扬州易虎管理咨询公共服务平台
TEL:0514-87932968
  • 信誉第一,客户至上
  • 为您服务,让您满意
  • 5

资料搜索

 

资格证书号查询

 

内审员姓名搜索

 

体系认证咨询

13773572007

客户验厂咨询

0514-87932968

产品认证咨询

0514-87932968
您现在的位置:首页 >> 新闻资讯 >> 验厂专题

怎样避免信息安全泄密发生?

发布时间:2015-07-03 未经本站允许禁止转载,如有侵权请与本站联系

现在信息安全可以说是关系到企业命运的大事,不管CIO愿意不愿意,他的一个重要职责就是要确保信息安全。如果企业的信息安全系统脆弱不堪,CIO必须对此负责。那么,CIO应该制定什么措施来避免泄密事件发生。

保障信息安全有两个支柱,一个是技术、一个是管理。而我们日常提及信息安全时,多是在技术相关的领域。但正如“木桶原理”所示,安全系数是由最弱的那个环节决定的。因此,CIO在保护信息安全时,也应该从上述二个方面全面考量,而不能只偏重其中的某一个部分。

据IDC一份调查统计表明,全球差不多有80%的企业存在着信息安全或信息风险问题,在所有被调查的公司中,进行常规性安全检查的公司还不到一半,只有30%的公司具有跟踪用户访问的能力,30%的公司使用加密技术。而且调查还说这些信息安全问题大都来自于企业内部,而其中处于信息泄密高风险的很大一部分都是来自于信息安全管理不善所致。

想要应付信息安全威胁,就要先认识到什么是“信息安全威胁”。企业需要面对各种各样的信息危险,这种危险可能是恶意的,也可能是非恶意的,如因失误而造成的泄露。恶意的危险又分为两种,一是理智型的,如故意偷取企业机密;二是非理智型的,如毁坏企业的数据。总的说来,典型的信息泄露危险主要包括如下几个方面。

一、典型的安全泄露途径 

1、软硬件故障导致意外泄密

信息系统各种设备的物理安全和正常运行是保障信息安全的前提,当这种正常状态遭受到破坏时,信息就存在着泄密的可能。例如发生设备被盗、被毁,基础网络设施线路被截获或偷听而造成泄露。还有如防火墙意外瘫痪而导致失效,以致安全设置形同虚设,再或由于服务器死机导致数据丢失或外泄等。最后,还有软硬件设备环境缺乏安全保护,如防水灾、火灾、地震等自然灾害。

2、黑客入侵  

一般来说,黑客常见的入侵动机和形式可以分为两种。第一种是拒绝服务(DOS)攻击。这类攻击一般能使单个计算机或整个网络瘫痪,黑客使用这种攻击方式是要阻碍合法网络用户使用该服务或破坏正常的活动,但只会导致网络故障,一般不涉及信息安全和信息泄密。而另一种是非法入侵,非法入侵是指黑客利用企业安全漏洞访问企业内部网络或数据资源,进行删除、复制甚至毁坏数据的活动。这种黑客入侵行为可能会致使公司数据被窃而造成无法挽回的损失,属于非常严重的信息安全事件。

3、病毒侵袭

几乎有计算机的地方,就有出现病毒的可能性。计算机病毒通常隐藏在文件或程序代码内,伺机进行自我复制,并能够通过网络、磁盘、光盘等诸多手段进行传播。计算机病毒传播速度相当快、影响面大,必须对它的危害要引起关注。一般来说,杀毒软件和防火墙是对付病毒的最好方法之一。

CIH、爱虫等病毒曾让企业信息安全人员恐慌一时,侵害小病毒的会引起死机影响工作,大的可能引起系统瘫痪或摧毁数据,有些恶意病毒还具有盗取用户资料的功能,如用户账号和密码等。

4、非授权泄露或删除敏感信息 

企业内部的敏感信息被内部人员非授权泄露或删除。导致这种状况的有几种原因,如非法使用移动存储设备,非法复制资料等,还有如错误的电子邮件发送,配置错误的访问控制列表,没有严格地设置的用户访问权限等,这些都是由于内部信息安全管理不善所导致的。也有可能是信息管理人员对安全权限设置不当,导致某些怀有恶意的人故意破坏企业商业机密的完整性以及向竞争对手故意泄露商业机密等。

由此可见,信息危险不仅来自于外面,有时也来自于内部。因此,对企业来说,信息安全工作迫在眉睫,一方面,企业需要重视计算机病毒防护工作,制定相关的管理制度和实施方案,为信息数据安全提供保障。另一方面,要不断完善备份系统,因为即使是最出色的安全专家也无法保证数据的百分百安全。所以,要建立一个可持续性、可恢复性的备份系统,保证信息系统在遇到数据灾难的时候能用最快的速度恢复。

二、不要让自己成为信息安全的泄露者 

1、对信息安全风险,总是视而不见

虽然,信息系统的缺陷和技术不足,使得攻击、泄密、破坏等安全事件时有发生,给企业带来损失。但最为可惜的是,大多数企业的IT管理人员以及决策者,对于企业信息安全风险甚少有意识,往往只是在事件发生后,捶胸顿足、哀声长叹。即使有部分具有前瞻眼光的决策者,察觉到了信息安全风险的可怕,却也缺少一种科学的分析方法,对于核心业务信息安全风险更缺乏严格的评估、量化和分析。

2、没有进行安全风险评估,没有做好预防措施  

想要加强企业信息的安全性,就需要对企业信息安全的实际风险做一个尽可能准确的评估,否则的话就会出现本来需要高安全级别的信息系统,结果为了省钱,建立了一个安全性能不是很高的IT系统;或者本来需要的安全级别不是很高的,结果花了相当多的钱建立了一个安全性能极高的IT系统,浪费了投资。所以,一定要尽可能正确地评估企业信息安全的风险。

因此,正确对信息安全风险评估的意义非常重大,一般可从以下几个方面考虑:根据公司的具体业务,评估信息安全风险是什么;本企业信息对黑客的吸引力大不大;本企业对外部开放程度如何;一旦出现信息安全事故,对本公司的影响最大程度是什么;若提供保护这些信息的安全,可能需要的投资额是多少,是否值得为此付出这么多代价等。

从以上几个方面考虑是因为不同性质的企业,黑客对它们的兴趣大小不同。如高精尖企业以及银行、海关、证券等企业很容易引起黑客的兴趣,这样的企业信息安全风险性就大些;而一些生产普通物品的企业黑客却很少光顾,这样的企业信息安全风险性就小些。再比如,有些企业一旦出现信息安全事故,可能会企业产生致命的打击,有些企业可能就无所谓。因此,它们的信息安全风险程度绝对不会相同。

总而言之,任何事物都有它的两面性。正确、恰当地使用IT信息能为企业带来飞速的发展,但由于系统缺陷、人为误操作、恶意攻击等不可预料的各种风险也同样使得企业信息面临着巨大的灾难。因此,企业应通过建立冗余机制、灾备机制、详尽的信息安全策略等各种手段来降低企业的信息安全风险。