书城工业安全责任重于泰山
805900000013

第13章 保障信息安全,建立安全“防火墙”(2)

Mac Dermott表示已在通知了所有相关人员,并且指出没有理由相信有任何资料已被利用。

Deloitte & Touche USA事务所对该事件予以了证实,承认是他们的一位员工将没有标记的备份光盘落在了飞机座位的物品袋中,但该事务所强调说没有发现资料被非授权存取的迹象。

Mc Afee事件只是近年来一系列信息安全疏忽中最新的一起。根据隐私权信息中心Privacy Rights Clearing house统计,2005年到2006年,共有数十起安全意外发生,造成5300多万人的资料被曝光。美国银行的用户资料备份磁带在空运过程中遭窃,大约120万美国联邦雇员的个人信息因此丢失。

信息安全是要保护数据私密性、完整性以及可用性,以免数据被意外抑或故意误用。每一个员工在当今信息流动巨大,信息安全时刻受到威胁的环境下,为了企业的安全,为了自身利益不受侵犯,要主动担起“首席安全官”的责任,保障企业的信息安全。

责任多一点,损失少一点

企业面对的信息安全问题正在变得复杂化。从便携设备到可移动存储,再到基于Web的协作应用,乃至基于IP的语音技术,每一类新产品都有新的安全问题与之相伴而生。系统在面临着日趋复杂的威胁的同时,遭受攻击的次数也日益增多。对此,安全专家和业务技术人员列出了企业所面临的许多挑战,按比例依次为:提高用户意识(41%)、加强安全策略(36%)、加强对系统访问的控制(26%),以及获取更多的资源(23%)。可见,用户安全意识是维护信息安全最为重要的方面。信息安全的维护依靠每一个人的努力,每一名对企业有责任感的员工,都会把企业当成自己的家,会尽最大努力完成自己的每一项工作,把安全风险降低到最低限度,小心地使用网络服务设施,保护企业资源,维护企业信息安全,高效率地利用好自己的时间。这样,不论是查看网页,还是使用移动存储设备,查看邮件,或者是设置安全防护密码,他都会最大限度地做到小心谨慎,以防企业因为信息安全漏洞遭受巨大的损失。

据《纽约时报》网络版的消息称,美国头号家居修缮零售商Home Depot公司表示,公司的一台笔记本被盗,该笔记本里存储有1万名雇员的个人信息。该笔记本为马塞诸塞州的一个地区经理所拥有,根据这位经理的描述,当时他把车停在了路边,却忘记拿出车里的笔记本。

Home Depot公司的发言人Ron De Feo表示,幸运的是,这台被盗笔记本里没有存储消费用户的信息。他表示该笔记本系统进入采用了密码设置,但他没有说明里面的员工信息是否经过加密保护。

该笔记本存储的信息包括员工的名字、家庭住址、社会保险号,这些信息对于美国人来说极为隐私。Home Depot公司的发言人表示,盗贼可能并不是想要里面的数据,而只是想偷走笔记本而已。

上例中的区域经理因为一时的大意丢失了重要的信息资源,虽然没有造成什么损失,但并不是每次都能遇到买椟还珠的小偷的。我们要树立安全责任意识,将保护信息安全作为自己的一种习惯。

晓云是一家公司的白领,她每天的工作和众多的公司白领没有什么大的区别,早晨到公司打开电脑,她的电脑设有开机密码,当然这个密码没有人知道,并且她会时时更新密码,公司的文档同样设了密码,并且都有备份。在办公室,她有一个专用的移动硬盘,里面有着每份文件的备份,每次使用后,她都会把硬盘锁好,收好钥匙才会离开。她一旦要离开办公桌时,都会将电脑上锁,上班时间里,晓云从不会浏览一些无用的网站,或者点击一些不明来历的链接,因此她的电脑是全公司最“健康”的电脑,很少被病毒侵袭。有人问晓云:“干吗成天这么小心翼翼的,搞得神经兮兮的,很多人不像你这样,一样没出过问题啊。”晓云答:“一旦出问题,一切都晚了,损失是我无法弥补的,所以我要养成好的习惯。”

晓云是一个相当有责任心的人,她懂得信息安全的重要性,知道企业的信息安全一旦出问题,责任重大。因此要时时注意,处处小心。

要注意信息安全不是要消除系统或设施面临的所有威胁,而是消除已知的威胁,在系统被黑客利用漏洞成功入侵后将损失降到最小。因此我们在做信息安全维护工作时要对不同层次的风险,投入相当数量的资源,以保持其收益平衡,避免浪费资源。总之,责任多一点,损失就会少一些。

