八月，筆者參加的一個CIO企業(yè)信息安全研討會上，最受大家關注的焦點是近期深圳婦幼醫(yī)院信息泄露和香港出入境資料泄密門事件，再回憶起去年轟動全球的F1“泄密門”事件。由此可見信息泄密并非偶然事件，深圳婦幼醫(yī)院信息泄露事件只是眾多企業(yè)信息安全風險的一例。

　　實際上，企業(yè)信息正面臨各種各樣的安全風險，外部攻擊、內部泄露、違規(guī)上網(wǎng)行為、應用過失風險等。為何“泄密門”事件一次又一次闖入我們的視線，莫非企業(yè)信息“泄密”是防不勝防的事情?

　　一.典型的幾種信息安全泄露

　　據(jù)IDC一份調查統(tǒng)計表明，全球差不多有80%的企業(yè)存在著信息安全或信息風險問題，在所有被調查的公司中，進行常規(guī)性安全檢查的公司還不到一半，只有 30% 的公司具有跟蹤用戶訪問的能力，30%的公司使用加密技術。而且調查還說這些信息安全問題大都來自于企業(yè)內部，而其中處于信息泄密高風險的很大一部分都是來自于信息安全管理不善所致。

　　想要應付信息安全威脅，就要先認識到什么是“信息安全威脅”。企業(yè)需要面對各種各樣的信息危險，這種危險可能是惡意的，也可能是非惡意的，如因失誤而造成的泄露。惡意的危險又分為兩種，一是理智型的，如故意偷取企業(yè)機密;二是非理智型的，如毀壞企業(yè)的數(shù)據(jù)?？偟恼f來，典型的信息泄露危險主要包括如下幾個方面。

　　(1)軟硬件故障導致意外泄密

　　信息系統(tǒng)各種設備的物理安全和正常運行是保障信息安全的前提，當這種正常狀態(tài)遭受到破壞時，信息就存在著泄密的可能。例如發(fā)生設備被盜、被毀，基礎網(wǎng)絡設施線路被截獲或偷聽而造成泄露。還有如防火墻意外癱瘓而導致失效，以致安全設置形同虛設，再或由于服務器死機導致數(shù)據(jù)丟失或外泄等。最后，還有軟硬件設備環(huán)境缺乏安全保護，如防水災、火災、地震等自然災害。

　　(2)黑客入侵

　　一般來說，黑客常見的入侵動機和形式可以分為兩種。第一種是拒絕服務(DOS)攻擊。這類攻擊一般能使單個計算機或整個網(wǎng)絡癱瘓，黑客使用這種攻擊方式是要阻礙合法網(wǎng)絡用戶使用該服務或破壞正常的活動，但只會導致網(wǎng)絡故障，一般不涉及信息安全和信息泄密。而另一種是非法入侵，非法入侵是指黑客利用企業(yè)安全漏洞訪問企業(yè)內部網(wǎng)絡或數(shù)據(jù)資源，進行刪除、復制甚至毀壞數(shù)據(jù)的活動。這種黑客入侵行為可能會致使公司數(shù)據(jù)被竊而造成無法挽回的損失，屬于非常嚴重的信息安全事件。

　　(3)病毒侵襲

　　幾乎有計算機的地方，就有出現(xiàn)病毒的可能性。計算機病毒通常隱藏在文件或程序代碼內，伺機進行自我復制，并能夠通過網(wǎng)絡、磁盤、光盤等諸多手段進行傳播。計算機病毒傳播速度相當快、影響面大，必須對它的危害要引起關注。一般來說，殺毒軟件和防火墻是對付病毒的最好方法之一。

　　CIH、愛蟲等病毒曾讓企業(yè)信息安全人員恐慌一時，侵害小病毒的會引起死機影響工作，大的可能引起系統(tǒng)癱瘓或摧毀數(shù)據(jù)，有些惡意病毒還具有盜取用戶資料的功能，如用戶賬號和密碼等。

