时间:2022-11-13 09:47:29
绪论:在寻找写作灵感吗?爱发表网为您精选了8篇信息安全调查报告,愿这些内容能够启迪您的思维,激发您的创作热情,欢迎您的阅读与分享!
根据市人民政府办公室《关于开展政府信息系统安全的检查的通知》(天政电[2010]52号)文件精神。我镇对本镇信息系统安全情况进行了自查,现汇报如下:
一、自查情况
(一)安全制度落实情况
1、成立了安全小组。明确了信息安全的主管领导和具体负责管护人员,安全小组为管理机构。
2、建立了信息安全责任制。按责任规定:保密小组对信息安全负首责,主管领导负总责,具体管理人负主责。
3、制定了计算机及网络的保密管理制度。镇网站的信息管护人员负责保密管理,密码管理,对计算机享有独立使用权,计算机的用户名和开机密码为其专有,且规定严禁外泄。
(二)安全防范措施落实情况
1、计算机经过了保密技术检查,并安装了防火墙。同时配置安装了专业杀毒软件,加强了在防篡改、防病毒、防攻击、防瘫痪、防泄密等方面有效性。
2、计算机都设有开机密码,由专人保管负责。同时,计算机相互共享之间没有严格的身份认证和访问控制。
3、网络终端没有违规上国际互联网及其他的信息网的现象,没有安装无线网络等。
4、安装了针对移动存储设备的专业杀毒软件。
(三)应急响应机制建设情况
1、制定了初步应急预案,并随着信息化程度的深入,结合我镇实际,处于不断完善阶段。
2、坚持和计算机系统定点维修单位联系机关计算机维修事宜,并商定其给予镇应急技术以最大程度的支持。
3、严格文件的收发,完善了清点、修理、编号、签收制度,并要求信息管理员每天下班前进行系统备份。
(四)信息技术产品和服务国产化情况
1、终端计算机的保密系统和防火墙、杀毒软件等,皆为国产产品。
2、公文处理软件具体使用金山软件的wps系统。
3、工资系统、年报系统等皆为市政府、市委统一指定产品系统。
(五)安全教育培训情况
1、派专人参加了市政府组织的网络系统安全知识培训,并专门负责我镇的网络安全管理和信息安全工作。
2、安全小组组织了一次对基本的信息安全常识的学习活动。
二、自查中发现的不足和整改意见
根据《通知》中的具体要求,在自查过程中我们也发现了一些不足,同时结合我镇实际,今后要在以下几个方面进行整改。
1、安全意识不够。要继续加强对机关干部的安全意识教育,提高做好安全工作的主动性和自觉性。
2、设备维护、更新及时。要加大对线路、系统等的及时维护和保养,同时,针对信息技术的飞快发展的特点,要加大更新力度。
金融信息化是一个热点话题,关系金融行业的稳定性和发展。所谓金融信息化,是构建在由通信网络、计算机、信息资源和人力资源等四要素组成的国家信息基础框架之上,由具有统一技术标准,能以不同速率传送数据、语音、图形图像、视频影像的综合信息网络,将具备智能交换和增值服务的多种以计算机为主的金融信息系统互连在一起,创造金融经营、管理、服务新模式的长期系统工程。
当今世界经济全球化趋势日益明显,经济全球化,首先是信息全球化,随着人类社会进入信息时代,金融信息化进程加快,因特网在信息全球化中扮演着非常重要的角色。通信、计算机技术等高科技手段在银行业广泛运用,外资银行大举进入,网络银行迅速发展,给人们带来方便的同时,利用信息网络技术犯罪也在迅速增长。曾几何时,银行存折和信用卡明明在自己手里,银行支票和印章明明锁在保险柜里,计算机操作密码慎之又慎,账户上的存款却不翼而飞。
