 |
|
| | 网站首页 | 生物 | 医学 | 药学 | 产业 | 健康 | 考试 | 实验 | 图库 | 科普 | 人才 | 服务 | 论坛 | 热点调用 | |
|
||||||
|
||||||
| 解读信息安全公式 | |
| 作者:admin VIP服务来源:本站原创 点击数: 更新时间:2004-10-26 【我要评论】 【字体:小 大】繁體 | |
|
信息安全公式: 信息安全=先进技术+防患意识+完美流程+严格的制度+优秀的执行团队+法律保障 加强意识 防患未然 所指向的信息威胁远远超过黑客攻击、病毒肆虐的范畴,信息安全也远不是“技术”二字可以解决的问题。我们自己的安全自然要加倍保护,而首先即是加强防患意识,不要在技术上已近乎完美,却因一时疏忽而满盘皆输。千万不要像有些公司的总裁,严格规定不允许任何员工随意进入自己的办公室,但却忘了防范清洁工;也不要像有些银行完全有能力向NEC购买故障率为千万分之一的服务器,却使监控录像带轻易流入二手市场;不要等到某一天公司的一个普通员工捧着一叠董事会的协议交给你,说是从他身旁的打印机取出来的;也不要等到竞争对手对自己第二年的战略规划已了如指掌,只因花几百元买通普通员工轻易取走了你上一年的人事变动情况表,才恍然大悟。 金诺网络安全技术有限公司(KINGNET SECURITY INC.)总裁金波说:“国内许多企业缺乏的是安全意识的培养。举个很简单的例子,黑客攻击往往利用的是最古老的漏洞。可以看出,这种安全问题绝不是技术层面上的。”而那些购买了瑞星、金山的杀毒软件后从不升级的企业,在遇到最新病毒时无法应对则是缺乏意识的另一个印证。危机总是在你意识最薄弱的时候发生,不要等到中毒后才开始寻找解药。 规范制度 确保实施 意识之后,就是制度和执行的问题。 本刊记者专访首次来华的麦格劳希尔公司全球CIO Mostafa Mehrabani时,这位曾被评为世界百名信息技术最佳领袖,带领全球技术队伍为公司以及所有客户提供信息解决方案的CIO一开始就提出保卫信息安全的四大要素:技术、制度、流程和人。 “合适的标准、完善的程序、优秀的执行团队,是一个企业信息化安全的重要保障。技术只是基础保障,技术不等于全部,很多问题不是装一个防火墙或者一个IDS(Intrusion Detection System 入侵检测系统)就能解决的。在组织架构上,我们有两个小组,一是规模较小的一组人,专门制定安全政策和规则,另外一组是负责执行的员工,分散在软件、硬件以及网络等相应部门。制度很重要,而如何执行这个制度更为重要,没有执行一切都为零。我们能保证一旦遇到紧急情况,散落在各地的应急响应小组能在最短时间内集合起来。一旦有成员违反规定,我们将有十分严格的惩罚措施。” 安氏CTO陈政表示:“给企业提供的安全服务再周到,如果企业的执行力度不够,只能发挥其中的一小部分功能,1加1不一定等于2。” 任何问题归根到底都是人的因素,加强对员工的管理,对企业管理者来说比单纯购买产品或者制定规则重要得多,像我们国家许多保密部门信息化安全部署得很全面,但只要一个员工不按规定办事,上班时偷偷连上外网,机密很有可能就这样流出。“本来以为规定就足够了,但是人的心理是没办法监控的。所以对人的管理应该是信息安全最为重要的问题。”许教授说。 电子取证 法律结合技术解决安全问题 而对人的管理还需要通过法律来约束,前提又是技术做保障。 当年,安然公司为了销毁证据,公司里的碎纸机整天不停地高速运转,大量文件资料被销毁,却不能公然焚烧,他们就把这些碎纸装进麻袋里,放在卡车上,装了好几辆卡车,装上卡车又不知道往哪儿开。于是公司高层下达命令,让这些满载碎纸的卡车在高速公路上开下去,一直开了一两个星期…… 另一方面,公司电脑存有大量重要资料,包括财务报表等,他们必须销毁这些证据。FBI预料他们要进行大规模的破坏,卡车是找不到了,但电脑跑不了。他们就以最快速度赶到公司,一个早晨便将100台电脑全部封锁。当场运用取证技术,电脑有无口令都无所谓,因为可以直接把硬盘镜像过来。这种技术原理不复杂,相当于照一张相,而现场不加任何改动。镜像后加自己的软件,对磁盘结构进行专门分析,研究删除的文件怎么恢复,最终获得大量辅助证据。 电子取证技术已经在辅助公安部侦破犯罪方面发挥了很大的功效。在我国,许榕生教授和他的学生们恰好正在研究这个课题并计划投入生产。许教授说:“这种取证技术可以记录黑客入侵的每个行为,时间精确到秒,而且还可以恢复已被删除的文件。”许教授目前正在研究“白匣子”。与“黑匣子”记录黑客入侵行为不同,“白匣子”专门记录知识产权。“如果你的文件在这个匣子上拷贝一次,就留下证据,后面的人如果拿不出其他证据证明在之前拷贝过,就足以证明它的产权是你的。”对员工的每一次拷贝行为都有记录,那么再处理员工偷盗问题时,就有技术和法律做保障,加上制度的制定以及对员工价值观的培训,企业信息安全防线就会更加稳固。 我们终究不能像电影《黑衣人》或者《记忆的裂痕》那样,通过消除员工的记忆来保证企业机密不被泄露,我们也永远无法阻止地震或火灾的发生,但是我们有办法让我们的企业更安全。 信息块: 企业信息安全重要附加提示: 在越来越依赖信息化的今天,企业不要完全放弃传统方式。 在校学生王臻在国内一家著名证券公司实习时,曾亲身经历了证券公司一次停电事故。王臻回忆说:“当时主机和副机同时停止运转,股民马上产生骚动。总经理给副经理打电话,两人在3分钟之内做出决定,改用手工操作、人工报盘的形式,打电话了解行情。整个断电过程持续了3小时,但是我们几乎没有遭受任何损失,第二天媒体也未对此事进行报道。” 在把企业信息工作外包给技术公司时,要把核心业务牢牢掌握在自己手中。 上海农工商超市主管信息化的周勇说:“像我们的核心资源商店、门店、以及总部信息都有我们自己来做,包括配送中心。而像电子商务、财务、人力资源、呼叫中心、供应链等就外包出去。这样做主要从安全的角度来考虑,自己永远要掌控最核心的信息资源。” 与数据备份相比,人员备份更为重要。 周勇还说:“除了数据备份,人员的备份也非常重要。即做信息安全的人,两个人的权限有交叉,那么就不怕人员的流动。”另外,在亿阳集团工作的刘然说:“探讨信息安全,一个最重要的环节是对管理员自身的管理。管理员本身就是漏洞。其他人都不能上网,但是管理员自己能。当老总不懂这些时,管理员的权限就无限扩大了,一旦管理员自己出了问题,后果将更加严重。” |
|
| 【发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口】 | |
|
文章评论 |
(评论内容只代表网友观点,与生物谷立场无关!) |
