部用户的上网行为管理等,并且需要动态地跟踪技术的进步。但技术不是目的,应该围绕业务保障应用安全,再进一步促进应用的拓展。
而合理的管理和先进的技术得以发挥作用的基础在于企业信息安全制度体系的建立。这就包括很多方面:1.要建立安全事件应急管理机制,制订信息化安全应急预案,提高信息安全应急响应速度。2.建立集中化管理控制机制。将数据安全控制进行集中化管理,以确保安全防范策略能够由上至下全面贯彻执行。将加密密钥进行集中化管理,可以防止由于人为错误而造成加密密钥的丢失带来的数据安全风险,也可防止与其他的加密策略相互冲突和不兼容。3. 在具体工作上明确信息安全等级,根据各个应用系统的不同特点来定位需要哪种安全服务种类。这样划分等级也可以降低企业在信息安全上的成本。4.有备无患,强化重要信息异地数据备份与灾难恢复机制,为信息系统的安全可靠运行提供保障。5.加强信息安全风险评估工作,定期对信息系统进行安全风险评估,提高安全风险预防能力。6.引进相关技术和管理人才,细分其职能权限。
攻略二:重视企业信息 情报机构的建设
知己知彼,百战不殆。保障企业信息安全,除了建立稳固的安全管理体系,还应主动出击,组建企业的信息安全情报部门,这也是力拓案给我们的重要教训之一。目前,世界500强企业大多都在香港设立了办事处,他们的主要任务就是为各自的企业收集回中国最新的经济信息。正如宝山钢铁集团公司情报中心主任薛祖华所说,“如果说企业的决策者是人的大脑,那么企业的情报部门,就是人的眼睛和耳朵,耳聪目明,才能为大脑做出决策,减少风险,增加机遇。企业在没有情报分析的情况下做出的决策,肯定是有重大缺陷的决策,也必将在商业竞争中被淘汰出局。”当然,这也应视企业自身情况而定,一些中小企业可能缺乏资金人力难以建立独立的情报机构,但是最好要有负责相关工作的人员,增强企业竞争情报的意识对信息安全的保障至关重要。
攻略三:强化信息安全管理的教育 增强信息安全意识
首先需要明确的一个理念是,真正的安全是一种意识,并非技术,不存在一种技术能真正保证绝对的安全。以“力拓案”为代表的企业信息泄密很大程度上就是企业内部从管理人员到普通员工集体安全意识缺乏的恶果。据统计,我国商业秘密刑事案件中有60%与人才跳槽有关,80%以上的商业秘密外流案件由内部员工引起,因此教育的强化和意识的增强并不是大而空的泛泛而谈,而是支持硬性的体制有效执行和技术充分利用的基础。因此,需要加强信息安全宣传工作,营造安全风险防范从我做起的氛围,增强所有员工对信息安全重要性的认识,要把信息化安全教育列入企业员工教育培训计划,加强互联网和信息安全知识的普及工作,增强员工信息安全意识,提高员工的信息安全防范能力。同时明确完善的奖惩制度,增强员工团队凝聚力和对企业的认同力,辅助员工信息安全意识的强化。
守略一:企业内部存储设备管理
目前,由于计算机已经应用于企业运作的各个方面,而存储在某台计算机上的重要文件、数据等信息的泄漏却难查觉,往往造成影响或损失时才被发现。由于许多企业对移动存储设备(笔记本电脑、智能手机、U盘、移动硬盘、MP3等)的使用没有任何规定或执行不力,增加了企业内部人员依靠这些移动存储设备对重要文件或数据的泄露窃取的可能性。同时,企业内部人员也可以通过内部网络非法获取重要信息并利用互联网的邮件等功能传输到企业外部。另外,员工在企业内外部滥用移动存储设备,导致病毒漏过企业设置的病毒防火墙,而直接在企业内部传播。
守略二:密码设置
对计算机密码的设置也是信息安全的重要方面。无论是操作系统,还是管理信息系统,都要考虑对密码复杂度的限制。密码过于简单或长期使用同一密码会带来很大安全隐患。在信息系统开发时,应该对用户密码做到如下限制:设置密码长度的最少位数,以及密码的复杂程度要求。否则,密码长度太短或者过于简单有规律,都很容易被猜出;设定一个密码更新时间,以防止长期使用同一密码造成的安全隐患;密码输入错误的次数限定。当密码输入错误超过限次时,要锁死系统。在该用户重新进入系统时要由管理人员开启,以防止非法用户用猜码的方式登录系统。
守略三:控制访问权限和上网行为
非授权访问也是企业机密信息可能发生安全隐患的主要问题,因此企业权限管理应得到足够重视,必须明确界定每个员工工作的权限。许多企业对操作权限有一定的设置要求,必须注意以下常见现象:员工享有的操作权限重复,导致责任不明。在企业使用的Windows操作系统中,用户具有管理员的权限,既可以随意地下载和安装软件,也可修改系统的配置,甚至可以擅自修改IP地址,造成IP地址的冲突等。公司辞退员工,没有及时变更计算机登录权限。企业在手工过渡到信息化时,为了不对现有的利益产生不良反应,在权限分配上基本模拟手工方式,这些对企业信息安全都会造成一定的影响。与此相关的一个可能常见的问题是,企业员工随便使用企业计算机网上冲浪、使用和下载软件和文件、发送电子邮件等,除了影响工作效率外,更是孳生电脑病毒的温床,对企业信息安全有很大威胁。因此应通过技术与管理等手段,控制这种行为,同时严格控制企业外部传来的文件。