安全是金融信息系统的生命。在金融信息系统日益发展,信息越来越向上集中,规模越来越大,金融业对它的依赖性不断增加的同时,金融信息化系统安全的重要性也与日俱增。它关系到金融机构的生存和经营的成败,所以,应把金融信息化系统的安全视同资金的安全一样作是金融机构的生命。金融信息系统的安全不仅是金融行业本身的问题,它与我国的经济安全、社会安全和国家安全紧密相连,是保障金融业稳定发展、增强竞争力和生存能力的重要组成部分,金融信息系统的安全已成为我国金融信息化建设中具有战略意义的关键问题。
鉴于金融信息化安全的重要性,对阳泉市农村信用社信息化建设进行了初步调查,发现存在以下几方面的安全问题:
(1)内网与外网没有安全隔离。
目前,我们的业务网络与外网没有完全隔离,并未采取有效的安全措施、运行业务系统的计算机在没有相应安全措施的情况下与外网进行连接。
(2)一些拓展服务没有相应的安全保障措施。
我们的一些拓展服务,没有相应的安全措施。如网上对账系统,服务器运行于外网环境中,没有相应的安全措施,那么可能造成客户信息的泄密;对账系统运行于HTTP协议下,此协议不具备数据加密等要求,同样在数据传输中可能造成客户信息的泄密。
(3)员工信息化安全意识淡薄。
员工对业务系统、计算机密码的设置、保管、更换没有引起高度的重视。很多人的密码较简单,还有很多人的密码为系统预设密码。
(4)计算机外设的使用没有安全保障措施。
对于大多数的计算机外设的使用,我们没有相应的安全制度和措施。外设的随意使用,可能造成我们信息的泄密,如:移动硬盘。
针对以上问题,经过分析研究,觉得以下几方面的措施,可以有力的保障信息安全:
(1) 内网与外网进行有效隔离。
针对内网与外网有效隔离,可以采取运行内网业务计算机上安装杀毒软件、防火墙,并及时更新病毒库、定时查杀;对计算机进行定期扫描系统及应用漏洞;避免安装未知软件,软件均由内网FTP服务器下载;外网出口架设硬件防火墙,并配置访问控制列表,防止计算机被攻击、下马。
(2) 拓展业务采取安全保障措施。
对于拓展业务采取相应的安全保障措施。接入外网的服务器,安装杀毒软件、防火墙,并及时更新病毒库、定时查杀;进行定期扫描系统及应用漏洞;禁止安装非业务相关软件;外网出口架设硬件防火墙,并配置访问控制列表,除业务应用外所有端口封闭;WEB应用采用安全的传输模式,如HTTPS,制作访问证书,并对相应客户颁发相应的访问证书,否则无法访问到业务服务器,并对证书进行定期撤销、更新;修改应用及数据库常用端口、避免端口被扫描及攻击;WEB应用的用户名密码采取MD5方式加密,该加密方式为不可逆,防止客户用户名与密码被窃取;
(3)加强员工信息安全培训。
分批、分级对员工进行信息安全培训,加强员工对信息安全的重视程度、培养信息安全方面的基础知识。
2016年11月29日,普华永道2017年全球信息安全状况调查报告(以下简称“调查”)。此次调查是2016年4月至6月由普华永道和CIO与CSO杂志联合在互联网上开展的全球范围调查研究。调研对象来自CIO和CSO杂志的读者与普华永道的客户群体,涵盖133个国家,其中超过10,000份调研来自CEO(首席执行官)、CFO(首席财务官)、CIO(首席信息官)、CISO(首席信息安全官)、CSO(首席安全官)、VP(副总裁)以及IT与安全总监,48%的受访企业年收益超过5亿美元。
调查显示,在过去12个月中,中国内地及香港企业检测到的信息安全事件平均数量高达2,577起,是前次调查记录的两倍,较2014年更是攀升969%。
同时,调查发现,在过去一年中,全球各行业检测到的信息安全事件平均数量有所下降,为4,782起,比2014年减少3%。
中国受访企业在信息安全方面的投资预算比去年削减了7.6%。值得注意的是,88%的中国受访企业认为,他们在信息安全上的投入受到了数字化的影响,而投入的重点主要集中在那些与企业自身的商业战略及安全监管相匹配的网络安全方面。此外,31.5%的中国受访企业表示其有意在人工智能、机器学习等先进安全技术领域进行投资。
