提防内鬼 企业网络内部安全建设不容忽视

下一页 1 2 

　　 

2004年5月，某大型企业研发中心发现某国外竞争对手领先一步完成了A产品的设计开发，该研发中心领导一下就懵了。A产品的设计开发可是该企业重大研发项目，该企业也想依托A产品完成产品线的转换，企业为该项目投入了大笔资金，众多研发人员也付出了艰辛的劳动。

企业在项目立项及开发过程中，还从未听说有哪家单位也在进行A产品的开发，为什么竞争对手开发速度如此之快？

情况汇报给企业老总后，老总第一反应就是内部人员泄密，随即下令该项目所有人员停止开发，迅速离开工作岗位，并向公安部门报案。公安部门技术人员到达现场后发现该研发中心保密工作存在重大疏漏：设计人员电脑与普通工作人员电脑连在同一个局域网内、计算机端口允许人员将资料随意拷出、设计人员将某些机密文件设成共享、打印资料随意带出、所有电脑都可以上互联网……经过检查，公安部门初步判定为内部人员泄密，但是要查出谁将资料泄密，难度太大。最终该案不了了之，企业也只能对研发中心领导进行降职处罚，该企业付出的1000余万元研发费用，众多研发人员的辛勤劳动全部付诸东流。

反思该企业的惨痛教训，国内组织机构必须以此为鉴，做好安全保密工作，防范机密资料外泄，同时也应当认识到保密工作也是增加组织价值的重要工作内容。

针对目前日益严峻的网络安全形势，帮助企业、研发机构完善网络安全建设，避免泄密损失，笔者走访了网络安全产品服务提供商汉邦软科集团，咨询了网络安全技术专家沈贺磊先生，请他谈谈目前网络安全建设存在的误区及应当采取的防范策略。

问：网络安全建设日益受到各级组织的重视，但是网络安全事故却频频发生，这说明在网络安全建设方面还是存在误区的，那么您认为有那些地方需要进行改进呢?

沈贺磊先生:一提到网络安全，给人的印象首先就是防火墙，防病毒。随着这几年的发展，人们对网络安全的认识也日益深入，入侵检测、VPN、信息加密等安全产品也逐步得到认可，但是我们发现这些产品有一个共同点：防外不防内。各个组织在网络安全建设上投资不小，但这些安全建设完全基于“内部人行为可信赖”这一假设。这样一来，网络内部安全必然疏于防范，信息暴露于内部人面前，假如这些信息有可利用的价值，就可能被内部人员截获并获取非法利益，而一旦泄密事故出现，不仅损失惨重，而且很难追查到泄密人员，只能对相关领导进行处罚。其实这种情况是可以通过一些手段避免的，只不过这些组织没有认识到内部安全问题而已。

问：也就是说在网络安全建设上，相关组织并没有认识到内部安全建设的重要意义，对吗？内部安全问题真的象您所说的那么严重吗？

沈贺磊先生:对，很多单位并没有重视网络内部安全建设。其实在信息社会，信息就是价值，信息就是生产力。随着电子计算机技术的发展，人们获取信息的速度日益加快，这也给犯罪分子提供了便利，通过一个U盘，一分钟的时间就可以拷走上百兆的资料，而这些资料可能价值不菲，因此说一分钟损失几千万，上亿元绝对不是危言耸听。我们在安全建设上“重防外，轻防内”无疑会给自己留下安全隐患。

原文转自：http://www.ltesting.net