文档加密的重要性
20世纪90年代以来,以网络技术及服务为代表的第二次"信息革命"浪潮席卷全球,迅速渗透到政府、企业、经济等各个领域。企事业单位可以充分利用网络化的信息新技术,提高各方面的办事效率,为客户提供更好的更快的服务,、提高自身形象。所以企事业信息化则被公认为带动整个社会信息化的基础,企事业信息化是以"效率,安全,稳定"的为目标的。
互联网恰如一柄"双刃剑",为人们工作带来便利的同时,伴随着的是日趋严重的网络入侵安全问题。作为各类站点,既要访问Internet 的共享信息资源,又要把Intranet的一部分信息对外提供服务,资源的共享的同时也带来了安全问题;而作为企事业部门内部网,事关很多关系设计机密、企事业市场策略等敏感信息,网络的安全性更为重要。从某种意义上说,企事业内部网络的信息安全涉及到企事业单位的整体利益,形象,安全等重要问题。如何保护内部网络的信息安全,防范来自外部网络的黑客和非法入侵者的攻击,或有效防止企业内部信息泄漏, 建立起强健的网络信息安全防范系统,在某种程度上决定着各企事业单位,包括政府部门信息化建设的成败。
在当前复杂的网络应用环境下,很难有效的保障用户网络系统、信息资源的安全。据美国《金融时报》报道,现在平均每10秒就发生一次入侵计算机网络的事件,超过1/3的互联网防火墙被攻破。另据美国联邦调查局(FBI)和计算机安全机构(CSI)的计算机犯罪和安全的4月7日公布的统计结果,美国企业和政府机构因重要信息被窃所造成的损失超过其它对计算机系统攻击所造成的损失。由此可见,对于高速发展的电子政务系统来说,目前迫切要解决的安全问题应该是内部机密信息的数据安全。
2004年5月,某大型企业研发中心发现某国外竞争对手领先一步完成了A产品的设计开发,该研发中心领导一下就懵了。A产品的设计开发可是该企业重大研发项目,该企业也想依托A产品完成产品线的转换,企业为该项目投入了大笔资金,众多研发人员也付出了艰辛的劳动。企业在项目立项及开发过程中,还从未听说有哪家单位也在进行A产品的开发,为什么竞争对手开发速度如此之快?
情况汇报给企业老总后,老总第一反应就是内部人员泄密,随即下令该项目所有人员停止开发,迅速离开工作岗位,并向公安部门报案。公安部门技术人员到达现场后发现该研发中心保密工作存在重大疏漏:设计人员电脑与普通工作人员电脑连在同一个局域网内、计算机端口允许人员将资料随意拷出、设计人员将某些机密文件设成共享、打印资料随意带出、所有电脑都可以上互联网……经过检查,公安部门初步判定为内部人员泄密,但是要查出谁将资料泄密,难度太大。后来该案不了了之,企业也只能对研发中心领导进行降职处罚,该企业付出的1000余万元研发费用,众多研发人员的辛勤劳动全部付诸东流。
反思该企业的惨痛教训,国内组织机构必须以此为鉴,做好安全保密工作,防范机密资料外泄,同时也应当认识到保密工作也是增加组织价值的重要工作内容。
在知识型经济之下,企业信息资产显得特别重要,能否有效保护专有技术等内部信息,更是求存成功的关键,业务保障的基础。进入信息年代,互联网成为企业与本土外地公司沟通、交换业务数据及信息的主要渠道。利用互联网沟通固然方便,但却使机密的商业资料很容易透过开放的互联网泄露给竞争对手。机密商业资料一经泄漏,不论是有意还是无意,始终会对企业的资产构成损失。因此企业需要严格监管员工使用电脑,防范因知识产权和机密商业资料通过电脑被泄漏而造成的重大损失。
在我们的调查中发现,很多企事业单位,例如会计事务所、学校、政府、金融机构、高科技研究所等企事业单位,经常利用网络来提高业务效率,使用者在这样的环境下,可以随便上传下载和发行网络中的文件,而且可以很轻松地把企业的许多重要信息流通到网络外部。但是另一方面,作为公司或部门的管理者和使用者,他们都希望这些重要的信息资料,比如说财务数据、技术文档等特殊资料,不能够轻易地离开公司的网络环境,甚至不能在公司网络内部传递与交流,那么我们该采取什么预防措施?当然,我们决不能拒绝网络的呼唤,不能将公司封闭在一个信息孤岛上。
内网信息安全现状
随着因特网的成熟和广泛应用,引发了一场全球范围内的信息革命,全球信息化的步伐不断加快,信息型社会正在形成并走向成熟。信息,逐渐被作为一种重要的社会战略资源而与物质、能源、人才一起被列为现代社会生产力要素中的重要因素。