对此,普华永道中国网络安全与隐私保护服务合伙人冼嘉乐认为,“国内一些有前瞻性的企业已经在调整信息安全的投资方向,通过加大对先进网络信息安全技术的投入,来明确并加强其独有的商业价值,为业务增长保驾护航。”
根据调查反馈,针对信息安全事件的攻击途径,49%的中国内地及香港受访者表示,网络钓鱼欺诈是主要手段,而商务邮件首先成为重灾区。44%的中国受访企业认为,内部原因是网络安全的最大威胁。同时,商业竞争对手也是不可忽视的因素。34%的中国受访企业将攻击归因于竞争对手,高于全球数值(23%)。
在商业机会和风险不断演变的大环境中,如何加强物联网中各个连接设备的网络安全,如何利用云科技来部署企业敏感职能已成为企业探索的主要方向。本期调查显示,57%的中国内地及香港受访企业正在对物联网安全策略进行投资(全球为46%),并且已有约45%的IT系统是基于云技术运行的(全球为48%)。
与此同时,根据调查反馈,75%的中国内地及香港受访企业在使用开源软件(全球为53%)。受访企业认为安全管理服务和开源软件能够有效提升企业信息安全水平。
冼嘉乐表示,企业在信息安全方面,应当重视员工的信息安全意识培训,同时做好企业数据的分类工作、对数据分类进行风险评估,并按照级别对信息采取相应的保护措施;采用科技数据保护方案是十分必要的;企业应该加强信息安全的管理,并提高对受访者身份的识别能力。
根据BSA|软件联盟的一项调查显示,全球范围内,每7分钟就有一家企业遭到恶意攻击。而根据普华永道的一项调查,2015年在中国内地和香港企业监测到的信息安全事件比2014年上升了5倍之多。仅在2015年,网络攻击给全球经济造成损失超过4000亿美元,同时,超过4910亿美元用于解决与非授权软件相关的恶意软件问题;全球31%的高管表示他们的品牌或声誉因为安全事件而受到损害。而在这些触目惊心的数字中,金融等关键行业更是重点攻击和侵扰目标。
软件资产管理(SAM):超互联时代信息安全的重要防线
超互联环境下,信息安全建设是一个巨大的系统工程,需要整体调研、布局、部署、实施与维护,步步为营,方能将威胁与漏洞拒之于外。而在这个巨大的系统工程中,软件资产管理(SAM)占据着极其重要地位。
但实际上,不少企业并没有高度重视这自我检查和管理的过程,导致企业信息系统面临病毒和网络攻击等各种安全隐患。据BSA|软件联盟今年5月的一个软件调查报告显示,在全球所有已经安装的软件当中,39%的软件没有经过授权,而在金融、证券、保险等关键行业中,高达25%的软件未经过授权;全球49%的CIO意识到安全威胁来自于未经许可的软件,但是仅35%的企业制定了相关的书面政策。
对于金融证券业来说,如果不能合理有效的管理软件资产,不能确保网络中运行的软件100%合法或已经得到充分授权,无疑于是“引狼入室”般的行为――虽然金融证券业的正版软件使用率一直领先于各行业,但25%的缺漏仍是让人触目惊心:这25%的背后更代表着软件资产管理的巨大缺失与不足。当企业无法对与自身核心业务水融的软件资产实现100%正版化时,这说明企业未能完全了解自身所面临的各种安全风险,更未从软件的采购、授权、部署、维护到回收的全生命周期管理着手,未雨绸缪,未能将这种风险防范于未然。
如何筑就网络安全的重要防线
一般来说,仅需四步即可初步创建一个有效的软件资产管理体系:
首先,需要对企业现有软件资产进行审计,对所有的软件及其合法性了然在胸,并确认这些软件是否应该安装,所有用户是否都拥有适当许可。
第二步即是确定企业需要什么样的软件资产,这是对未来软件资产布局的一个瞻望与部署。在了解企业已拥有什么样的软件资产之后,需要预测未来的需求,从这样的执行步骤中,或能发现可能的成本节约途径,并更好地利用软件许可协议中的维护条款。