恪守商业秘密,不要让诱惑毁掉生活

在2003年举办的英国最大的信息技术安全展览“信息安全欧洲2003”上,展览的组织者派遣研究人员到伦敦沃特卢车站进行调查。研究人员免费给车站来往的乘客一支钢笔,但要求他们透露他们办公室电脑的密码,发现竟然有3/4的人马上透露了密码,剩下1/4的乘客经过委婉的试探后,也都泄露了密码。类似这样的研究表明,人们为了一点小利会轻易地泄露安全信息。

美国民间组织隐私权数据交换中心自2005年初Choicepoint数据外泄事件(2004年底该公司被黑客窃取了145万名客户的个人信息,包括社会安全号码和信用卡记录等资料,公司在2005年初才将真相公之于世)后,即对美国的资料安全状况展开了持续的跟踪调查。如果从安全威胁波及程度的角度来看,自2005年1月起有超过600项违规操作被举报,造成了超过16亿个数据记录外泄,其中包括敏感的个人信息数据。而这只是保守估计,由于很多提交报告的企业并不知道数据记录泄漏的确切数目,还有的不愿意透露确切数目,所以估计这个数目还不到实际数目的一半。2006年的个人资料外泄事件再攀新高,涉及上市公司、私人所有企业、非营利企业和各级政府机关,涉及的数据包括高度敏感的健康医疗信息、财政信息、就业信息、信用卡信息、社会安全信息和其他的个人资料。

来自企业内部的威胁占据了主要地位,上述的违规行为中约有60%来自内部。敏感个人信息的黑市交易对于某些人而言是个巨大的诱惑,因为盗窃数据俨然已经成为能带来滚滚财源的生意。是的,随着IT技术的发展,人们获取信息的速度日益加快,可能只要通过一个U盘,一分钟的时间就可以拷走上百兆的资料,而这些资料可能具有难以估量的价值,因此说一分钟损失几千万绝对不是危言耸听。

2002年,原华为公司传输部技术人员王志骏、刘宁、秦学军因与华为公司发生法律纠纷,被国家公安机关羁押。华为称这几名员工以自主创业为名“盗窃”了公司的核心技术。离开华为后,他们在上海成立了上海沪科科技有限公司,并将“窃取”的核心技术资料卖给了华为公司的直接竞争对手。

2004年5月,某大型企业研发中心发现某国外竞争对手领先一步完成了A产品的设计开发,该研发中心领导一下就懵了。A产品的设计开发可是该企业的重大研发项目,该企业想依托A产品完成产品线的转换,大笔资金投入到该项目,众多研发人员也付出了艰辛的劳动。企业在项目立项及开发过程中,从未听说有哪家单位也在进行A产品的开发,为什么竞争对手开发速度如此之快?

情况汇报给企业老总后,老总的第一反应就是内部人员泄密,随即下令该项目所有人员停止开发,迅速离开工作岗位,并向公安部门报案。公安部门技术人员到达现场后,发现该研发中心保密工作存在重大疏漏:设计人员电脑与普通工作人员电脑连在同一个局域网内、计算机端口允许人员将资料随意拷出、设计人员将某些机密文件设成共享、打印资料随意带出、所有电脑都可以上互联网……经过检查,公安部门初步判定为内部人员泄密,但是要查出是谁将资料泄密,难度太大。最终该案不了了之,企业也只能对研发中心领导进行降职处罚,该企业付出的1000余万元研发费用、众多研发人员的辛勤劳动全部付诸东流。

见到利益,人人都想得到,而且希望越多越好,这是世人的共同心理,也是人的本性,没有什么不正常。关键是,不能将这种欲望作为工作的唯一目的,更不能为达到这一目的不择手段、铤而走险。欲望,永不满足的欲望,一方面是人们不懈追求的原动力,成就了人往高处走、水往低处流的箴言;另一方面也诠释了“有了千田想万田,当了皇帝想成仙”、“贪心不足蛇吞象”的人性弱点。致使一个人最终无法获得幸福,坠入痛苦的深渊。

另外,古往今来,贪婪成性的大有人在,因贪婪而身败名裂,甚至招致杀身之祸的人更是不胜枚举,贪婪驱使他们作出种种错误的抉择。

凯特是加拿大一家医院的医生,她采用开处方的手段从所在医院的药房中骗取吗啡40克,然后利用职权向常来看病的吸毒者暗示,让他们下班后到其家中买药。通过这种手段,凯特将稀释为72克的吗啡卖出,从中获取高额利润。

不久之后,凯特的罪行被警察发现,等待她的是法律的严惩。

从圣洁的“白衣天使”堕落为囚徒,凯特利用职务之便作出的这件违法之事,确实发人深省。利用职务或工作之便,做违背职业道德之事,其动机与行为都是极为可恶的。

生存在这个世界上,每个人都要承担责任,当你尝试着对自己的工作负责的时候,你的生活每天都会充满阳光,你的工作也会非常有意义。对工作负责,就是对自己负责。恪守企业的商业秘密,千万不要让眼前的诱惑彻底毁掉自己的生活。