企业信息安全体系研究.docVIP

企业信息安全体系研究 【摘 要】文章从当前的企业信息安全现状谈起，阐述了企业的信息安全危机，并且从企业内网和外部网络安全方面讲述相关威胁，并提供一些相关的现有技术来建立一个安全的企业信息安全体系，如内网建设采用可信计算的方案进行。 【关键词】内网安全；可信计算；网络安全；安全危机 一、前言 震惊全球的“力拓案”给中国整个钢铁行业带来了价值不菲的经济损失。据调查，在力拓驻中国办事处的电脑内，存储有几十家国内钢铁企业的各种资料，包括企业详细的采购计划、生产细节、月产量、销售额和库存原料的各种数据资料。据《财富》杂志统计，全球排名前100位的企业，平均每次由电子文档泄密所造成的损失高达5万美元。由此可见，全球任何一家企业都可能会存在信息泄密的情况。企业信息泄密已经成为现代商业的的危机之一。 二、企业信息安全危机 （一）企业信息泄露途径 企业信息数据被泄露通常有三种途径，这三个途径与信息数据的三个使用状态密切相关，即分别为数据的使用、数据的存储以及数据的传输三个状态，围绕这三个使用状态去剖析商业机密的泄密，非常科学且浅显易懂。 数据的使用，即企业商业机密在使用过程中可能被泄密。例如企业智囊团在制定企业相关商业计划的过程中，会使用电脑进行文字的编辑、复制、打印、粘贴；产品宣传之前要找相关的印刷公司对企业产品的相关物料进行印刷等，在这些过程中，企业相关信息都有可能被泄密。数据的存储，即企业在对商业机密文件进行存储的过程中可能被泄密了。当企业的员工在通过电脑硬盘、移动硬盘、u盘存储相关数据存储设备存储数据的过程中，就有可能将数据拷贝带走造成泄密，甚至当公司的存储设备比如电脑、笔记本、移动硬盘等被丢失或者维修，都有可能被丢失。数据的传输，即企业在通过网络进行数据传输的过程中可能丢失数据。可以想象当公司的员工在通过e-mail、qq、msn传输企业计划的过程中，也有可能因为网络的漏洞而被不法分子截取。 （二）企业信息泄露危害 来自美国独立研究机构波尼蒙研究所(ponemon institute)的统计分析显示，美国企业2008年在数据丢失时的平均损失是，每条记录大约202美元。而2005年该公司同类性质调查的结果是每条记录损失138美元，2006年的调查结果是182美元，2007则是197美元，4年间每条记录损失费用增长64美元。2009年，波尼蒙对来自17个国家的43家大型公司做了一次数据泄漏大调查，结果发现每个公司有4200条到113000条不等的信息丢失记录，其造成的损失超过1亿5千万元人民币。相比之下，随着信息化水平的提升，国内的信息安全也开始得到各界的重视。2009年，央视3.15晚会上对一系列网银安全事件的报道，引爆了人们对信息安全的关注。据艾瑞咨询调研数据显示：有27.5%的用户在3.15晚会后决定减少使用网上银行和网上支付，有3.0%的用户决定不再使用。在网上银行和网上支付的潜在用户中，有57.6%的潜在用户决定推迟初次使用时间，有24.8%的潜在用户决定不再使用，仅有17.6%的潜在用户表示对其使用不会有太大影响。 （三）企业信息泄露案例 中国著名通讯设备提供商三名技术人员将公司重要机密资料带走，在上海创办光信号传输设备公司，使得通讯设备提供商大量客户流失；日本软银公司发生内部泄露客户数据，损失达数亿元；郎讯公司产品图纸泄露，新产品推出落后于竞争对手，直接损失3.5亿美元；美国万事达信用卡国际公司6月17日晚宣布，“信用卡第三方付款处理器”网络系统遭入侵，可能造成包括万事达、visa等各种信用卡高达4000多万用户的数据资料被窃，其中涉及近9000张国内信用卡；英国国防部惊失绝密笔记本电脑，失窃电脑内存价值500亿英镑战斗机研制方案，惊曝英军军情内幕，神州数码发生财务报表泄露事件，造成停牌调查，名誉损失严重；广东佛山市政府项目招标方案书泄露，直接领导承担管理责任；某边防总队司令部电脑室的一台计算机硬盘被盗走，内有绝密级文件l份、机密级文件4份、秘密级文件1份；中科院上海某研究所一研究员来京参加重要会议，所携带的手提电脑被盗，电脑内存有军工秘密文件若干；创维两工程师偷卖技术换股份造成152万元损失被判刑。 三、企业内部信息安全保障 企业要做好信息安全的首要就是要解决好企业内部的信息安全，一般要设置一个合理的体系，严格的授权等级制度，良好的行为规范制度以及良好的管理制度。并且企业高层要重视企业内部的信息安全，不能单独的认为企业信息安全仅仅是信息部门的责任，而应该是意识到维护信息安全是企业每一个人都必须尽到的义务。电子信息的安全隐患主要来自于企业内部，然而，当前国内的企业用重金购置防火墙、防病毒软件来防止外界威胁的同时，往往忽视了对企业内部电子信息安全管理，而真正给企业造成重大隐患以及可能带来巨大损失的却往往是来自企业内部的机密泄