第三步是制定健全的软件政策和管理流程,涵盖企业的IT前沿与核心部分,从采购流程开始,管理软件资产的全生命周期。
而最后一步则是让软件资产管理成为企业的一个工作流程,必须监控并确保企业始终遵守自己的软件政策,并对员工开展持续的培训。
针对网络营销中存在的一些问题,不仅要从技术手段上进行防止,更要从法律上面进行建设。市场的健康有序的发展和运行需要一个良好的法制环境。我国目前在网络营销和交易上的立法还较薄弱,法律的不完善是制约我国网络营销的一大瓶颈。因此应尽快完善立法,建立有序的网络市场。
加强信息安全的立法,制定相应的法律、法规打击利用网络技术手段收集、窃取企业和个人信息,并利用这些信息进行非法牟利的行为。完善经济合同法,保护企业和消费者的交易行为,避免消费欺诈的发生。加强知识产权保护的立法,保护个人和企业的信息权益和无形的资产,规范网络信息收集、加工、行为,以消除网络营销中虚假、泛滥、冗余的信息。
(二)建立信息可靠性级别
针对网络营销中存在大量虚假和失效信息的现象,可以通过建立信息可靠性级别的认定和审查的制度。规范企业和个人信息的行为,用以增强消费者对网络信息的信心。对能够真实、有效信息的企业和个人进行肯定,以提高企业信息和维护的质量。组织行业协会,定期网上商家信息的可靠程度情况,就好像酒店的星级评比,有一个统一的标准,这样就在很大程度上,减少了消费者对不可靠信息的担忧。
同时建立虚假信息的举报和监督机制,依靠广大网民的力量建立网络信息秩序。在从事网络销售的网站上通常商品评论,商品评论给了消费者充分的话语权,加强了消费者与企业之间的互动,有助于用户选择商品。CNNIC的调查表明目前超过一半的网购用户表示买每种商品前都会看相关商品评论,已有近8成的网购网民买大多数商品前都会看看商品评论。购物网站的商品评论管理良好与否会成为影响网民购物的重要因素。目前已有部分购物网站非常重视商品评论,采取了各种措施鼓励网民发表商品评论。可见采取群众监督的方式能够有效规范企业的信息行为,提高信息的可靠性。
(三)提高产品和服务的信息化程度
网络营销的优势归根到底是信息传递、处理上的优势。互联网的虚拟性使得消费者在购买行为发生前无法像传统的交易行为那样对产品和服务以及提品和服务的企业和个人有一个完整的认识。因此企业在网络营销中应尽可能运用各种技术手段增加产品和服务的信息量,从而增加消费者对产品及服务的认识,提高消费者对产品和服务的认同度,减少消费者对产品和服务的歧义,进而提高消费者的满意度。
(四)加强企业品牌建设
摘 要 企业信息化程度发展到一定水平,从防火墙、入侵检测等安全硬件到文档防泄密、行为管理等安全软件,技术上都比较成熟且大部分企业都已实施部分安全项目。但实施安全项目之后并不是高枕无忧,管理是否到位及企业员工安全意识成为企业信息安全的短板,如何从管理角度提高企业的信息安全水平,已成为一个重要的课题。
关键词 信息安全;管理;意识
中图分类号TP39 文献标识码A 文章编号 1674-6708(2012)70-0171-02
从安全软硬件出发,大多安全实施厂家已有较成熟的方案,一旦项目实施完成后,企业往往容易忽略人员意识、IT审计、后续管理等因素对信息安全的影响。本文就如何解决企业信息安全短板,从管理角度进行探讨。
1 管理安全的含义和IT审计的特点
从大的方面来说,信息安全是指信息网络的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,信息服务不中断。直接反映到企业来说,就是要通过实施一整套适当的控制措施实现企业各业务系统正常运行,确保安全目标的实现。本文从管理角度探讨企业的信息安全,可以简称为管理安全,它是指建立并有效落实企业规章制度、安全管理规定等,来保证系统安全生存与运行。