信息化社会中,信息安全必然很重要。然而信息安全所面临的威胁也由来已久。自世界上出现计算机病毒理论后,对计算机系统的攻击就引起了一些人的兴趣。至今,这种攻击已由学术上的探讨,计算机操作系统的漏洞发现与弥补演变成了对信息系统的破坏和对涉及国家利益信息、商业信息及个人隐私信息的窃取和破坏。随因特网的迅猛发展,更进一步暴露出了这种自由网络空间具有的无中心、无管理、不可控、不可信等不安全的特征,且形成了对一切现存社会秩序的威胁。
在信息产业高速发展的今天,内网安全已经成为信息安全管理行业的发展方向之一。而造成这种现状的根本原因,还是企业的实际需求。IDC 报告表明,70% 的安全损失是由企业内部原因造成的,另一个为众多安全厂商经常引用的数据来自FBI 和CSI,该数据称,超过85%的安全威胁来自企业内部,威胁源头包括内部未授权的存取、专利信息被窃取、内部人员的财务欺骗等。当然更有说服力的,还是一些国内活生生的例子,如国内某著名企业的泄密案等等,其损失之巨大,更是足以不寒而栗。
现在一提到信息安全,人们首先想到的就是病毒、黑客入侵,在媒体的宣传下,病毒、黑客已经成为危害信息安全的罪魁祸首。然而,对计算机系统造成重大破坏的往往不是病毒、黑客,而是组织内部人员有意或无意对信息的窥探或窃取。从技术上来讲,内部人员更易获取信息,因为内部人员可以很容易地辨识信息存储地,另外也不需要他们拥有精深的IT知识,只要会操作计算机,就可以轻易得获取自己想要得资料;相对而言,黑客从外部窃取资料就比较困难,首先他们要突破防火墙等重重关卡,然后还要辨别哪些是他们想要的信息,这就对黑客提出了比较高的技术要求。
FBI和CSI在2007年对5484家公司进行了网络安全专项调查,调查结果显示:超过85%的安全威胁来自公司内部、有6%来自内部未授权的存取,有4%来自专利信息被窃取,有3%来自内部人员的财务欺骗,而只有2%是来自黑客的攻击;在损失金额上,由于内部人员泄密导致了560,565,000美元的损失,是黑客所造成损失的16倍,病毒所造成损失的12倍。这组数据充分说明了内部人员泄密的严重危害,同时也提醒国内组织应加强网络内部安全建设。
内部人员造成的危害如此巨大,为什么媒体披露的却比较少呢?这是因为黑客带来的危害是比较公开的,例如篡改主页,拒绝服务攻击,网络钓鱼,编写并传播病毒等黑客行为,这些行为造成的后果影响的面比较广,因此媒体得到这些信息也比较便捷,曝光率也就比较高。相比黑客入侵,内部人员的破坏行为往往具有隐蔽性,另外有些单位怕曝光后社会影响不好,影响单位声誉,因此也就捂住不报。
随着这几年的发展,人们对网络安全的认识也日益深入,入侵检测、VPN、信息加密等安全产品也逐步得到认可,但是这些产品有一个共同点:防外不防内。各个组织在网络安全建设上投资不小,但这些安全建设完全基于“内部人行为可信赖”这一假设。这样一来,网络内部安全必然疏于防范,信息暴露于内部人面前,假如这些信息有可利用的价值,就可能被内部人员截获并获取非法利益,而一旦泄密事故出现,不仅损失惨重,而且很难追查到泄密人员,只能对相关领导进行处罚。其实这种情况是可以通过一些手段避免的,只不过这些组织没有认识到内部安全问题而已。
信息社会,信息就是价值,信息就是生产力。IT技术的发展使得人们获取信息的速度日益加快,这也给犯罪分子提供了便利,通过一个U盘,一分钟的时间就可以拷走上百兆的资料,而这些资料可能价值不菲,因此说一分钟损失几千万,上亿元绝对不是危言耸听。我们在安全建设上“重防外,轻防内”无疑会给自己留下安全隐患。
由于内部网络监控的缺位,有许多漏洞可以被内部人员所利用以截获资料,目前来看,内部泄密主要是通过如下途径:1、内部人员将资料通过软盘、U盘或移动硬盘从电脑中拷出带走;2、内部人员通过互联网将资料通过电子邮件发送到自己的邮箱;3、将文件打印后带出;4、将办公用便携式电脑直接带回家中;5、电脑易手后,硬盘上的资料没有处理,导致泄密;6、随意将文件设成共享,导致非相关人员获取资料;7、移动存储设备共用,导致非相关人员获取资料;8、将自己的笔记本带到公司,连上局域网,窃取资料;9、乘同事不在,开启同事电脑,浏览,复制同事电脑里的资料。此外,还有很多其他途径可以被别有用心的内部人员利用以窃取资料。
