“力拓門”暴露信息安全漏洞

觀點

企業在不斷完善自身信息安全的軟、硬件建設的同時，還更應該完善自身內部保密規章制度，特別要落實的就是對信息的使用者及其載體——終端，進行監控和審計。

近來，“力拓門”被炒得沸沸揚揚，事件的焦點之一就是“在力拓上海的辦公室電腦中發現了大量涉及中國鋼鐵企業的秘密數據”。事件的原委尚無官方說法，但這并不影響我們對此事所暴露出的商業機密保護問題進行探討，而透過“力拓門”，我們更看到了網絡時代我國企業和事業單位核心信息系統存在的安全管理漏洞。

然而，據筆者調查，這兩年內，信息泄露、篡改等安全問題屢見不鮮。從深圳某醫療機構孕婦信息的“泄密光盤”，到車主、股民的信息泄露; 從福彩中獎信息篡改，到“力拓門”事件，以及最近的外媒“精確預測”我國GDP事件，個人隱私、企業商業秘密，甚至國家政府的核心機密，都出現了不同程度的信息安全問題。

對此，信息安全界也推出不少信息保護技術、產品和解決方案，然而，各單位的信息系統卻依然受到竊密者的威脅，而且往往是從“堡壘”內部攻破的。那么，如何才能真正行之有效地杜絕漏洞、保護信息的安全呢？

前不久，筆者和網御神州的一位安全專家聊起此話題，這位專家說，目前企業在信息安全建設上普遍存在“重技術、輕管理”，“重建設、輕使用”的問題。企業往往“趕時髦”，配置很多先進的技術，但內部的安全管理制度并未隨之完善; 而由于沒有一套行之有效的信息監管方案，很多昂貴的安全設備也都成了擺設。

的確，我們的企業在不斷完善自身信息安全的軟、硬件建設的同時，更應該完善自身內部保密規章制度，特別要落實的就是對信息的使用者及其載體——終端，進行監控和審計。

因為絕大部分機密信息的泄漏都是內部人員造成的，而這些內部人員往往都是從終端將信息傳播出去。在這個層面，信息保護就是要對人和終端進行管理。對人，要加強人員的安全保密意識培訓，并且要制定令行禁止的安全制度。對終端，就需要建立一套面向終端安全的管理系統，包括終端接入的控制、外設接入控制、終端加固和運行監控等。終端管理的目的是確保終端的合法使用者無法違規，同時確保其他非法人員無法利用終端自身的漏洞進行違規操作。

另外，企事業單位先后部署的防火墻、入侵檢測系統、VPN、核心業務保護系統、上網管理系統等，雖然增強了某個方面的安全，卻形成了一個個安全防御孤島，無法產生協同效應。而且這些復雜的IT計算環境及其安全防御設施在運行過程中不斷產生大量的安全日志和事件，使管理人員面對這些數量巨大、彼此割裂的安全信息時難以發現真正的安全隱患。對此，我們的企業更需要一個統一的安全審計平臺，針對核心基礎設施的日志進行統一的收集、審計和分析。