企业安全管理的规章制度是否运行有效直接关系到企业安全目标能否保障,在此管理过程中需要引入IT审计。IT审计重点内容之一就是发现信息系统的潜在风险,可以说企业信息中心对潜在的IT风险是比较重视的。IT审计相对技术而言,更多侧重于管理,比如在安全策略方面更侧重于访问授权的控制,以及定期核查是否按相关信息化制度办事,还有就是有无进行过适当的渗透去检验系统的可靠性等。实施IT审计能够提高企业信息系统的安全性,能够客观评价信息系统安全现状。
2 从管理角度看企业中存在的主要信息安全威胁
1)企业日常信息化管理中,会碰到以下一些现象,如:明知计算机病毒无孔不入,却不安装杀毒软件;个人认证的物品(如员工门禁卡)随意借用他人;进入门禁系统之后,对他人尾随不理不问;移动存储介质外借他人,却不知可能造成感染病毒或泄密;打印服务器、扫描服务器等公用电脑临时存放许多信息却不删除。
从上述现象中可以得知,企业员工信息安全意识淡薄会产生较多安全漏洞。据《2011年度中国企业员工信息安全意识调查报告》显示,30%的受访者从来没有接受过信息安全培训,只有30%的企业会进行定期的信息安全培训[1];
2)企业信息安全项目做的深度是与企业信息化发展水平相关的,一般企业会根据本身的信息化水平发展程度分步骤进行。企业初始阶段会通过封USB端口,不配置光驱等形式防止电子文档传播至外界。现阶段已有部分企业关注电子文档防泄密的软件,同时配以相应的制度,从一定程度上能达到预期的效果。项目实施后往往会发现效果难以保持,因为企业缺少相关的信息安全审计人员,在审计工作不到位的情况下,安全软件的审计功能无法体现其价值;
3)企业通过安全软件对电子文档进行管理,在实物管理方面缺乏措施。办公室文印区域是企业信息泄密的源头之一,外单位人员进入企业进行交流时,通常会经过办公室文印区域,员工打印文件后如不及时拿取,容易将技术资料留在在打印机上,给有心之人获取,容易造成泄密。计算机、笔记本等办公设备故障外移送修,送修前未经过审核批准,不对硬盘做处理,上述这些日常办公现象存在着信息安全漏洞[2]。
3 信息安全短板的对策措施——强管理
尽管企业防火墙、防毒墙等安全硬件设施或安全软件都较齐全,但是采取恰当的管理措施也能有效的提高信息安全水平,最终有效地保护企业信息资产。本文总结了以下几种管理方法并加以说明。
1)提高员工安全意识,关键是做好培训。一方面企业信息中心要组织好讲师及培训素材。培训素材可结合生活中的信息安全案例或者通过动画情景介绍等较生动的方式,寓教于乐,让每个企业员工明白数据等无形资产的重要性,理解数据信息安全是企业的生存发展壮大的法宝。在培训方式上,可采用循序渐进的培训方式,不急于求全,可从最基本的启用标准的计算机密码(如大小写字母+数字)、离开座位时使用屏保等开始培养。后续可陆续完善公司规章制度,同时认真落实,要让员工真正懂得防止泄密的办法;
2)通过IT审计严把信息安全管理关。企业做好IT审计,从以下几方面入手:一方面是人才培养,企业审计部门需要引入类似IT审计师的角色,尽管现阶段大部分中小企业未能做到这一点,但可参照国际上通用的认证培训——国际信息系统审计师,把企业信息管理人员送出外培,提高兼职型IT审计人员的技术水平及能力;另一方面是IT审计人员职责要明确,从实践上看,IT审计人员工作内容包括查看企业人员是否按照已有的规章制度进行审批手续、定期将审计报表反馈给高层,监督整改落实的情况及效果验证,使企业自上而下重视信息安全管理;
