在信息化高度发达的美国,近期国际货币基金组织、美国中央情报局、美国参议院等政府部门以及花旗集团、洛克希德马丁等公司网站接二连三的遭到攻击,而同样在近期频发的美参议员数据库遭袭、美联储被黑客攻击、美国最大的零售银行C银行遭非法入侵,1%客户信息被窃等一系列恶性网络信息安全事件再次震惊了美国政府高层,美国国土安全部部长珍妮·纳波利塔诺(Janet Napolitano)指出,在信息安全犯罪的技术复杂度正在快速上升并已经超过全球各国应对能力的大背景下,全球各国应当加强合作,应对信息安全威胁,该官员表示,各国和国际法律系统的发展应该尽快赶上技术发展的步伐。
信息化高度发达的美国,其信息安全状况都如此的焦头烂额,那么我们国内的信息安全现状又是一个什么样子呢?事实上大力发展信息产业,以信息化带动工业化发展已经上升为国家战略,当前紧紧抓住全球信息产业分工体系新一轮重组的难得机遇,进一步促使信息化广泛而深入的应用,以信息化改造和转化传统产业;以信息化推动节能降耗和增长方式转变;以信息化促进经济社会资源的优化重组,这些也都已经成为全社会的共同发展意志。但是在我国积极推进全民信息化进程的过程中,信息安全同样受到前所未有的严峻威胁,众多安全专家的一致观点是,要发挥好推进信息化进程的重要带动作用,就要始终把信息安全放在最优先考虑和发展的特殊位置上,并且要集中社会层面最广泛的智慧和最优质的资源!
伴随着信息化进程的快速推进,信息安全威胁的具体形势也呈现出多样化的趋势,过去信息安全的最主要威胁是病毒和木马,对象也是一些安全防范薄弱的个人站点和小型商业网站,但是近几年随着“趋利”攻击形式的多元呈现,信息泄密已经成为信息安全威胁的最主要形式,并且黑客们通过层出不穷的网络窃密机密信息手段,无论是企业还是科研机构、金融部门,甚至政府机关,都是无一幸免!据北京西城检察院最新公布的统计数据:仅2008年至2010年间,西城检察院共立案侦查泄密类渎职犯罪案件13件,泄密案件就达到了7件,占到了一半还多,其中,故意泄露国家秘密案5件,过失泄露国家秘密案2件,而在这些泄密类渎职犯罪案件中,湖北省某市人事局一名干部与人合谋,利用提取国家一级建造师考试试卷的职务便利,私拆试卷复印后以100万元的价钱卖给不法分子,从而创下了一张试卷获利百万的惊天大案!而同样对于身为中科院某研究室副主任、研究员的董某,可能仅仅出于个人的习惯,他多次违反保密规定在个人计算机上存储、处理涉密信息并连接互联网,结果被境外间谍情报机构植入特种木马后受到远程控制,对方从该计算机内窃取文件资料3161份,其中机密级国家秘密8份,秘密级国家秘密15份。
泄密事件“趋利”化,泄密途径多样化,泄密方式主动化,泄密后果毁灭化!在商业竞争日趋白炙化的市场环境中,越来越多的企业开始重视企业内部的机密信息安全,面对财务数据、知识产权数据、设计图纸等的安全性问题日益涌现,企业信息安全一旦出现漏洞其可能出现的泄密后果和泄密风险几乎是无法估量的。企业中机密数据信息的每一次“泄密门”都会严重损失公司的声誉,能够导致企业无法预知的成本损失更是不可估量。
那么企业如何做到信息安全的防泄密保护呢?这里综合部分行业安全专家的观点,与大家分享几则信息安全建设方面的思路:
