“力拓門”暴露信息安全漏洞

李　敬

觀點(diǎn)

企業(yè)在不斷完善自身信息安全的軟、硬件建設(shè)的同時(shí)，還更應(yīng)該完善自身內(nèi)部保密規(guī)章制度，特別要落實(shí)的就是對(duì)信息的使用者及其載體——終端，進(jìn)行監(jiān)控和審計(jì)。

近來，“力拓門”被炒得沸沸揚(yáng)揚(yáng)，事件的焦點(diǎn)之一就是“在力拓上海的辦公室電腦中發(fā)現(xiàn)了大量涉及中國(guó)鋼鐵企業(yè)的秘密數(shù)據(jù)”。事件的原委尚無官方說法，但這并不影響我們對(duì)此事所暴露出的商業(yè)機(jī)密保護(hù)問題進(jìn)行探討，而透過“力拓門”，我們更看到了網(wǎng)絡(luò)時(shí)代我國(guó)企業(yè)和事業(yè)單位核心信息系統(tǒng)存在的安全管理漏洞。

然而，據(jù)筆者調(diào)查，這兩年內(nèi)，信息泄露、篡改等安全問題屢見不鮮。從深圳某醫(yī)療機(jī)構(gòu)孕婦信息的“泄密光盤”，到車主、股民的信息泄露; 從福彩中獎(jiǎng)信息篡改，到“力拓門”事件，以及最近的外媒“精確預(yù)測(cè)”我國(guó)GDP事件，個(gè)人隱私、企業(yè)商業(yè)秘密，甚至國(guó)家政府的核心機(jī)密，都出現(xiàn)了不同程度的信息安全問題。

對(duì)此，信息安全界也推出不少信息保護(hù)技術(shù)、產(chǎn)品和解決方案，然而，各單位的信息系統(tǒng)卻依然受到竊密者的威脅，而且往往是從“堡壘”內(nèi)部攻破的。那么，如何才能真正行之有效地杜絕漏洞、保護(hù)信息的安全呢？

前不久，筆者和網(wǎng)御神州的一位安全專家聊起此話題，這位專家說，目前企業(yè)在信息安全建設(shè)上普遍存在“重技術(shù)、輕管理”，“重建設(shè)、輕使用”的問題。企業(yè)往往“趕時(shí)髦”，配置很多先進(jìn)的技術(shù)，但內(nèi)部的安全管理制度并未隨之完善; 而由于沒有一套行之有效的信息監(jiān)管方案，很多昂貴的安全設(shè)備也都成了擺設(shè)。

的確，我們的企業(yè)在不斷完善自身信息安全的軟、硬件建設(shè)的同時(shí)，更應(yīng)該完善自身內(nèi)部保密規(guī)章制度，特別要落實(shí)的就是對(duì)信息的使用者及其載體——終端，進(jìn)行監(jiān)控和審計(jì)。

因?yàn)榻^大部分機(jī)密信息的泄漏都是內(nèi)部人員造成的，而這些內(nèi)部人員往往都是從終端將信息傳播出去。在這個(gè)層面，信息保護(hù)就是要對(duì)人和終端進(jìn)行管理。對(duì)人，要加強(qiáng)人員的安全保密意識(shí)培訓(xùn)，并且要制定令行禁止的安全制度。對(duì)終端，就需要建立一套面向終端安全的管理系統(tǒng)，包括終端接入的控制、外設(shè)接入控制、終端加固和運(yùn)行監(jiān)控等。終端管理的目的是確保終端的合法使用者無法違規(guī)，同時(shí)確保其他非法人員無法利用終端自身的漏洞進(jìn)行違規(guī)操作。

另外，企事業(yè)單位先后部署的防火墻、入侵檢測(cè)系統(tǒng)、VPN、核心業(yè)務(wù)保護(hù)系統(tǒng)、上網(wǎng)管理系統(tǒng)等，雖然增強(qiáng)了某個(gè)方面的安全，卻形成了一個(gè)個(gè)安全防御孤島，無法產(chǎn)生協(xié)同效應(yīng)。而且這些復(fù)雜的IT計(jì)算環(huán)境及其安全防御設(shè)施在運(yùn)行過程中不斷產(chǎn)生大量的安全日志和事件，使管理人員面對(duì)這些數(shù)量巨大、彼此割裂的安全信息時(shí)難以發(fā)現(xiàn)真正的安全隱患。對(duì)此，我們的企業(yè)更需要一個(gè)統(tǒng)一的安全審計(jì)平臺(tái)，針對(duì)核心基礎(chǔ)設(shè)施的日志進(jìn)行統(tǒng)一的收集、審計(jì)和分析。