3)让安全软件的审计功能发挥作用。市场上的电子文档防泄密系统提供日志审计功能。日志系统主要用来跟踪和记录用户对受控文件的操作、记录管理员设定的策略和操作。企业系统管理员要对文件日志、部门日志、计算机日志、申请审批日志等进行定期检查,同时发挥IT审计人员的监督作用,才可让安全软件的审计记录发挥作用;
4)利用刷卡认证方式管理文档输出。办公类信息安全管理方面,涉及到各类业务系统的账户管理、文档输出管理、存储设备管理等。现有企业一般是通过制度约束,但效果不明显,这里结合新的管理方式对文档输出管理进行说明。一般我们不会一直等在打印机旁,没有把打印好的资料及时拿走。而所打印的资料大多是技术图纸、商务合同、计划等资料,让人不经意地看到相关内容及敏感信息。要减少因遗忘而将已输出的文档滞留在文印设备上,可结合IC刷卡认证的方式,企业通过为文印设备配备一些读卡器,只有当刷员工卡时,文档才从文印设备输出,员工可即刻拿走。
总之,企业信息安全是一个多点因素的难题,涉及技术、管理、应用等方面,随着企业信息化的发展,各类信息系统及软件资产不断增多,从管理角度保障信息安全,增强企业员工安全意识,成为企业成长的重中之重。
参考文献
中小企业数量和信息化的程度越高,尾巴就越长;针对中小企业的攻击越多,尾巴的厚度也就越大。
简单来讲,安全中的长尾现象是由信息安全攻守双方的交错制衡而产生的,具体表现有两个:安全风险长尾和安全市场长尾。
安全风险长尾
2011年工信部的《“十二五”中小企业的成长规划》中表明,到2010年末我国的中小企业数量是1100万家,如果再加上个体工商户,总共会达到4500万家,这些中小企业在国家的国民生产总值,包括就业岗位累计起来已经超过了大型企业。另据CNNIC的调查报告,中小企业使用计算机的比例在90%以上,使用互联网的比例在85%以上。而这些中小企业目前的信息安全防范手段非常薄弱。国内曾经有一家公司做过调查,问中小企业安装企业级杀毒软件的比例有多少?调查结果是只有20%的中小企业用了企业级的杀毒软件。而企业杀毒软件仅仅是企业安全防御最基本的一种,由此可见国内中小企业的安全防范水平非常低下,导致了广泛存在的安全风险。
简单讲,中小企业面临的风险有三种:第一、显性风险,指安全问题会导致这个企业发生的直接损失,包括经济损失、名誉受损等。第二、隐性风险,指由于产业链条上不同企业具有的安全问题给链条之上其它企业带来的安全风险。第三、社会风险,是指由于中小企业自身的计算机等设备被黑客控制后可能对社会造成的潜在风险。如果我们按照风险大小作为纵轴,将企业按照规模大小排列在横轴上,因为在中国的中小企业数量非常巨大,所以横轴就会非常长,并且形成了一个风险的长尾。中小企业数量和信息化的程度越高,尾巴就越长;针对中小企业的攻击越多,尾巴的厚度也就越大,而这些就是目前的趋势。我们有理由相信,位于长尾部分的中小企业的安全风险随着目前这种趋势会越来越大,甚至累加起来的总和会超过大型企业的累积风险。如果针对这部分安全风险长尾我们没有进行适当的控制,它对我们整个国家的社会环境和经济环境就可能会造成直接影响。
2011年CNCERT中国网络安全状况报告,表示经抽样调查发现在中国网络中有890万台计算机是僵尸计算机,就是已经被人恶意控制了。2012年,CDN厂商Akamai全球互联网状况分析报告,表示全球网络攻击来源地区第一名是中国。来源于中国的攻击未必是中国人在背后操控,但是这样会给人一种印象,认为中国的互联网环境是不安全的。
安全市场长尾
