近日,美國(guó)“截?fù)?rdquo;網(wǎng)站根據(jù)斯諾登提供的文件,披露美國(guó)國(guó)家安全局從2010年就開(kāi)始實(shí)施一個(gè)代號(hào)為“極光黃金”的秘密監(jiān)視計(jì)劃。通過(guò)秘密監(jiān)視全球手機(jī)運(yùn)營(yíng)商,以發(fā)現(xiàn)手機(jī)網(wǎng)絡(luò)中的安全漏洞,利用這些漏洞對(duì)手機(jī)通信進(jìn)行竊聽(tīng)。被國(guó)安局監(jiān)視的目標(biāo)包括世界各地絕大多數(shù)手機(jī)運(yùn)營(yíng)商,其運(yùn)營(yíng)的手機(jī)網(wǎng)絡(luò)覆蓋幾乎每一個(gè)國(guó)家。這些運(yùn)營(yíng)商不僅來(lái)自與美國(guó)敵對(duì)的國(guó)家,還來(lái)自美國(guó)的盟友。利比亞、中國(guó)和伊朗的一些運(yùn)營(yíng)商也在被監(jiān)視之列。
“斯諾登”仍然在不斷發(fā)酵,不時(shí)拋出炸彈,但這也從側(cè)面提醒了我們信息安全的重要性。也許以前我們還未對(duì)信息安全提起重視和保護(hù)的意識(shí),但到了互聯(lián)網(wǎng)飛速發(fā)展和滲透生活的今天,如果我們還沒(méi)有意識(shí)好好保護(hù)自己,保護(hù)企業(yè),那么就猶如裸奔而不自知,是多么可怕的一件事!那么讓我們?cè)俅螐?qiáng)調(diào)一下,信息安全對(duì)企業(yè)有什么意義呢?
首先我們明白,進(jìn)入信息時(shí)代,一個(gè)現(xiàn)代化的企業(yè)運(yùn)營(yíng),是無(wú)法脫離信息技術(shù)和商用IT系統(tǒng)的支撐的。而商用IT最核心的芯片、CPU、操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)和Internet互聯(lián)網(wǎng),絕大部分掌握在美國(guó)企業(yè)和美國(guó)政府手里,在一個(gè)較長(zhǎng)時(shí)期內(nèi)無(wú)法撼動(dòng)。但是,這不代表企業(yè)就無(wú)所作為,因?yàn)槌四切┖诵闹?,企業(yè)中還廣泛存在著LAN局域網(wǎng)絡(luò),OA、BPM、CRM、ERP等應(yīng)用系統(tǒng),以及管理IT系統(tǒng)的人。我們列出如下一些保障信息安全的方法手段,而無(wú)論大中小型企業(yè),結(jié)合本企業(yè)實(shí)際情況,都可以立刻參照實(shí)施
。(1)優(yōu)先采購(gòu)和使用國(guó)產(chǎn)路由器,來(lái)組建企業(yè)局域網(wǎng)絡(luò)
現(xiàn)在的企業(yè)級(jí)路由器技術(shù)和產(chǎn)品都很成熟,作為企業(yè)使用常規(guī)的功能模塊即可,不要貪圖什么高端或特殊功能模塊。像國(guó)內(nèi)的華為技術(shù)、中興通訊、迅捷網(wǎng)絡(luò)等廠商都有多年耕耘,甚至進(jìn)入到核心的芯片設(shè)計(jì)領(lǐng)域,價(jià)格上相比美國(guó)思科CISCO還有優(yōu)勢(shì)。而美國(guó)政府一直阻撓華為技術(shù)、中興通訊進(jìn)入美國(guó)市場(chǎng),從側(cè)面也可印證國(guó)產(chǎn)設(shè)備的強(qiáng)大競(jìng)爭(zhēng)力。在企業(yè)信息安全方面,斯諾登揭露美國(guó)國(guó)安局通過(guò)思科路由器監(jiān)控中國(guó)網(wǎng)絡(luò)和電腦;早前也有傳聞,每一臺(tái)思科路由器出廠前,都會(huì)經(jīng)過(guò)美國(guó)國(guó)安局的“檢測(cè)”。所以從現(xiàn)在開(kāi)始,可以優(yōu)先采購(gòu)和使用國(guó)產(chǎn)路由器,有效避免企業(yè)內(nèi)部信息被泄露和被監(jiān)控。
(2)優(yōu)先采購(gòu)和使用具有核心技術(shù)的國(guó)產(chǎn)辦公軟件
企業(yè)廣泛使用的Office辦公軟件,其生產(chǎn)商微軟公司同樣被斯諾登爆料:與美國(guó)政府合作,幫助國(guó)安局獲取互聯(lián)網(wǎng)加密文件數(shù)據(jù)。另外,微軟公司在中國(guó)啟動(dòng)了最嚴(yán)厲的反盜版措施,包括電腦定時(shí)自動(dòng)黑屏、起訴盜版軟件生產(chǎn)者、直接收集證據(jù)起訴盜版使用者。我們建議,一方面,企業(yè)采購(gòu)服務(wù)器或PC時(shí),要求供應(yīng)商預(yù)裝正版操作系統(tǒng);另一方面,避免采購(gòu)和使用Office辦公軟件,而選擇具有核心技術(shù)的國(guó)產(chǎn)辦公軟件,譬如WPS Office,在功能體驗(yàn)上毫不遜色,完全兼容處理Office文檔,而售價(jià)還不到Office的1/10。
