企业安全之战

    网络安全隐患已经从单纯的病毒入侵发展到了针对企业数据和信息的攻击，企业的安全防护重点也相应开始转移

    作者：李全伟

    企业在享受网络技术好处的同时，也时时面临许多安全隐患。引人注意的是，企业安全隐患已经从单纯的病毒入侵发展到针对企业数据和信息的攻击。前者的危害一般可以量化，最严重的是造成系统瘫痪；而后者的危害很可能导致企业商誉和品牌受损，后果不堪设想。前不久，英国一家老牌商业银行载有 37 万名客户资料的光盘不慎在邮寄过程中遗失，引起了用户的恐慌。诸如此类，金融服务企业和机构接连不断地出现客户资料泄密事件，给企业安全拉响了警钟。

    商海拼杀，难免会挨刀，关键是要明白刀来自何方。许多管理者认为，病毒和黑客是企业安全的最大威胁。在两三年前，或许是这样。时至今日，信息的丢失和被窃已成为企业面临的最大安全威胁。据 EPIC 组织（Electronic Privacy Information Center，一家总部位于华盛顿的电子稳私信息中心）统计，企业安全方面的威胁有 48% 来自外部，包括病毒、黑客、恶意代码、垃圾邮件等外网威胁；有 52% 是由内而外的行为，包括员工的过失、流程的缺陷等内部原因。在 52% 的来自内部的威胁中，只有 1% 的行为是个别员工主动作案，绝大部分是内部无意行为所引起，其中包括员工无意访问含有病毒代码的网页，而最多的是员工疏忽造成的信息和数据遗失。

    目前，企业的信息和数据遗失情况呈逐步增多趋势。ITPCG（IT Policy Compliance Group）的研究报告显示，近 7 成的受访机构平均一年遗失多达 6 次以上的重要数据。在这项研究的被调查机构中，有 20% 每年遗失数据的次数高达 22 次。赛门铁克大中国区总裁吴锡源说，现在笔记本电脑和 U 盘在公司中使用广泛，它们的丢失对企业安全构成了威胁。还有一项调查显示，每 5 家公司中就有 4 家发生过因笔记本电脑遗失而引起的机密数据丢失；每两家公司中就有 1 家发生过因为 U 盘丢失而导致的数据丢失。从全球情况看，因 U 盘遗失造成的数据丢失现象越来越多。

    来自病毒的危害给企业造成的损失容易估计。赛门铁克中国区销售总监郭训平说，病毒主要影响企业基础构架（企业 IT 建设基本上分为三个层面：一是基础构架，包括电脑、服务器、网络设备等硬件产品；二是应用层面，主要是在 IT 架构上的应用；三是数据和信息层面）。病毒危害会造成使用者的桌面没法工作，乃至系统瘫痪，但对业务和信息构不成太大的影响。而企业的信息和数据一旦丢失，损失就很大。调查显示，企业每丢失一项用户数据，便需要通知客户重新录入，整个过程产生的额外支出为 100 美元。更重要的是，由于不小心遗失了客户的机密资料，企业很难相信受损失的客户还能再放心地使用该机构的服务。在信息发达的现代社会，得知消息的客户和潜在客户会对这家机构产生怀疑。这些机构一旦失去用户的信任，受到的打击可能是致命的。

    数据破坏频繁发生并日趋常规化，导致了成本的增加。因此，企业负责人越来越将数据丢失防护列为需要考虑的重要问题。高盛进行的一项安全支出调查表明，50% 以上的企业安全主管认为，数据泄露是导致企业安全支出的主要因素。

    关于信息泄露的主要原因，赛门铁克公司安全技术和响应部门副总裁史蒂夫·特里林（Steve Trilling）说，首先是计算机和存储介质的被盗和丢失。例如，某人可能将U盘遗落在飞机上，或者是因存储机密数据的移动硬盘未经加密而失窃。其次，一些企业缺乏适当的安全策略，即便是告诉员工不要随便将工作文件发到私人邮箱这样简单的事情，也没有做到。

    正是由于安全问题出现了新变化，企业安全解决方案也随之变化。以前，一谈到企业安全问题，主要涉及的是保证桌面和基础构架的安全，现在则是保证信息和数据的安全。前面的调查数据说明，要保证信息安全，并不是说把企业的“城堡”打造成刀枪不入就完事大吉，因为堡垒有可能从内部攻破。在四川大地震中，桑枣中学的经历可以给企业管理者提供一定的启迪。紧邻地震损失最为惨烈的北川县的安县桑枣中学，全校 2,300 多名学生和教师只用 1 分 36 秒就冲出教室，跑到安全的操场，身后是岌岌可危的教学楼。桑枣中学师生安全脱险，跟校长叶志平主抓两件事有关：一是对教学楼的不断加固，二是从 2005 年开始每学期组织全校师生进行紧急疏散演习。加固了的教学楼，无疑为师生的逃生争取了时间，而更重要的原因是叶志平防患于未然的避险意识。吴锡源说，企业的安全问题，关键还是从首席执行官开始，层层树立安全意识，把安全管理纳入日常的管理经营中，从战略层面上加以重视，采取切实可行的安全解决方案，这样才能把好企业安全大门。

    在具体措施方面，郭训平说，把安全归为管理问题，具体思路就不一样。企业在做安全规划时，首先要考虑的是确立安全策略。企业要明确自己需要的安全级别是什么，然后是在此基础上，采取什么样的安全产品和措施与之配套。

    史蒂夫·特里林说，随存储数据每年增长 50%，想要保护所有的信息，需要付出大量的成本，而且效率极低。因此，企业需要保护的是关键信息，从源代码到用户信息及员工数据。关键在于平衡风险与机遇、在于保护数据，无论数据是在静态还是在动态之中。在进行安全管理前，企业首先需要回答几个简单却十分重要的问题：一是企业拥有哪些敏感信息？二是这些敏感信息存储在哪里？三是这些信息在网络和端点上是如何使用的？一旦深入了解信息如何被使用，企业便能够开始设置策略来降低风险。

    具体的方法包括为存储分级、归档和加密设置。例如，企业可以规定，员工只有在 U 盘经过加密后才能拷贝数据。或者，企业可以规定员工不能用电子邮件发送机密信息。史蒂夫·特里林认为，所有的企业负责人必须参与到策略设置中，不仅仅是首席信息官，还要包括首席财务官、首席运营官等，企业上下所有的主管人员都要参与。毕竟，如果将安全作为业务的推动者，所有参与业务运营的人也都应当参与安全策略的设置。除此之外，主管人员的参加，对推动安全文化的发展也有至关重要的作用。

    虽然信息和数据的保护成了企业安全的重中之重，但传统的安全解决方案（包括防病毒软件、内容过滤、反垃圾邮件程序等）仍然很重要。在此基础上，企业应从更全面的角度考虑安全问题，把安全纳入管理工作中，对需要保护的数据进行管理，真正实现以信息为中心的安全部署。