近日,美國“截擊”網站根據斯諾登提供的文件,披露美國國家安全局從2010年就開始實施一個代號為“極光黃金”的秘密監視計劃。通過秘密監視全球手機運營商,以發現手機網絡中的安全漏洞,利用這些漏洞對手機通信進行竊聽。被國安局監視的目標包括世界各地絕大多數手機運營商,其運營的手機網絡覆蓋幾乎每一個國家。這些運營商不僅來自與美國敵對的國家,還來自美國的盟友。利比亞、中國和伊朗的一些運營商也在被監視之列。
“斯諾登”仍然在不斷發酵,不時拋出炸彈,但這也從側面提醒了我們信息安全的重要性。也許以前我們還未對信息安全提起重視和保護的意識,但到了互聯網飛速發展和滲透生活的今天,如果我們還沒有意識好好保護自己,保護企業,那么就猶如裸奔而不自知,是多么可怕的一件事!那么讓我們再次強調一下,信息安全對企業有什么意義呢?
首先我們明白,進入信息時代,一個現代化的企業運營,是無法脫離信息技術和商用IT系統的支撐的。而商用IT最核心的芯片、CPU、操作系統、數據庫系統和Internet互聯網,絕大部分掌握在美國企業和美國政府手里,在一個較長時期內無法撼動。但是,這不代表企業就無所作為,因為除了那些核心之外,企業中還廣泛存在著LAN局域網絡,OA、BPM、CRM、ERP等應用系統,以及管理IT系統的人。我們列出如下一些保障信息安全的方法手段,而無論大中小型企業,結合本企業實際情況,都可以立刻參照實施
。(1)優先采購和使用國產路由器,來組建企業局域網絡
現在的企業級路由器技術和產品都很成熟,作為企業使用常規的功能模塊即可,不要貪圖什么高端或特殊功能模塊。像國內的華為技術、中興通訊、迅捷網絡等廠商都有多年耕耘,甚至進入到核心的芯片設計領域,價格上相比美國思科CISCO還有優勢。而美國政府一直阻撓華為技術、中興通訊進入美國市場,從側面也可印證國產設備的強大競爭力。在企業信息安全方面,斯諾登揭露美國國安局通過思科路由器監控中國網絡和電腦;早前也有傳聞,每一臺思科路由器出廠前,都會經過美國國安局的“檢測”。所以從現在開始,可以優先采購和使用國產路由器,有效避免企業內部信息被泄露和被監控。
(2)優先采購和使用具有核心技術的國產辦公軟件
企業廣泛使用的Office辦公軟件,其生產商微軟公司同樣被斯諾登爆料:與美國政府合作,幫助國安局獲取互聯網加密文件數據。另外,微軟公司在中國啟動了最嚴厲的反盜版措施,包括電腦定時自動黑屏、起訴盜版軟件生產者、直接收集證據起訴盜版使用者。我們建議,一方面,企業采購服務器或PC時,要求供應商預裝正版操作系統;另一方面,避免采購和使用Office辦公軟件,而選擇具有核心技術的國產辦公軟件,譬如WPS Office,在功能體驗上毫不遜色,完全兼容處理Office文檔,而售價還不到Office的1/10。
(3)優先采購和使用具有核心技術的國產應用系統
現代企業的高效運營,離不開OA、BPM、CRM、ERP等企業應用系統的支持。在這些領域,國內的技術和產品都較成熟,服務也快速有效。針對中國國情的特殊性,國產應用系統的適應性還更強,反而國外產品水土不服。當然,我們應該選擇那些具有核心技術的國內產品(而不是基于國外產品或者開源軟件,在外面套層殼或者做個漢化),這樣才能保證系統可靠性、擴展性和信息安全。另外在選擇對比時應該抓住重點:用產品說話,而不是思想、概念、術語或獎項。
(4)慎重選擇基于開源或者腳本語言的應用系統
開源軟件的源碼是公開的,可以被公眾使用,但是開源并不意味著免費。基于開源軟件的應用系統,對于開發者來說省時省力,對于使用者來說則暗藏風險:侵犯第三方權益、留有后門或內嵌廣告、系統漏洞顯著易被攻入等等。基于PHP、ASP、JSP等腳本語言開發的應用系統,也存在完全類似的風險。連自身源碼都無法保護,又怎能保護企業信息安全?不要去擔心美國政府了,一般黑客或者同行就能下手。能夠完整保護自身源碼的,還屬C++、Pascal等編譯語言,國內一些掌握核心技術的廠商正在使用它們,從而大大提升了系統安全性,還有系統性能。
(5)慎重選擇基于云計算或者在線租用的應用系統
云計算的技術正在發展中,本身定義較為復雜。可以簡要理解為:利用互聯網來操作和使用應用系統,業務數據存儲在供應商的“云端”。在線租用的應用系統,與此類似。目前客觀看來,互聯網連接、供應商“云端”、還有供應商自身,都不算非常安全可靠。企業要把重要的業務數據存儲“云端”,需要慎之又慎。值得注意的是,還有“私有云”這樣的概念號稱信息安全,實際上供應商自己也說不清楚。
(6)明確界定IT系統權限,通過流程審批后再授權
好的企業IT應用系統,提供非常細致的權限劃分,譬如:訪問級權限——哪些人能看到什么?操作級權限——哪些人能修改什么?流程級權限——哪些人能授權別人做什么?建議企業明確界定權限,在IT系統初始化時批量配置好。后續系統運行時,申請權限的人都提交一個審批流程,在上級領導審批通過后,再由管理員配置和授權。實踐證明,這種方式能夠分級保護企業的信息安全,避免有意或無意的泄露。
(7)選擇可信的系統管理員,定期進行操作審計
幾乎所有的企業IT系統,都需要一個系統管理員來進行維護、管理或配置,企業應該選擇一個可信的人來承擔。有可能的話,和系統管理員再簽署一份信息保密協議。對于系統管理員的所有操作,好的企業應用系統都留有日志,高級領導可以定期進行審計。通過這些方式方法,企業能夠有效地警示和預防可能的信息泄露,為信息安全再加一把鎖。
京公網安備 11010502049343號