“力拓门”暴露信息安全漏洞

李　敬

观点

企业在不断完善自身信息安全的软、硬件建设的同时，还更应该完善自身内部保密规章制度，特别要落实的就是对信息的使用者及其载体——终端，进行监控和审计。

近来，“力拓门”被炒得沸沸扬扬，事件的焦点之一就是“在力拓上海的办公室电脑中发现了大量涉及中国钢铁企业的秘密数据”。事件的原委尚无官方说法，但这并不影响我们对此事所暴露出的商业机密保护问题进行探讨，而透过“力拓门”，我们更看到了网络时代我国企业和事业单位核心信息系统存在的安全管理漏洞。

然而，据笔者调查，这两年内，信息泄露、篡改等安全问题屡见不鲜。从深圳某医疗机构孕妇信息的“泄密光盘”，到车主、股民的信息泄露; 从福彩中奖信息篡改，到“力拓门”事件，以及最近的外媒“精确预测”我国GDP事件，个人隐私、企业商业秘密，甚至国家政府的核心机密，都出现了不同程度的信息安全问题。

对此，信息安全界也推出不少信息保护技术、产品和解决方案，然而，各单位的信息系统却依然受到窃密者的威胁，而且往往是从“堡垒”内部攻破的。那么，如何才能真正行之有效地杜绝漏洞、保护信息的安全呢？

前不久，笔者和网御神州的一位安全专家聊起此话题，这位专家说，目前企业在信息安全建设上普遍存在“重技术、轻管理”，“重建设、轻使用”的问题。企业往往“赶时髦”，配置很多先进的技术，但内部的安全管理制度并未随之完善; 而由于没有一套行之有效的信息监管方案，很多昂贵的安全设备也都成了摆设。

的确，我们的企业在不断完善自身信息安全的软、硬件建设的同时，更应该完善自身内部保密规章制度，特别要落实的就是对信息的使用者及其载体——终端，进行监控和审计。

因为绝大部分机密信息的泄漏都是内部人员造成的，而这些内部人员往往都是从终端将信息传播出去。在这个层面，信息保护就是要对人和终端进行管理。对人，要加强人员的安全保密意识培训，并且要制定令行禁止的安全制度。对终端，就需要建立一套面向终端安全的管理系统，包括终端接入的控制、外设接入控制、终端加固和运行监控等。终端管理的目的是确保终端的合法使用者无法违规，同时确保其他非法人员无法利用终端自身的漏洞进行违规操作。

另外，企事业单位先后部署的防火墙、入侵检测系统、VPN、核心业务保护系统、上网管理系统等，虽然增强了某个方面的安全，却形成了一个个安全防御孤岛，无法产生协同效应。而且这些复杂的IT计算环境及其安全防御设施在运行过程中不断产生大量的安全日志和事件，使管理人员面对这些数量巨大、彼此割裂的安全信息时难以发现真正的安全隐患。对此，我们的企业更需要一个统一的安全审计平台，针对核心基础设施的日志进行统一的收集、审计和分析。