(3)優(yōu)先采購(gòu)和使用具有核心技術(shù)的國(guó)產(chǎn)應(yīng)用系統(tǒng)
現(xiàn)代企業(yè)的高效運(yùn)營(yíng),離不開(kāi)OA、BPM、CRM、ERP等企業(yè)應(yīng)用系統(tǒng)的支持。在這些領(lǐng)域,國(guó)內(nèi)的技術(shù)和產(chǎn)品都較成熟,服務(wù)也快速有效。針對(duì)中國(guó)國(guó)情的特殊性,國(guó)產(chǎn)應(yīng)用系統(tǒng)的適應(yīng)性還更強(qiáng),反而國(guó)外產(chǎn)品水土不服。當(dāng)然,我們應(yīng)該選擇那些具有核心技術(shù)的國(guó)內(nèi)產(chǎn)品(而不是基于國(guó)外產(chǎn)品或者開(kāi)源軟件,在外面套層殼或者做個(gè)漢化),這樣才能保證系統(tǒng)可靠性、擴(kuò)展性和信息安全。另外在選擇對(duì)比時(shí)應(yīng)該抓住重點(diǎn):用產(chǎn)品說(shuō)話,而不是思想、概念、術(shù)語(yǔ)或獎(jiǎng)項(xiàng)。
(4)慎重選擇基于開(kāi)源或者腳本語(yǔ)言的應(yīng)用系統(tǒng)
開(kāi)源軟件的源碼是公開(kāi)的,可以被公眾使用,但是開(kāi)源并不意味著免費(fèi)?;陂_(kāi)源軟件的應(yīng)用系統(tǒng),對(duì)于開(kāi)發(fā)者來(lái)說(shuō)省時(shí)省力,對(duì)于使用者來(lái)說(shuō)則暗藏風(fēng)險(xiǎn):侵犯第三方權(quán)益、留有后門或內(nèi)嵌廣告、系統(tǒng)漏洞顯著易被攻入等等。基于PHP、ASP、JSP等腳本語(yǔ)言開(kāi)發(fā)的應(yīng)用系統(tǒng),也存在完全類似的風(fēng)險(xiǎn)。連自身源碼都無(wú)法保護(hù),又怎能保護(hù)企業(yè)信息安全?不要去擔(dān)心美國(guó)政府了,一般黑客或者同行就能下手。能夠完整保護(hù)自身源碼的,還屬C++、Pascal等編譯語(yǔ)言,國(guó)內(nèi)一些掌握核心技術(shù)的廠商正在使用它們,從而大大提升了系統(tǒng)安全性,還有系統(tǒng)性能。
(5)慎重選擇基于云計(jì)算或者在線租用的應(yīng)用系統(tǒng)
云計(jì)算的技術(shù)正在發(fā)展中,本身定義較為復(fù)雜。可以簡(jiǎn)要理解為:利用互聯(lián)網(wǎng)來(lái)操作和使用應(yīng)用系統(tǒng),業(yè)務(wù)數(shù)據(jù)存儲(chǔ)在供應(yīng)商的“云端”。在線租用的應(yīng)用系統(tǒng),與此類似。目前客觀看來(lái),互聯(lián)網(wǎng)連接、供應(yīng)商“云端”、還有供應(yīng)商自身,都不算非常安全可靠。企業(yè)要把重要的業(yè)務(wù)數(shù)據(jù)存儲(chǔ)“云端”,需要慎之又慎。值得注意的是,還有“私有云”這樣的概念號(hào)稱信息安全,實(shí)際上供應(yīng)商自己也說(shuō)不清楚。
(6)明確界定IT系統(tǒng)權(quán)限,通過(guò)流程審批后再授權(quán)
好的企業(yè)IT應(yīng)用系統(tǒng),提供非常細(xì)致的權(quán)限劃分,譬如:訪問(wèn)級(jí)權(quán)限——哪些人能看到什么?操作級(jí)權(quán)限——哪些人能修改什么?流程級(jí)權(quán)限——哪些人能授權(quán)別人做什么?建議企業(yè)明確界定權(quán)限,在IT系統(tǒng)初始化時(shí)批量配置好。后續(xù)系統(tǒng)運(yùn)行時(shí),申請(qǐng)權(quán)限的人都提交一個(gè)審批流程,在上級(jí)領(lǐng)導(dǎo)審批通過(guò)后,再由管理員配置和授權(quán)。實(shí)踐證明,這種方式能夠分級(jí)保護(hù)企業(yè)的信息安全,避免有意或無(wú)意的泄露。
(7)選擇可信的系統(tǒng)管理員,定期進(jìn)行操作審計(jì)
幾乎所有的企業(yè)IT系統(tǒng),都需要一個(gè)系統(tǒng)管理員來(lái)進(jìn)行維護(hù)、管理或配置,企業(yè)應(yīng)該選擇一個(gè)可信的人來(lái)承擔(dān)。有可能的話,和系統(tǒng)管理員再簽署一份信息保密協(xié)議。對(duì)于系統(tǒng)管理員的所有操作,好的企業(yè)應(yīng)用系統(tǒng)都留有日志,高級(jí)領(lǐng)導(dǎo)可以定期進(jìn)行審計(jì)。通過(guò)這些方式方法,企業(yè)能夠有效地警示和預(yù)防可能的信息泄露,為信息安全再加一把鎖。