莫讓內(nèi)網(wǎng)成為商業(yè)間諜的自由通道
有道是“爭(zhēng)名于朝,爭(zhēng)利于市”,在現(xiàn)代商業(yè)環(huán)境中,市場(chǎng)的力量尤其驚人,任何有價(jià)值的東西,都有可能被拿到市場(chǎng)上去漁利,哪怕是體現(xiàn)社會(huì)競(jìng)爭(zhēng)公平原則的各類考試的試題。今年9月21日,衛(wèi)生部深夜發(fā)出緊急公告稱,即將于9月22日、23日進(jìn)行的臨床執(zhí)業(yè)醫(yī)師和口腔執(zhí)業(yè)醫(yī)師兩個(gè)類別的考試試題外流,原定舉行的這兩科考試被迫推遲至11月17日……
也正是在11月17日,《天府早報(bào)》報(bào)道,有網(wǎng)友報(bào)料稱,開考前2小時(shí)這兩科考試的答案就已經(jīng)在網(wǎng)上傳開了……如此重要的考試接連出現(xiàn)泄題事故,社會(huì)影響十分惡劣,包括新浪等各大媒體都就該事件進(jìn)行了大量報(bào)道。
莫讓內(nèi)網(wǎng)成為商業(yè)間諜的自由通道
執(zhí)業(yè)醫(yī)師資格考試接連出現(xiàn)泄題事件并非偶然,在此之前,我國(guó)就接二連三地出現(xiàn)全國(guó)四六級(jí)英語考試的泄題事件。關(guān)心時(shí)事的人會(huì)發(fā)現(xiàn),在巨大的利益驅(qū)使下,考試泄題、作弊之風(fēng)已有愈演愈烈之勢(shì),已經(jīng)形成一股暗流,影響到和諧社會(huì)的建設(shè)。冷靜思考后,在拷問泄題者道德良知的同時(shí),我們也疑問,究竟有沒有技術(shù)手段,能夠防止此類事件的發(fā)生?
安全專家指出,教育考試泄題的途徑有各種各樣,有命題者有意泄題,有因運(yùn)輸過程中試題失竊而泄題,等等。但在信息時(shí)代,最大的威脅還是來自于網(wǎng)絡(luò),既受到來自于互聯(lián)網(wǎng)的木馬等病毒的攻擊;或者來自于企事業(yè)單位內(nèi)部人員通過局域網(wǎng)的有意或無意的泄密,尤其是后者。
目前,大部分的企業(yè)或機(jī)關(guān)單位都組建有內(nèi)部局域網(wǎng),以方便信息傳遞,實(shí)現(xiàn)資源共享,提高工作效率。但是內(nèi)網(wǎng)開放共享的特點(diǎn),卻使得分布在各臺(tái)主機(jī)中的重要數(shù)據(jù)資源處于一種高風(fēng)險(xiǎn)的狀態(tài),很容易受到來自系統(tǒng)內(nèi)部和外部的非法訪問。也就是說,如果沒有建立起很好的內(nèi)網(wǎng)安全系統(tǒng),對(duì)重要數(shù)據(jù)進(jìn)行加密,以及統(tǒng)一監(jiān)控、管理內(nèi)部局域網(wǎng),就極容易在技術(shù)層面上為泄題留下后門。專家還指出,近年來的許多考試泄題事件大多屬于“禍起蕭墻”,即由教育機(jī)構(gòu)內(nèi)部心懷不軌的人員通過單位局域網(wǎng)內(nèi)部的信息通道,獲得未進(jìn)行數(shù)據(jù)加密的試題信息,偷偷拿到市場(chǎng)上去謀利的。
教育考試泄題事件折射出的只是內(nèi)網(wǎng)安全的一個(gè)層面,根據(jù)中國(guó)國(guó)家信息安全測(cè)評(píng)認(rèn)證中心調(diào)查顯示,目前信息安全的現(xiàn)實(shí)威脅主要為內(nèi)部信息泄露和內(nèi)部人員犯罪,而并非大家認(rèn)為的病毒和外來黑客引起。FBI和CSI對(duì)484家公司進(jìn)行的網(wǎng)絡(luò)安全專項(xiàng)調(diào)查結(jié)果也顯示,目前超過85%的安全威脅來自公司內(nèi)部,在損失金額上,由于內(nèi)部人員泄密導(dǎo)致了6056.5萬美元的損失,是黑客造成損失的16倍,是病毒造成損失的12倍。
需要內(nèi)網(wǎng)安全解決方案
技術(shù)反間諜需要整體一致的內(nèi)網(wǎng)安全解決方案
那么,企事業(yè)單位應(yīng)該選擇怎樣的內(nèi)網(wǎng)安全系統(tǒng)才能有效斬?cái)嗌煜驒C(jī)要數(shù)據(jù)的黑手呢?