第一立法先行,加大主动泄密及进行关键敏感信息交换甚至贩卖的违法成本,在全社会营造一种信息安全是“高压线”的震慑态势。我们不得不承认,我国现行的《保密法》对泄密行为大都只是强调行政处分而非法律惩罚,这让泄密者所应承担的泄密成本和泄密风险过于轻微,在法律层面对重大泄密行为的明确界定应该是犯罪而不只是“过错”,所以希望国家尽早健全制约泄密的法律机制,修改《刑法》中的部分泄密惩戒条款,让所有泄密行为都能受到公共法律的严厉约束。另外像深圳市的《深圳经济特区技术秘密保护条例》等地方性法规也是有许多值得借鉴的地方。
第二大力扶持一批从事信息安全保护产品研发的优势厂商,建立信息安全保护的社会化技术保障机制。深圳大成天下是目前国内终端与数据安全产品的领先企业和第一品牌,旗下拥有国内最顶级的安全技术专家团队并成功率先研发企业级防泄密软件终端“铁卷”,这也是国内最具专业水准和性价比最高的企业级防泄密系统。“铁卷”产品已经广泛服务于国内上百家知名龙头企业、众多政府以及重点金融行业机构,有的还是全球500强的国有大中型企业,其先进的企业防泄密技术及理念、卓越的应用稳定性和功能可延展性已经在最大范围内的商业应用实践中得到了印证,赢得了最广泛的用户口碑。截止目前,凡是部署了“铁卷”产品的各企事业单位,均没有发生任何一起恶性的信息安全突发事件和商业机密泄密事件,对于类似这样的专业企业,国家政策层面应该给予更多的资金关注和行业扶持。
小提示:铁卷是目前国内功能最全和最先进的企业机密电子文档保护工具,采用了国际上最先进的透明加密技术,能够对承载企业核心机密电子文档的静态和动态存储全过程(包括其存储、使用和传输的整个生命周期)进行安全加密布控,通过全面整合访问控制,可以精确定位哪些人可以不受限制或可以在特定的时段或特定的形式访问机密电子文档,以及机密电子文档能够被访问所应达到的条件及对应严格的访问权限等,铁卷最大的优势之一就是采用了透明化的布控机制,不改变用户任何原有操作习惯。铁卷能够从源头保护企业的核心机密,企业内部员工的“跳槽泄密”行为主要集中在电子文档存储、使用和传输等三大生命周期内,比如借助电脑硬盘、移动硬盘、U盘等存储介质拷贝机密电子文档;比如通过复制、另存、打印及E-mail、QQ、 MSN发送等网络传输手段外传机密电子文档等,但是铁卷的安全布控机制是依托内网来对机密电子文档进行无形加密和保护,机密电子文档一旦脱离特定的内网环境且没有相应的“离线”使用授权,都将无法读取和使用。另外,铁卷产品还富有完美的分级审核机制,企业用户除了可以对目标电子文档有选择的限制其浏览、打印输出、复制、屏幕拷贝、可查阅的有效期限范围和打开密码等外,通过严格的审批机制还能够实现电子文档的“离线解密”,这对于企业员工在合法情况下使用电子文档也提供了便利,比如员工出差等。
第三将泄密行为和泄密不良记录纳入个人诚信体系建设数据库,让所有从事关键岗位的从业者明白这样一个道理,泄密风险需要个人和企业共建共担,一旦出现泄密事件和泄密后果,当事人除了要承担比较厚重的法律责任,而且还可能会直接影响到个人的以后求职、升迁甚至是信贷。
第四企业内部要明确“软硬兼施,协调防范”的信息安全防泄密保护策略,通过对“铁卷”等这样的专业级防泄密系统的部署,企业在面对复杂网络环境以及日益紧密的业务关联往来中,照样可以让自身的核心机密“固若金汤”并可以切实保障企业的生产力不受影响,无论是面对日益肆虐的病毒攻击、黑客入侵,还是面对企业内外部各种复杂的泄密手段,“铁卷”等专业级防泄密系统既可以从源头防范一切关键信息外泄,又可以借助其海量日志审计与深度分析方案来对泄密行为进行追根溯源的技术追查,任何一个泄密行为和任何一起泄密事件,都不可能“不了了之”!
(责任编辑:)
