2011年近半,众多专业人士纷纷摇头叹息:“人类仿佛进入了一个重大数据泄密事件层出不穷的年代。”这一趋势似乎被可怕地延续着:大大小小的企业正在遭到数据库泄密事件的重创,隐私权信息交流中心 (Privacy Rights Clearinghouse)声称,仅仅2011年上半年就发生了234起泄密事件,受影响的用户成千上万。
在上半年的“数据泄密大战”中,HBGary Federal公司损失了60000余封机密电子邮件、公司主管的社交媒体帐户和客户信息;RSA公司被传损失了其SecurID认证令牌的专有信息,敏感信息数据库被严重危害;营销公司Epsilon被传损失了2500名企业客户中2%的电子邮件数据库;索尼公司损失了超过1亿个客户帐户的详细资料和1200万个没有加密的信用卡号码;得克萨斯州审计办公室也使得350万人的姓名、社会安全号码和邮寄地址等被充分暴露近一年之久。我们在惊讶损失惨重的同时,不禁在问,面对这样的情况,我们究竟如何是好?
“泄密事件追根究底是企业在安全防护上出现了问题,必须迅速解决的问题。”商务部中国国际电视商务中心、国富安电子商务安全认证有限公司专家提醒。在“HBGary Federal公司泄密事件”中,Anonymous黑客组织成员通过一个前端Web应用程序轻松攻入了HBGary的内容管理系统(CMS)数据库,窃取了大量登录信息,借此闯入多位主管的电子邮件、Twitter和LinkedIn帐户等。侵入者获取的资料尚非企业核心机密,而恶劣影响已引得哗然一片,而类似的悲剧,实际是可以避免的。就提高企业内部信息系统的安全等级而言,在实践中,众多企业在采用了数字证书(GFA CA)与安全链路接入网关(GFA iPass)相结合的解决方案、身份与访问安全集中管理系统(GFA IAM)、安全文档管理系统(GFA EFS)等后,便很好地解决了用户身份认证、数据加密传输、文件权限访问等企业急需重视的安全防护核心问题。
例如,在国富安为某汽车行业信息安全升级所作出的解决方案中,数字证书(GFA CA)能够无误地确认登录人身份,安全链路接入网关(GFA iPass)能够实现信息的保密性(保证信息传输只在安全通道下执行)、不可抵赖性(保证信息发送方不可否认自己的发送行为与发送信息内容),此外还可验证信息的完整性(验证信息与发送时是否完整及一致,保证信息并未被人恶意篡改)。通过如上的安全升级,该汽车行业企业下属汽车制造、汽车销售、售后维修等一套庞大的产业环节得以毫无差错地稳定运行;在身份与访问安全集中管理系统(GFA IAM)于某政府部门的应用中,授权管理功能突出实现了登入内部系统用户角色的访问控制,权限服务器通过配置与后台服务器权限自动同步;安全文档管理系统(GFA EFS)在某制造业企业的部署,通过非授权文档显示乱码的手段,有效防止核心技术文件被私自带出、篡改。
正如众多业界人士所言,当今时代已不仅仅是人才与核心技术的竞争,企业暗暗在拼的,还包括“后勤部分”——安全保障。在专业性上,每个企业都可谓相关领域的佼佼者,然而谁也不希望这样的成绩毁于对信息安全的小视——所以,上半年这几大“恶性数据泄密事件”,将会、也必须会成为我们的警钟。加强信息安全防护,刻不容缓!
