2002年世界第二大的系统集成商日本富士通公司因为内部的人员泄露了日本防卫厅的机密系统的设计word文档, 不仅使富士通为此损失了5000万美元,更致命的是富士通在五年之内都不可能承揽到日本军方的任何项目。富士通的管理人员说:“事情的原因大体查明,这次泄密主要是因为内部的工程师在做设计的时候,复 制了共享的设计文档,然后通过移动硬盘带到了公司外部。转手要卖给外国的情报机构的时候,被日本国家安全部门发现。”
但富士通公司的惨痛教训并没有引起国内一些公司的重视,泄密事件还是屡屡发生。前不久《北京青年报》、《21世纪经济报道》、新浪网、人民网等中国各大媒体争相报道了关于亚信公司的资料被盗的消息。大概的内容是:著名的电信方案提供商亚信、华为等国内外大型IT企业遇到了来自盗版的威胁: 亚信价值千万的“中国网通运营维护支撑系统”“北京电信公众IP网络集成工程规范书”整体技术解决方案及技术文档被做成光盘打包在中关村和网络上热销的。
内部的泄密这些都源于企业的内部的信息安全管理上的疏漏,外界的黑客攻击虽然可以惹人注目,但真正的威胁确是这些来自利用网络窃取秘密的内部员工。窃取秘密的源头不排除公司内部和合作伙伴以及某些相应客户对文件的管理不慎。所以,如何保护企业的电子文档,保护企业的商业机密已经是迫在眉睫的事情,也给企业的IT技术人员及软件企业的发展新的产品提供了思路。
网络安全误区:有了防火墙就万事大吉
去年,中国黑客攻击了日本政府某部门的网页。由此在世界范围,引起了在企业或政府内部是否已经设置了防火墙的话题。在美国防火墙的设置率为87%;日本为69%,中国也达到了60%。诚然设置防火强很重要,在中国很多企业的管理人中有这样一种误解:很多人认为有了防火墙,企业的网络安全就万事大吉。其实这是错误的,防火强有很大的局限性。
防火墙从功能上讲,主要是防止外来攻击与控制对服务器的访问,宛如就像现在一些企业的门卫一样。如果是门卫,当然就会有它的极限。一般门卫主要是对外来的来访者登记身份证,但一旦来访者进入了公司,我们就不能对其做任何控制。因此,为了增加安全性,公司为门卫提供了外来人员可以访问的部门的名单。这个名单好比于防火墙中设置好的可以让外界计算机程序可以访问的内部服务器的功能。但是,外来人员可以伪装成合法的访问者。他们一旦进入内部之后,就可以无法无天的做任何事情,所以我们要能够辨别其身份的真实性。但有些时候就达不到这样的功能,去年的席卷全世界的NIMDA病毒就是大摇大摆的合法通过防火墙感染到企业内部计算机的。
所以企业内部在考虑网络安全的时候,防火墙永远只是系统平台正常运行的一个基础,为了保护企业的信息安全还远远不够。同时加强技术管理的同时,还要完善企业网络安全的制度和加强员工教育。
关注此文的读者还看过: