深入剖析企业信息安全.docVIP

深入剖析企业信息安全 摘要 从所周知，数据对于一个公司来说就好比血液对于人类，你可以把自己的一部分血液献给需要的人，但是不可以献出自己的核心血液。所以，一个公司如果其核心数据被其竞争对手所获得，那么这个公司也差不多快要倒闭了。数据对于公司来说是极其重要的，这样保护公司的核心数据，保护公司商业秘密就成为了一个公司必不可少的一部分，但是如何来保护公司的商业秘密呢？本文详细剖析了企业的信息安全，提出了系统提升信息安全的方法。 第一部分： 在绪论中，首先说明了为什么要保护商业秘密，然后通过一个案例更加鲜明具体的呈现出保护商业秘密的重要性。 第二部分： 这一部分主要指出了公司存在的一些问题，首先企业存在信息泄密、IT系统不安全、其他方面的安全问题。面对企业本身存在的一些问题，联系第一部分的案例分析企业高层在进行处理的时候存在一些管理误区，接着详细指出了企业面临的安全困惑。 第三部分： 这一部分是文章的重点部分，首先我通过查阅大量资料，简要阐述了国内信息安全方面的发展情况。然后简要提及了PDCA循环模型，它可以作为安全管理的一种可选模型。接下来我对企业信息安全里面的安全计划进行了详细的说明，使用风险杠杆对风险量化，作为风险度量的测度。但是，凡是都要有一个度，接下来，我提出了几点信息安全工作中应该把握的“尺度”。 关键字：商业秘密，信息安全，PDCA循环模型，安全计划，风险杠杆 一、绪论 1.1保护商业秘密的背景 据美国工业协会的资料，从1985年起美国工商业秘密被窃取案件到20世纪末增加了2.6倍，正在进行调查的经济泄密案件比1994年增加了一倍。另一方面，2001年初，美国国家反间谍中心向国家提交的报告中指出，窃取商业或是金融情报的多是个人或者公司，占55%，另外22%是政府机构或国家管理的组织，如研究所或者大学等。而现如今，几乎是所有的国家和公司都在搞工业情报，高科技犯罪也无所不在。 1.2案例：深圳黑客破移动1.3亿的安全系统偷走370万 北京司法机关的相关材料显示，山东青鸟人程某1997年大学毕业后，曾给西藏移动公司做过计算机系统项目，掌握了西藏移动的系统密码。他与2005年2月，他在海南出差，晚上睡不着觉，就想起一个朋友说中国移动网络安全系统用了1.2亿元。好奇心的驱使是他通过密码登录到西藏移动服务器，在跳转到北京移动的主机。去的了最高权限。利用该权限，程某在北京移动的数据库里一次窃取了数千个充值卡密码，把已充值改为未充值，然后在淘宝网上公开叫卖，价值300元的充值卡密码他卖286元，很快有下家从他大量买进。 三月份到七月份，程某先后四次窃取了上万张充值卡密码，在淘宝网上销售获利达370万元，直到程某于七月窃取最后一批密码时，设置的充值卡有效期与面值不符，他的这个疏忽导致买卡的客户向北京移动投诉，北京移动才发现有6600张充值卡被非法复制，初步确定数据库被非法入侵。 上述案例可以让人清楚看到高科技犯罪带来的可怕结果，但是从以上犯罪过程又很容易捕捉以下的一些事实和问题 （1）被告没有正面攻击安全系统 （2）被告没有破解口令 （3）被告利用以前对系统的掌握进入系统 （4）四次进入没有及时被发现，如果用户不投诉，还会有第五次 （5）为什么可以很快破案？ 下面我将带着以上的一系列问题对企业的安全问题进行剖析。 二、企业中常见的安全问题 2.1企业常见的安全问题 首先纠正大家一个错误的观念。 大多数人都存在这样观念：安全是由技术实现的。你可能会认为，安全离得重要行为就是选择合适的IDS，恰当的配置防火墙，加密无线连接，以及确定指纹读取器是否比视网膜扫描仪更好。这些确实都很重要，但并非安全的所有问题都是能通过技术手段解决的。单纯关注防火墙就像是仅通过汽车大灯的形状来选择汽车。在接触到大灯以前，你需要回答一些更为基础的问题，例如打算怎样使用汽车，能承受的价位，以及是否可选择其他的交通工具。 安全是技术、管理以及物理控制的综合体，如果我们只考虑技术控制这一因素，那么如果没有足够的权限来运行防火墙，它又有什么作用呢？对于公钥基础设施，如果有人能够绕开鉴别服务器，它又能有多大的效果呢？如果你的雇员把敏感文档发给你的竞争对手，那么精心制定的访问控制又有什么用呢？所以说，企业安全问题不仅仅是一个技术的问题。 于是我将企业一些常见的安全问题分为三类：信息的泄密、IT系统的安全问题、其他安全问题 1、信息的泄密 2、IT系统安全问题 3、其他安全问题 2.2企业应对安全问题的误区 要保护企业的重要机密信息，除了要了解有哪些信息安全问题以外，必然的，我们更需要知道的是通过哪一些途径使得企业的机密问题外流，以下是我查阅了很多信息安全案例分析出的10中最主要的途径： 1、未经许可或者不经意间的公开发表 2、商业秘密载体因各种原因