| 对于陈冠希艳照泄漏的根源,坊间流传着不同的版本:电脑送修时看管不严、黑客入侵、废弃硬盘等等,但归根结底,都是安全意识淡薄或保护手段不力所致。“艳照门”的影响终将淡去,但对于企业而言,陈冠希的狼狈无奈正为我们长期忽视信息安全的企业敲响了警钟。 国家计算机网络应急技术处理协调中心的《网络安全工作报告》指出,各种网络安全事件都有显著增长,仅在2007年上半年,网络仿冒事件和网页恶意代码事件已分别超出2006全年总数14.6%和12.5%,被植入木马的主机IP远远超过2007年全年,增幅达21倍,而且攻击者的目标越来越明确、攻击手段越来越多变、而攻击行为的趋利化特点表现得也越来越明显……面对越来越猖獗的网络勒索、信息犯罪,许多专家感叹,信息安全将逐渐成为中国企业的阿喀琉斯之踵,也许,在不久的将来,许多企业版的“艳照门”将会陆续上演。 从信息经济学的角度来看,信息资产(Assets)、其所受的威胁(Threats)以及风险防范措施(Risk management)构成了信息安全体系最核心的三要素,而在这三方面,中国企业普遍存在着三大误区: 一、信息资产角度 在理念上对信息资产认识不足,企业内部缺乏管理信息资产的专门组织。对一个组织而言,信息和其他商业资产一样有价值,信息也是一种资源、一种资产,甚至信息可能比其他资产更具价值,需要像对待资金一样重视、保护。许多企业家都研习过木桶理论,但信息时代的新木桶理论告诉我们,一个木桶能不能装水,装多少水,除了看最短的木板之外,还要看其他一些关键的因素:一是这个木桶是否有坚实的底板,二是木板之间是否有缝隙。在信息时代,信息资产就是企业这个木桶的底板,而信息资产的保护体系是否得当,便决定了木桶的各个木板间结合得是否紧密。 99%的企业家都缺乏一个意识:在信息时代,信息资产才是一个企业最宝贵的资产!因此,企业应该在组织上进行调整,在决策层给信息安全工作以一席之地。在西方企业中,一般都由管理层牵头、组织专门的信息安全管理小组来讨论和批准信息安全策略、分派安全任务、协调安全工作的实施,这样才能高效应对层出不穷的信息威胁。 二、信息威胁角度 在工作重心上重硬轻软、重外轻内,缺乏有效应对信息威胁的管理模式。信息资产是非常脆弱的,各式各样的威胁行为都可能会对信息资产造成无可挽回的损失。信息安全的作用便是要保证信息资产的保密性、完整性,一个完善的信息安全系统,必须符合“五不原则”: 1. 进不来,通过物理隔离等手段,阻止非授权用户进入网络。 2. 拿不走,使用屏蔽、防下载机制,实现对用户的权限控制。 3. 读不懂,通过认证和加密技术,确信信息不暴露给未经授权的人或程序。 4. 改不了,使用数据完整性鉴别机制,保证只有允许的人才能修改数据。 5. 跑不掉,使用日志、安全审计、监控技术追踪进攻者,并通过证据的保存使得攻击者不能抵赖自己的行为。 信息安全不仅是一个技术问题,也是一个管理问题,技术是手段,而管理是基础。中国企业在信息化建设中普遍重硬件、轻软件,许多企业认为买了几台电脑、建了个局域网,能够接入互联网就是实现了信息化,IT人员在企业中没有相应的地位,很多打着信息经理、信息主管头衔的IT人实际上只是“高级硬件佬”,装装软件、修修硬件、最多进行些简单的网络维护。与此同时,中国企业在信息风险防范上普遍重视对外部攻击的防御,而忽视了对内部员工的管理。许多企业总是把注意力集中在防火墙是否完善、杀毒软件是否先进上。但西方成功企业的经验表明,信息化实施,三分技术,七分管理,安全事故75%是由于疏忽造成,25%才是来自于外部的攻击,大部分的信息安全问题是由于企业没有必要的安全管理制度而产生的。例如,企业员工利用工作电脑上网聊天玩游戏、浏览不良网站、擅自下载安装软件、未经允许拷贝敏感文件,甚至使用黑客软件等,这些行为如果不能有效制止,会大大增加信息网络的风险。 先进的信息安全技术是必须的,但要保障信息安全,仅仅依靠技术上的优势是远远不够的,只有建立一套科学的信息安全管理体系,才能从管理上、程序上确保信息的安全。如果企业有比较系统全面的信息安全制度,并能在企业内部得到贯彻执行,90%的信息安全威胁都是可以避免的。因此,建立一个全面系统、有整体规划的信息安全管理体系,才是保障企业信息系统与业务的安全与正常运作的关键所在。 三、风险防范角度 在具体做法上重细节轻体系,缺乏信息安全的规范流程和标准。中国企业的信息风险防范工作,往往给人以顾头不顾尾的感觉,许多IT人员都在抱怨:“今天让我们打系统补丁,明天让我们升级杀毒软件,一天到晚疲于奔命。但做事越多,要做的事情也越多,安全事故还是一波未平一波又起,我们都变成专业打杂了。”其实,做好信息安全工作,关键是要建立一个内部控制的标准,这样才能治标治本地解决安全问题。 为了更好地进行信息安全管理和信息安全体系的建设,国际上也出台了相应的安全标准,其中BS7799是世界上应用最广泛的信息安全管理标准,至2005年全部被国际标准化组织吸收,形成了ISO/IEC2700l:2005信息技术—安全技术—信息安全管理体系要求和ISO/IECl7799:2005信息技术—安全技术—信息安全管理实施细则两个国际标准。它包括11个控制领域、39个控制目标和133项控制措施,能为企业提供全方位的信息安全保障。 简单地说,ISO27001标准便是要求企业首先通过规范的信息安全管理体系风险评估流程(见图1),识别、控制信息风险,而后建立策略、组织、操作和技术四个风险管理的框架层次。 1. 策略架构:体现整个组织的信息安全方针、标准、制度、规范、指南等。 2. 组织架构:建立有效的信息安全组织,并赋予组织中的人员明确的角色和职责,实施安全教育,提高全员的安全意识。 3. 操作架构:用户管理、物理和环境安全,系统的开发和维护,业务的持续性等。 4. 技术架构:网络安全的最新技术和产品。 总之,中国企业只有先在意识上认识信息资产的重要性,在组织架构、管理模式和管理流程上做出应有的改进,才有可能在新的时代里打赢信息安全这场无硝烟的战争。 更多资讯请关注销售与市场微信公众号。  责任编辑: 赵艳丽 责任校对: 肖亚超 审核:徐昊晨 免责声明:本网部分文章来源于第三方平台,不代表本网观点,如有侵权请联系我们删除! |
销售与市场官方网站
( 豫ICP备19000188号-5 ) 
GMT+8, 2025-5-2 22:35 , Processed in 0.046022 second(s), 19 queries .
Powered by 销售与市场网 河南销售与市场杂志社有限公司
© 1994-2021 www.cmmo.cn