既然中小企业数量这么大、风险这么高,那么为什么他们没有实现有效的信息安全防护呢?其主要原因非常简单,第一是没有钱,第二是没有人。即使企业规模很小,按照传统的建设方式,企业也往往要一次性投入几万、几十万才可能建立相对完备的信息安全体系。此外,信息安全维护需要紧跟安全威胁的趋势,但是中小企业很难有合适的安全技术人才对这些安全产品进行维护。中小企业自身没有条件,那么安全厂商为什么不把这个目标瞄准这几千万家中小企业这个非常巨大的市场呢?作为一个安全厂商或安全集成商,给企业提供安全的产品和服务是有成本曲线的,包括推广成本、销售成本、运营成本。这些成本不随着中小企业服务对象规模的缩小而降低为零,这个成本是相对固定的,而且在一定程度下会超过目标企业的预算。成本曲线和企业的预算曲线有一个交叉点,这个交叉点右侧这部分对于安全从业者来讲就无利可图了。
下面,我们分析为什么我们可以利用云安全服务这种新兴的安全建设方式来解决这个问题,将众多中小企业原来由于成本问题而制约的需求释放出来,形成一个新的安全长尾市场。首先从用户投资角度分析,他们只需要按需租用云安全服务,而且可以根据公司规模进行弹性地租用。从用户维护来讲,是不需要企业客户来费心的,基本所有维护都是由云安全服务商进行,这样,困扰中小企业的钱和人的问题就解决了。从云安全服务商来讲,采用SaaS这种模式的安全服务非常类似于互联网产品,它的渠道建设、销售、服务等都可以采用在线的方式,因此成本曲线会下降,从而降低到了中小企业客户可以承担的程度,这样就形成了一个巨大的新的安全市场。
目前越来越多的安全厂商和服务商开始在云安全服务市场发力。McAfee在全球联合很多运营商和服务合作伙伴企业提供多种类型的云安全服务,在这个领域具有超过十年的经验,在中国也联合国内的合作伙伴落地了部分云安全服务。之前数月内,中国电信安全服务中心了网站保护“安全云服务”,进入了这个广阔的市场。安全行业先驱、原Netscreen创始人邓峰先生投资了云安全服务企业安全宝,为这个市场添加了浓墨重彩的一笔。
最近一项旨在调查评估SMB市场 的《2008年中国企业信息安全现状调查报告》指出,如何确保Windows平台安全和最大限度地降低IT风险已经成为企业必须真接面对的问题。但是更多有关中小企业信息安全的白皮书却指出,防范机制往往比加密技术本身更重要,常用来佐证的观点包括“企业信息安全隐患的重心由防范外网攻击转向防范内部泄密”,以及“以大量资金购置防火墙、防病毒等安全产品只是在企业信息化初期给予安全一定保障。”
一种比较激进的观点认为,内网安全已经成为信息安全的主要威胁,“现有的IT技术难以控制员工在操作权限内对电子文档的修改”以及“拷贝和打印不留痕迹”都成为泄密的主要通道。最著名的一个例子来自摩根斯坦利亚太区前任首席经济学家谢国忠的离职事件,评价新加坡腐败的邮件没有通过电子渠道向外传送,而是采取了打印后带出公司散布的做法,最终导致了对摩根公司声誉的国际影响以及谢本人的黯然离职。
在军事情报部门,很多国家采用这样的做法:在所有的复印机上加密。加密后的复印机有各自的编号,影印出来的文件上会出现该部门名称及复印机编号,一旦文件外泄,凭借这些编号就可以很容易地查出外泄密件的出处。
这种衍生于电子政务、从复印和打印出口进行安全控制,已经成为被重视的一种信息安全手段。就职于日立(.cn)与北京工业大学()合资公司的一位工程师表示,这也是其研发团队正在致力于推出的新产品:“针对打印文件的各种威胁实现切实的安全对策,比如在拷贝检测的同时,可以得知文件在打印输出时嵌入的信息以及打印出的文件在被不正当改写或添加时也能被检测出。”粗略看上去,名为“证书卫士”的这款安全产品并没有太过出奇之处,不过“安全的要点是实用”,日立北工大信息系统的总经理郭庆栓则表示,“类似的产品在日本早有应用,这是日立公共系统的打印安全软件进行本土化开发后的中文软件。”
购物车(0)
