2004年5月,某大型企业研发中心发现某国外竞争对手领先一步完成了A产品的设计开发,该研发中心领导一下就懵了。A产品的设计开发可是该企业重大研发项目,该企业也想依托A产品完成产品线的转换,企业为该项目投入了大笔资金,众多研发人员也付出了艰辛的劳动。企业在项目立项及开发过程中,还从未听说有哪家单位也在进行A产品的开发,为什么竞争对手开发速度如此之快?
情况汇报给企业老总后,老总第一反应就是内部人员泄密,随即下令该项目所有人员停止开发,迅速离开工作岗位,并向公安部门报案。公安部门技术人员到达现场后发现该研发中心保密工作存在重大疏漏:设计人员电脑与普通工作人员电脑连在同一个局域网内、计算机端口允许人员将资料随意拷出、设计人员将某些机密文件设成共享、打印资料随意带出、所有电脑都可以上互联网……经过检查,公安部门初步判定为内部人员泄密,但是要查出谁将资料泄密,难度太大。最终该案不了了之,企业也只能对研发中心领导进行降职处罚,该企业付出的1000余万元研发费用,众多研发人员的辛勤劳动全部付诸东流。
反思该企业的惨痛教训,国内组织机构必须以此为鉴,做好安全保密工作,防范机密资料外泄,同时也应当认识到保密工作也是增加组织价值的重要工作内容。
针对目前日益严峻的网络安全形势,帮助企业、研发机构完善网络安全建设,避免泄密损失,笔者走访了网络安全产品服务提供商汉邦软科集团,咨询了网络安全技术专家沈贺磊先生,请他谈谈目前网络安全建设存在的误区及应当采取的防范策略。
问:网络安全建设日益受到各级组织的重视,但是网络安全事故却频频发生,这说明在网络安全建设方面还是存在误区的,那么您认为有那些地方需要进行改进呢?
沈贺磊先生:一提到网络安全,给人的印象首先就是防火墙,防病毒。随着这几年的发展,人们对网络安全的认识也日益深入,入侵检测、VPN、信息加密等安全产品也逐步得到认可,但是我们发现这些产品有一个共同点:防外不防内。各个组织在网络安全建设上投资不小,但这些安全建设完全基于“内部人行为可信赖”这一假设。这样一来,网络内部安全必然疏于防范,信息暴露于内部人面前,假如这些信息有可利用的价值,就可能被内部人员截获并获取非法利益,而一旦泄密事故出现,不仅损失惨重,而且很难追查到泄密人员,只能对相关领导进行处罚。其实这种情况是可以通过一些手段避免的,只不过这些组织没有认识到内部安全问题而已。
问:也就是说在网络安全建设上,相关组织并没有认识到内部安全建设的重要意义,对吗?内部安全问题真的象您所说的那么严重吗?
沈贺磊先生:对,很多单位并没有重视网络内部安全建设。其实在信息社会,信息就是价值,信息就是生产力。随着电子计算机技术的发展,人们获取信息的速度日益加快,这也给犯罪分子提供了便利,通过一个U盘,一分钟的时间就可以拷走上百兆的资料,而这些资料可能价值不菲,因此说一分钟损失几千万,上亿元绝对不是危言耸听。我们在安全建设上“重防外,轻防内”无疑会给自己留下安全隐患。
问:目前来看,对网络安全构成威胁的主要有两种人,一种黑客,另外一种是组织内部人员,那么哪一类人员对组织造成的威胁更大呢?
沈贺磊先生:我这里有一份国外数据,FBI和CSI在2002年对484家公司进行了网络安全专项调查,调查结果显示:超过85%的安全威胁来自公司内部、有16%来自内部未授权的存取,有14%来自专利信息被窃取,有12%来自内部人员的财务欺骗,而只有5%是来自黑客的攻击;在损失金额上,由于内部人员泄密导致了60,565,000美元的损失,是黑客所造成损失的16倍,病毒所造成损失的12倍。这组数据充分说明了内部人员泄密的严重危害,同时也提醒国内组织应加强网络内部安全建设。
问:我们经常在媒体上看到一些关于黑客入侵的报道,既然内部人员导致的危害更大,为什么媒体却很少披露呢?
沈贺磊先生:媒体比较关注黑客是因为黑客带来的危害是比较公开的,例如篡改主页,拒绝服务攻击,网络钓鱼,编写并传播病毒等黑客行为,这些行为造成的后果影响的面比较广,因此媒体得到这些信息也比较便捷,曝光率也就比较高。相比黑客入侵,内部人员的破坏行为往往具有隐蔽性,另外有些单位怕曝光后社会影响不好,影响单位声誉,因此也就捂住不报。
问:请您介绍一下,目前有哪些途径可能导致内部人员泄密呢?
沈贺磊先生:内部人员获取信息的渠道非常多,通常来讲有以下几种:1、内部人员将资料通过软盘、U盘或移动硬盘从电脑中拷出带走;2、内部人员通过互联网将资料通过电子邮件发送到自己的邮箱;3、将文件打印后带出;4、将办公用便携式电脑直接带回家中;5、电脑易手后,硬盘上的资料没有处理,导致泄密;6、随意将文件设成共享,导致非相关人员获取资料;7、移动存储设备共用,导致非相关人员获取资料;8、将自己的笔记本带到公司,连上局域网,窃取资料;9、乘同事不在,开启同事电脑,浏览,复制同事电脑里的资料。此外,还有很多其他途径可以被别有用心的内部人员利用以窃取资料。
问:那么有些什么好的方法来防止内部人员泄密呢?
沈贺磊先生:我想要解决这个问题必须从两个方面着手,一方面要配置必要的技术装备,另一方面也要加强管理,做好内部人员的保密教育,法制教育。 “技术与管理”并重,才能从根本上杜绝内部人员泄密。
问:在技术层面,有那些措施可以防范内部人员泄密呢?
沈贺磊先生:目前市场上已经有很多产品可以对内部人员计算机操作行为进行审计,其中有代表性的就有我们汉邦的信息安全综合强审计系统。该套系统可以对内部人员行为进行监控,有效防范内部人员泄密。汉邦也是中国第一家提出网络安全审计概念并加以产业化的IT企业,经过技术人员的不断开发,汉邦信息安全综合强审计系统从最初的1.0版本已经发展到了4.0版本并仍在不断地加以完善。当然,汉邦的客户也是重量级的,在各大部委、军工企业、研究所都可以看到汉邦信息安全综合强审计系统的身影。
问:在管理层面,防范内部人员泄密要落实那些工作呢?
沈贺磊先生:一是要建立一整套规范的安全保密制度并严格执行;二是要加强员工的保密教育,使他们认识到保密工作的重要意义;三是要有奖惩制度,对保密先进个人、单位予以嘉奖,对于泄密事故加大惩处力度,做到以儆效尤。
问:如果采用信息安全审计产品,我的电脑操作行为都会被记录下来,那不是侵犯个人隐私吗?
沈贺磊先生:采用信息安全审计系统谈不上是侵犯员工的隐私,因为单位的机器主要是用来处理公事而不是处理私事。安装安全审计系统的目的不是限制或监控员工使用电脑,而是要更好地防范资料外泄,确保单位避免泄密损失。俗话说:“不做亏心事,不怕鬼敲门”,有了这套系统可以更好地保护工作人员,对于想非法窃取资料的内鬼也起到了震慑作用。