最近一兩年信息泄露的案例屢見不鮮，如富士康泄露iPad2設(shè)計圖、三星泄密事件等各種事件層出不窮，這些信息泄露事件反映出哪些內(nèi)網(wǎng)安全風(fēng)險？哪些經(jīng)驗和教訓(xùn)是值得我們學(xué)習(xí)的？對此，我們采訪了知名業(yè)界專家、企業(yè)代表、廠商專家，集結(jié)三方專家與您一起探討"從泄密事件中看信息防泄漏"。

對于富士康泄露iPad2設(shè)計圖、三星泄密的信息泄密，青島中集冷藏箱制造有限公司信息主任耿峰推斷，他們的防泄露系統(tǒng)沒用完全發(fā)揮作用，問題很有可能不在防泄漏系統(tǒng)本身，而在管理。鄭州三全食品股份有限公司CIO周清湘也有類似的看法，他認為，員工信息安全管理觀念淡薄、信息安全責(zé)任管理概念模糊、缺乏信息安全管理規(guī)范與制度、信息系統(tǒng)用戶授權(quán)寬松而混亂、不負責(zé)任的文件傳輸與散播、肆意放縱對外交互工具的使用、電子文件、資料缺少加密措施是最為突出的幾點內(nèi)網(wǎng)安全風(fēng)險。正是因為不注意這些因素導(dǎo)致嚴(yán)重的信息泄露事故。

為什么會信息會泄密，這些泄露的信息又到了哪里？溢信科技產(chǎn)品總監(jiān)黃凱認為現(xiàn)在的攻擊行為有著更多的牟利傾向，即明確的以盜取信息來換取經(jīng)濟利益，這一點從近期頻發(fā)的黑客事件中得以體現(xiàn)。在經(jīng)濟利益的誘惑下，不但黑客會發(fā)起攻擊，內(nèi)部員工也會鋌而走險，竊取公司機密。iPad2設(shè)計圖泄密事件，就是內(nèi)部人員為了獲取經(jīng)濟利益出賣公司機密的典型案例。三一重工股份有限公司研究總院信息化經(jīng)理譚俊峰也如果認為企業(yè)的核心技術(shù)的保密等級不夠，信息安全意識不強，企業(yè)在信息化過程對信息安全方面規(guī)劃不到位，沒有形成一套完整的信息安全體系并執(zhí)行到位，那么在激烈的市場競爭中造成信息泄密的結(jié)果。

如何在無孔不入的安全威脅中避免內(nèi)網(wǎng)安全風(fēng)險？杭州汽輪機股份有限公司所長黃梁認為，信息的信息化建設(shè)，要形成體系，并且對體系的建設(shè)成果，要進行認證和審核，國內(nèi)標(biāo)準(zhǔn)有GB/T22239等保要求，國際標(biāo)準(zhǔn)有ISO27001等,企業(yè)要按照標(biāo)準(zhǔn)，體系化的建設(shè)信息安全，不能頭痛醫(yī)頭，腳痛醫(yī)腳。鄭州三全食品股份有限公司CIO周清湘認為，建立信息安全管理制度，并賦予實施可以輔助技術(shù)手段，能最大限度的減少機要文件外泄，并且實現(xiàn)不同類型人員對機要文件的授權(quán)使用，幫助企業(yè)減少信息泄露的風(fēng)險。

在制度上有保障后，我們還應(yīng)該注意什么呢？青島中集冷藏箱制造有限公司信息主任耿峰說出了自己的看法，他認為再好的系統(tǒng)也是由人來使用的，"安全以人為本"最為重要。溢信科技產(chǎn)品總監(jiān)黃凱分析近年來發(fā)生的信息泄漏事件，富士ipad泄密事件、LG等離子泄密等事件，無一例外都是因為擁有合法權(quán)限的用戶，鉆了企業(yè)管理流程中的空子，反映在實際情況中可能是權(quán)限控制不夠嚴(yán)格、審計不徹底、離職權(quán)限未及時回收等。IT管理者有必要根據(jù)自身的實際需求，制定更加嚴(yán)謹(jǐn)?shù)谋Ｃ荏w系，并尋求技術(shù)的幫助來保證保密體系發(fā)揮作用。對于內(nèi)網(wǎng)安全尤其應(yīng)關(guān)注的"人"的因素，在目前信息化應(yīng)用十分先進的背景下，也很容易造成更加嚴(yán)重的后果。

知名制造業(yè)信息化專家黃培博士一針見血的指出，先進的技術(shù)并不足以保障數(shù)據(jù)的安全，世界上也沒有百分之百的安全。技術(shù)構(gòu)建的壁壘總是可以被攻破的，完善的安全制度、人員的管理也非常重要，另外還要加強執(zhí)行和審計的部分。制度得不到執(zhí)行，就沒有任何意義，審計也不能僅僅是事后再進行，要通過日常的審計工作發(fā)現(xiàn)潛在的威脅。

通過各方專家的論述，我們能夠清楚的看到，信息防泄漏并不是一項簡單的工作。通過各種安全技術(shù)，企業(yè)可以構(gòu)建起堅固的堡壘，但是僅靠技術(shù)是遠遠不夠的，我們應(yīng)當(dāng)綜合考慮各方面因素構(gòu)建起覆蓋全局的防泄漏體系，使得企業(yè)內(nèi)部的操作可視化，并能根據(jù)每個部門涉密級別的不同，部署力度輕重有別的整體防護，否則它就是被繞過的馬其諾防線；我們也應(yīng)當(dāng)注意到，堅固的堡壘往往是從內(nèi)部被攻破，因此對于"人"的管理也是信息防泄漏工作中的重要一環(huán)，信息的權(quán)限管理需要根據(jù)具體的情況進行動態(tài)性的調(diào)整，避免機密信息被隨意查看、分享。

層出不窮的泄密事件讓我們警醒，也讓我們明白信息防泄漏是一場曠日持久的戰(zhàn)爭。這場戰(zhàn)爭不是一成不變的，隨著技術(shù)的不斷發(fā)展，我們會得到更好的防護技術(shù)，也同樣會面臨更多的安全威脅。隨著技術(shù)的快速發(fā)展，云計算、移動應(yīng)用、社交網(wǎng)絡(luò)已經(jīng)成為許多員工的日常應(yīng)用，這些設(shè)備與技術(shù)的應(yīng)用，對內(nèi)網(wǎng)安全又帶來了哪些影響？請看"內(nèi)網(wǎng)安全 十年十辯" 之九--信息防泄漏的新挑戰(zhàn)。