那么如何才能解决内部人员泄密问题呢?这就要求组织配置必要的技术装备,另一方面也要加强管理,做好内部人员的保密教育,法制教育。“技术与管理”并重,才能从根本上杜绝内部人员泄密。
在技术上,目前有许多产品可以对内部人员计算机操作行为进行审计。在管理上,防范内部人员泄密要做到一下几点:一是要建立一整套规范的安全保密制度并严格执行;二是要加强员工的保密教育,使他们认识到保密工作的重要意义;三是要有奖惩制度,对保密先进个人、单位予以嘉奖,对于泄密事故加大惩处力度,做到以儆效尤。
信息技术的运用正逐步渗透到日常工作的各个层面,与此而生的内网安全问题也会逐渐被各级组织所认知,如何应对内网安全问题将是摆在各个单位面前的重要问题。有政府的政策指引,有各个安全企业的参与,相信由内网安全问题所带来的损失将被大大缩减,当然最重要的还是单位自身需要认识到内网安全的严峻形势并采取有效措施加以防范
网络经济发展对信息安全产品带来新的需求,防火墙、防病毒、信息加密、入侵检测等已经基本解决了抵御外来入侵的困扰;但是内部用户引起的信息泄密问题成为当前信息安全的新的焦点。建立起有效的事前预防,事后追究机制成了众多企业的当务之急。
计算机和计算机网络已经成为企业、政府和其它各种组织的重要信息载体和传输渠道。很明显,计算机、计算机网络和其所带来的信息数字化大幅度提高了工作效率,也使得海量的信息存储和处理成为了现实。但是,在享受到计算机以及计算机网络所带来的方便性的同时,也出现了目前广泛关注的信息安全问题、行为管理问题。
国家信息安全测评认证中心的调查结果也表明,信息安全问题主要来自泄密和内部人员犯罪,而非病毒和外来黑客引起,这正反映了“堡垒最容易从内部攻破”的道理。毫不夸张地说,一个能进入办公室打开机密电脑的普通员工对内网安全的潜在威胁远远超过了一个技术一流的网上黑客。
一般来讲,大型机构在网络化过程中面临的安全问题可包括网络系统安全和数据安全。针对网络系统安全方面,机构需要防止网络系统遭到没有授权的存取或破坏以及非法入侵;在数据安全方面机构则需要防止机要、敏感数据被窃取或非法复制、使用等。各类计算机病毒、系统陷阱(Trapdoors)、隐蔽访问通道、黑客攻击等造成敏感数据泄密、Web 站点瘫痪等等问题,都是机构实现网络化面临的外部威胁。如何搭建安全的网络架构,如何将非法入侵者拒之门外、如何防止内部信息外泄,这些都是企业/机构在进行网络化过程中必须解决的问题。目前,机构仅仅利用Firewall 在网络的边缘设置了快速有效的网络防火墙及网络巡警系统,可以对网络入侵进行监控和防护,抵御低阶通讯层次的攻击、防止主机及个人电脑的入侵、检测恶意的可执行程序和阻绝网络的滥用。
这种解决方案是针对外部入侵的防范,对于机构内部信息保密安全管理却无任何作用。对于一个大型机构,特别是政府机关,信息安全防范尤为重要。以往人为控制的教育加监督(人工填写日志)的安全管理方式是无法阻止内部工作人员运用现今的高科技信息载体主动或被动泄密(如利用EMAIL,FTP,笔记本,光盘,可移动硬盘等)的,这是每一个安全管理人员必须认真对待的问题。
因此,不管是以乐观还是悲观的心态来看待网络安全的现状以及未来的发展,我们都应充分意识到这样一个事实:来自内部的威胁已经成为危害网络安全的首要因素:内忧甚于外患,如何建立一个可信并可控的内部网络(Trusted & Controllable Network,TCN),其重要性是不言而喻的。
- 美国ORACLE官方授权培训中心
- 美国REDHAT官方授权培训中心
- 美国CISCO 官方授权培训中心
- 中国华为官方授权培训中心
- 美国微软高级技术培训中心(CPLS)
- 美国CIW授权培训中心
- 美国Prometric授权考试中心
- 美国VUE授权考试中心
- 思科福建合作伙伴
- 美国CISCO银牌合作伙伴
- 美国VMware企业级合作伙伴
- 美国EMC极速联盟合作伙伴
- 美国Microsoft合作伙伴
- 中国深信服合作伙伴
- 美国DELL企业合作伙伴
- 美国IBM高级合作伙伴
- 美国HP高级合作伙伴