　　(4)非授權泄露或刪除敏感信息

　　企業(yè)內部的敏感信息被內部人員非授權泄露或刪除。導致這種狀況的有幾種原因，如非法使用移動存儲設備，非法復制資料等，還有如錯誤的電子郵件發(fā)送，配置錯誤的訪問控制列表，沒有嚴格地設置的用戶訪問權限等，這些都是由于內部信息安全管理不善所導致的。也有可能是信息管理人員對安全權限設置不當，導致某些懷有惡意的人故意破壞企業(yè)商業(yè)機密的完整性以及向競爭對手故意泄露商業(yè)機密等。

　　由此可見，信息危險不僅來自于外面，有時也來自于內部。因此，對企業(yè)來說，信息安全工作迫在眉睫，一方面，企業(yè)需要重視計算機病毒防護工作，制定相關的管理制度和實施方案，為信息數(shù)據(jù)安全提供保障。另一方面，要不斷完善備份系統(tǒng)，因為即使是最出色的安全專家也無法保證數(shù)據(jù)的百分百安全。所以，要建立一個可持續(xù)性、可恢復性的備份系統(tǒng)，保證信息系統(tǒng)在遇到數(shù)據(jù)災難的時候能用最快的速度恢復。

　　二.為什么說信息安全是被自己打敗的?

　　讓我們再來看一下深圳婦幼醫(yī)院信息泄露事件過程，事件之所以發(fā)生并非外力所為，而是這家醫(yī)院自身缺乏的信息安全管理所導致的。因此，企業(yè)信息安全除了受外界攻擊外，自身的安全缺陷也是很嚴重的問題，甚至可以將自己打倒。

　　(1)對信息安全風險，總是視而不見

　　雖然，信息系統(tǒng)的缺陷和技術不足，使得攻擊、泄密、破壞等安全事件時有發(fā)生，給企業(yè)帶來損失。但最為可惜的是，大多數(shù)企業(yè)的IT管理人員以及決策者，對于企業(yè)信息安全風險甚少有意識，往往只是在事件發(fā)生后，捶胸頓足、哀聲長嘆。即使有部分具有前瞻眼光的決策者，察覺到了信息安全風險的可怕，卻也缺少一種科學的分析方法，對于核心業(yè)務信息安全風險更缺乏嚴格的評估、量化和分析。

　　(2)沒有進行安全風險評估，沒有做好預防措施

　　想要加強企業(yè)信息的安全性，就需要對企業(yè)信息安全的實際風險做一個盡可能準確的評估，否則的話就會出現(xiàn)本來需要高安全級別的信息系統(tǒng)，結果為了省錢，建立了一個安全性能不是很高的IT系統(tǒng);或者本來需要的安全級別不是很高的，結果花了相當多的錢建立了一個安全性能極高的IT系統(tǒng)，浪費了投資。所以，一定要盡可能正確地評估企業(yè)信息安全的風險。

　　因此，正確對信息安全風險評估的意義非常重大，一般可從以下幾個方面考慮：根據(jù)公司的具體業(yè)務，評估信息安全風險是什么;本企業(yè)信息對黑客的吸引力大不大;本企業(yè)對外部開放程度如何;一旦出現(xiàn)信息安全事故，對本公司的影響最大程度是什么;若提供保護這些信息的安全，可能需要的投資額是多少，是否值得為此付出這么多代價等。

　　從以上幾個方面考慮是因為不同性質的企業(yè)，黑客對它們的興趣大小不同。如高精尖企業(yè)以及銀行、海關、證券等企業(yè)很容易引起黑客的興趣，這樣的企業(yè)信息安全風險性就大些;而一些生產普通物品的企業(yè)黑客卻很少光顧，這樣的企業(yè)信息安全風險性就小些。再比如，有些企業(yè)一旦出現(xiàn)信息安全事故，可能會企業(yè)產生致命的打擊，有些企業(yè)可能就無所謂。因此，它們的信息安全風險程度絕對不會相同。

　　三.CIO如何避免泄密門事件發(fā)生?