根據(jù)統(tǒng)計(jì),目前企事業(yè)單位在防止數(shù)據(jù)泄露,保護(hù)數(shù)字知識(shí)產(chǎn)權(quán)的主要難題,在于在局域網(wǎng)內(nèi)部實(shí)現(xiàn)對(duì)各種圖紙、文檔、財(cái)務(wù)報(bào)表和銷售情報(bào)等的安全隔離,即通過數(shù)據(jù)加密,限制一般員工接觸到與自身工作不相干的機(jī)密資料;以及實(shí)現(xiàn)對(duì)刻錄光驅(qū)、打印機(jī)等外設(shè),移動(dòng)存儲(chǔ)設(shè)備,郵件、Web論壇,以及QQ、MSN即時(shí)通訊工具的監(jiān)控和管理,等等,以堵死企事業(yè)單位內(nèi)部各種有意或無意泄露重要數(shù)據(jù)的途徑。
而在實(shí)際應(yīng)用方面,由于各企事業(yè)單位的規(guī)模及需求都各不一樣,如有些單位內(nèi)網(wǎng)規(guī)模小,需求單一;有些單位內(nèi)網(wǎng)規(guī)模大、應(yīng)用需求復(fù)雜。而在對(duì)內(nèi)網(wǎng)安全的認(rèn)識(shí)上也存在一定的誤區(qū),如認(rèn)為內(nèi)網(wǎng)安全系統(tǒng)就是文檔加密系統(tǒng),或者就是監(jiān)控和審計(jì)系統(tǒng)。因此,實(shí)際上,建設(shè)內(nèi)網(wǎng)安全系統(tǒng)對(duì)內(nèi)網(wǎng)安全廠商有很高的要求,需要內(nèi)網(wǎng)安全廠商提供一個(gè)整合文檔加密系統(tǒng)和監(jiān)控審計(jì)系統(tǒng)的整體一致的內(nèi)網(wǎng)安全解決方案,即同時(shí)提供數(shù)據(jù)保密、身份認(rèn)證、授權(quán)管理、終端安全管理和監(jiān)控審計(jì),形成一個(gè)完整互動(dòng)的內(nèi)網(wǎng)安全策略,以保護(hù)重要數(shù)據(jù)。
目前市場(chǎng)上比較成熟的內(nèi)網(wǎng)安全解決方案有明朝萬達(dá)的Chinasec可信網(wǎng)絡(luò)安全平臺(tái)等,該平臺(tái)是以密碼技術(shù)為支撐,以數(shù)據(jù)安全為核心的內(nèi)網(wǎng)安全平臺(tái),以Chinasec可信數(shù)據(jù)管理系統(tǒng)為核心,外加Chinasec可信網(wǎng)絡(luò)認(rèn)證系統(tǒng)、Chinasec可信網(wǎng)絡(luò)監(jiān)控系統(tǒng)、Chinasec可信網(wǎng)絡(luò)保密系統(tǒng)共同組成“整體一致的內(nèi)網(wǎng)安全解決方案”。整個(gè)平臺(tái)采用模塊化設(shè)計(jì),四大系統(tǒng)各自獨(dú)立,又相輔相成,形成立體的安全存儲(chǔ)加密體系,能提供多種靈活的透明加密措施,如根據(jù)用戶需求可以進(jìn)行文件加密、文件夾加密、本地磁盤加密、移動(dòng)存儲(chǔ)設(shè)備加密和郵件智能加密等等獨(dú)有設(shè)計(jì),充分滿足企事業(yè)單位和個(gè)人對(duì)數(shù)據(jù)安全保密的各種需求。據(jù)了解,該系統(tǒng)在奇瑞汽車、海關(guān)總署、教育部考試中心、華帝集團(tuán)和步步高等企事業(yè)單位都已經(jīng)有了十分成功的應(yīng)用,是各企事業(yè)單位建設(shè)“簡(jiǎn)單易用,策略靈活”的內(nèi)網(wǎng)安全系統(tǒng),實(shí)現(xiàn)數(shù)字知識(shí)產(chǎn)權(quán)保護(hù)的有力借鑒。
中國(guó)有句小孩子都懂的俗語,叫“亡羊補(bǔ)牢,為時(shí)未晚”,而我們卻很不情愿地看到,負(fù)責(zé)執(zhí)業(yè)醫(yī)師資格考試的教育單位在同一個(gè)地方摔倒了兩次。究其原因,除了人為的不可控因素外,主要應(yīng)該還在于有關(guān)單位在技術(shù)層面上對(duì)內(nèi)網(wǎng)安全缺乏認(rèn)識(shí),及沒有采取相應(yīng)的技術(shù)舉措。要想有效避免此類事件的重演,這兩方面的防范措施不能不做,希望有關(guān)單位重視。
