车志刚 刘宏伟

　　危机也许就在身边

　　2005年6月，美国发生了一起4000万个信用卡账户资料被盗的事件，这是有史以来最严重的信息安全案件。随着美国联邦调查局介入调查，更多的细节被披露。原来，漏洞出在为万事达、维萨和美国运通卡等主要信用卡进行数据处理服务的“卡系统”公司，它的网络上被恶意黑客植入了木马程序。

　　“卡系统”公司负责审核商家传来的消费者信用卡号码、有效期和验证码等信息，审核后再传送给银行完成付款手续。这家公司最近处理的4000万信用卡账户的号码和有效期等已被木马程序“一览无余”，其中包括2200万个维萨卡账户、1390万个万事达卡账户。安全专家确信：已有20万个账户的信息被转移出去，可能被恶意黑客出售或盗用消费，因此处于“高度危险”状态。

　　原来，是这家公司违反数据安全规定留下了隐患。万事达卡公司等信用卡发行机构，要求“卡系统”公司处理的数据不得过夜保存，但这家公司为进行市场研究，自己保存了所有经手的账户信息，而且这些数据不加密、不保护就存储在公司电脑中。而公司的网络又建立在经常暴露出安全漏洞的“WINDOWS2000”操作系统之上，也没有及时更新升级。这都让恶意黑客有机可乘。

　　而在这些技术性漏洞背后，暴露的是企业对信息安全的忽视和侥幸心理。

　　虽然上面的案例存在特殊性，但这种对信息安全的忽视和侥幸心理却普遍存在于企业当中，“我们只是个制造业或服务业的中小企业而已，黑客攻击离自己还很遥远”，这正是许多企业的普遍心态。

　　也因为这种心态的普遍存在，世界上每分钟都有两个企业因为信息安全问题倒闭，有11个企业因为信息安全问题造成大约800多万美元的直接经济损失……也许出乎你的意料，但却是事实。

　　随处可见的安全隐患

　　一边是安全防范意识的薄弱，另外一边则是残酷的事实。

　　敌人随时都在瞄准你的任何一个漏洞，一个细节的失误，足以一分钟毁灭你的公司，一个信息就可以左右企业的成败。这个信息在自己手里是王牌，在对手手里是炸弹。

　　在如今的互联网时代，全球范围的网民数量近7亿，而黑客网站高达20多万个。经常出现的网络安全事件，如：网页篡改、网络蠕虫、特洛伊木马、计算机病毒等，严重干扰了网络的正常运作，一些大型的著名网站也经常遭受影响。间谍软件如今也从几年前的边缘角色走到前台，成为威胁信息安全的又一大隐患。间谍软件能在用户觉察不到的情况下安装到一台电脑上，并秘密地收集信息。如果不特意加强数据安全措施，一旦被黑客盯上造成的损失就很惨重。

　　企业的信息安全危险还绝不仅仅局限于外部攻击，在信息系统遭到的攻击中，一半以上是由公司自己的职员有意或无意引发的。

　　而贵企业的重要信息，可能在老板的大脑里、公司电脑里、一个打印稿的背面，甚至在一个垃圾筐里，随时都有泄漏的可能。泄漏的结果轻则使公司蒙受损失，重则毁灭公司。

　　一个简单的例子：节约用纸是很多公司的好习惯，员工往往会以使用背面打印纸为荣。其实，将拥有这种习惯公司的“废纸”收集在一起，你会发现打印、复印造成的废纸所包含的公司机密竟然如此全面，连执行副总都会觉得汗颜，因为废纸记载了公司里比他的工作日记都全面的内容。类似的例子还有很多。

　　当然，信息也并不是一定与电脑有关。几年前，一家著名的市场调查公司调查麦当劳的产品销售量，他们使用了痕迹调查方法，收集了当天麦当劳所有的垃圾，雇用了许多临时工从麦当劳店内收集垃圾，包括包装纸盒等。他们就是通过计算这些垃圾得出了麦当劳每一种产品的销售量，并且推算出卖当劳下一年的销售计划。在这之后，麦当劳门店内的垃圾都要经过自己的处理后才运走。

　　同样的事情也发生在雅芳和玫琳凯化妆品公司之间。雅芳就曾经雇佣私人侦探收集了玫琳凯的丢弃物，并且进一步破解了竞争对手的新化妆品配方。对于玫琳凯来说，它无法夺回这些珍贵的东西，因为雅芳只是研究了它的垃圾而已，这是完全合法的。

　　而你又如何能够保证，你的竞争对手不用同样的方法来窃取你的信息？

　　不仅是技术问题

　　你该怎么办？采用技术手段，这是首先会想到的做法。

　　但信息安全远不是“技术”二字可以解决的问题。技术固然重要，但首先即是加强防患意识，不要在技术上已近乎完美，却因一时疏忽而满盘皆输。千万不要像有些公司的总裁，严格规定不允许任何员工随意进入自己的办公室，但却忘了防范清洁工；也不要像有些银行完全有能力购买故障率为千万分之一的服务器，却让过期的磁带轻易流入二手市场；不要等到某一天公司的一个普通员工捧着一叠董事会的协议交给你，说是从他身旁的打印机里取出来的；也不要等到竞争对手对自己第二年的战略规划已了如指掌，只因花几百元买通普通员工轻易取走了你上一年的人事变动情况表，才恍然大悟。

　　“我们的加密方针是所有的数据都必须用128位密钥加密”某券商网络部的经理得意地说。但是，就在他这么说的时候，一个敞开办公的区域，一台已经打开的电脑前却一个人都没有，如果谁想要在里面动点手脚可以说连黑客知识都免了。

　　一位知名的CIO曾经提出过保卫信息安全的四大要素：技术、制度、流程和人。合适的标准、完善的程序、优秀的执行团队，是一个企业信息安全的重要保障。技术只是基础保障，技术不等于全部，很多问题不是装一个防火墙或者一个IDS就能解决的。在组织架构上，这家企业有两个小组：一是规模较小的一组人，专门制定安全政策和规则，另外一组是负责执行的员工，分散在软件、硬件以及网络等相应部门。一旦遇到紧急情况，散落在各地的应急响应小组能在最短时间内集合起来。

　　任何问题归根到底都是人的因素，加强对员工的管理，对企业管理者来说比单纯购买产品或者制定规则重要得多。很多企业信息安全措施部署得很全面，但只要一个员工不按规定办事，机密很有可能就这样流出。

　　所以我们认为：信息安全＝先进技术＋防患意识＋完美流程＋严格的制度＋优秀的执行团队＋法律保障。

　　总之，企业的信息安全，绝对不是一个人的战斗，但是很多时候，中小企业却为了信息安全做出一些本末倒置的动作。面对企业里形形色色的信息安全规章，到底哪些是应该摒弃的？企业的信息安全规则应该如何确定？在信息化建设中哪些是“本”，哪些是“末”？这都是应该仔细琢磨的问题。

　　责任编辑：张辰