　　現(xiàn)在信息安全可以說是關系到企業(yè)命運的大事，不管CIO愿意不愿意，他的一個重要職責就是要確保信息安全。如果企業(yè)的信息安全系統(tǒng)脆弱不堪，CIO必須對此負責。那么，CIO應該制定什么措施來避免泄密事件發(fā)生。

　　保障信息安全有兩個支柱，一個是技術、一個是管理。而我們日常提及信息安全時，多是在技術相關的領域。但正如“木桶原理”所示，安全系數(shù)是由最弱的那個環(huán)節(jié)決定的。因此，CIO在保護信息安全時，也應該從上述二個方面全面考量，而不能只偏重其中的某一個部分。

　　(1)管理短視是信息安全最大隱憂

　　管理短視，可能是很多CIO最不愿意承認，卻總是會造成致命打擊。例如，病毒可能會一下子讓企業(yè)處于癱瘓狀態(tài)，造成的直接經濟損失大得驚人?？闪钊速M解的是，眾多企業(yè)寧可花大把的錢購買服務器、交換機、防火墻，卻很少愿意去加強企業(yè)信息管理的安全措施。歸根結底，還是因為很多企業(yè)沒有養(yǎng)成主動維護信息安全的習慣。同時，也缺乏安全方面良好的管理機制。保證信息安全的第一步，首先要做到的就是重視信息安全管理，不要“坐以待斃”。對于一個企業(yè)來說，信息安全不僅僅是一個技術問題，也是一個管理問題。

　　(2)建立規(guī)范化信息安全制度

　　信息安全管理的根本立足點，不只是對設備的保護，也不只是對數(shù)據(jù)的看守，而是規(guī)范企業(yè)員工的行為，這是上升到對人的管理。安全設備的建立只是企業(yè)信息安全的第一步，如何在信息安全體系中有效貫徹安全制度，以及不斷深化全員信息安全意識才是關鍵所在。光依靠技術不能完全解決信息安全問題，因為過了一段時間，一些先進的技術可能就過時了。

　　因此，應該要通過技術設備和規(guī)章制度結合起來的方式，指導和規(guī)范員工正確使用IT資源。所以，CIO需要建立規(guī)范化的信息安全管理制度和安全措施。這些安全措施包括培養(yǎng)員工的安全意識，養(yǎng)成良好的上網(wǎng)習慣，及時升級系統(tǒng)補丁，不要瀏覽不良網(wǎng)站，不隨意下載安裝來歷不明的軟件等。

　　(3)力爭在信息安全投入足夠預算

　　CIO要力爭并確保足夠資金投資于信息安全項目，盡力讓公司為信息安全劃撥一定金額的預算，以承擔安全建設。例如防病毒軟件、防火墻服務器、加密軟件、入侵檢測系統(tǒng)、集中安全管理等成本。

　　有時，公司高層主管會認為CIO對信息安全過于大驚小怪。但CIO要清醒認識到：影響企業(yè)生存的信息出現(xiàn)安全問題，或造成嚴重損害只是個時間問題。對于信息安全來說，生于憂患，死于安樂的意識并不是傳說中的事情。擔憂有人對公司的信息構成危害的心態(tài)，并非總是出于想象中的恐懼。

　　(4)定期進行信息安全檢測

　　在明確了信息安全目標之后，CIO應當就信息安全問題定期進行檢測。一旦安全檢查到現(xiàn)有的運作存在信息安全問題，或評估以往安全措施的執(zhí)行情況存在問題時，CIO就需要立即把解決信息安全的時間計劃提上議事日程。

　　(5)建立信息備份恢復

　　不管企業(yè)愿意不愿意，信息資產總有機會遭受到攻擊和損壞。因此，為了保證業(yè)務的連續(xù)性和安全性，為信息安全配備一套備份與災難恢復系統(tǒng)就非常有必要。當一旦發(fā)生信息安全故障，可以利用災難恢復系統(tǒng)實現(xiàn)快速恢復，使企業(yè)迅速回歸正常運營。

　　總而言之，任何事物都有它的兩面性。正確、恰當?shù)厥褂肐T信息能為企業(yè)帶來飛速的發(fā)展，但由于系統(tǒng)缺陷、人為誤操作、惡意攻擊等不可預料的各種風險也同樣使得企業(yè)信息面臨著巨大的災難。因此，企業(yè)應通過建立冗余機制、災備機制、詳盡的信息安全策略等各種手段來降低企業(yè)的信息安全風險。