隨著信息技術的飛速發展,企業信息化應用遍布生產過程中的每個環節,企業經營信息的獲取也變得唾手可得。當信息的訪問變得如此便捷時,信息安全的威脅也變得無處不在。
年初的華潤零售集團行動方案分享會上,湯洪濤副總裁專門強調了對行動方案內容的保密要求。最近,公司CEO、COO在各自的辦公會議上,要求各地重視公司經營數據的安全保密工作。這意味著公司對信息安全的重視程度上升到了一個前所未有的高度。那么,我們的廣大員工同事們,是否都對信息安全有著同樣的認識呢?你們是否知道自己身邊存在哪些信息安全隱患?你們的哪些動作可能會引發信息安全事故?
前幾天,在跟業務部門的部分同事溝通全國VSS系統合并項目工作,在談到供應商的權限管理時,我們提出要重視供應商用戶權限維護的觀點,業務同事表示:已經跟供應商簽了協議,供應商自己要管理好自己的用戶、口令,否則供應商要承擔相應的責任。
這個案例反映出我們的部分同事在信息安全方面的意識還是比較淡薄的:VSS系統中的數據,首先是我們公司的經營數據,其次才能看作是供應商的個體數據。我們有權利、有責任也有必要約束供應商,要求供應商管理好用戶、口令,確保數據不外泄。
信息安全就同消防安全一樣,預防為主、撲救為輔。技術手段可以幫助提升信息安全的預防能力,但技術手段畢竟是有限的,在如今信息技術高度發達、新技術層出不窮的世界中,誰也說不準“魔”和“道”兩者誰會更高一尺誰又會更高一丈。因此,預防信息安全事故發生的關鍵是完善公司的信息安全管理制度,提高全員的信息安全防范意識,信息安全的意識必須自高層領導到基層普通員工,逐級灌輸、全員普及。
在這里,我不準備跟大家探討信息安全的技術問題,也不討論如何建立信息安全管理制度以及如何培養信息安全意識的問題,只想和大家一起來溫習一下我們身邊有那些可能存在信息安全隱患的行為、場景,以及應該注意的問題。
黑客攻擊、木馬/盜號
1. 慎重點擊你不熟悉的網頁鏈接。
2. 慎重安裝你不清楚的軟件或插件。
3. 慎重接收陌生人傳給你的任何文件。
4. 不要隨意共享文件。
5. 維護好你機器上的防病毒軟件和防火墻,及時更新病毒庫。
6. 登錄系統完成操作后,記住及時退出系統。
7. 發現自己的機器中病毒后,第一件事情是拔掉網線。
密碼管理
1. 你是不是把所有系統的口令都設成一樣的?
2. 你的密碼長度有多長?為空嗎?或者只有1位、2位、3位數字?
3. 你的密碼是否簡單的很方便他人記憶和猜測?如使用工號、生日、電話號碼……
4. 你上一次修改密碼是在幾年前?
5. 在某知情員工調崗或離職后,你有沒有及時修改公共用戶的密碼?
6. 因為某種非常非常特殊而且合理的原因,把自己的密碼告訴他人后,你有沒有及時修改?
授權管理
1. 你是否有將自己的系統口令告知下屬,讓下屬代替自己完成系統操作?
2. 有意或錯誤將系統權限授予不該擁有該等權限的人。
3. 員工離職后有沒有及時凍結或刪除其相應的系統權限?
4. 所有的授權都是需要管理的,有管理就會產生麻煩,你會因為麻煩而忽視安全控制嗎?
打印/數據導出
1. 無處不在的打印功能。誰都可以使用打印功能嗎?
2. 無處不在的Excel或文本導出功能。誰都可以要求增加數據導出的權限嗎?
文件傳輸
1. 誰有權限對外傳輸含公司商業數據的文件?
2. 誰要求(授權)你給他人傳輸含公司商業數據的文件?
3. 你把含公司商業數據的文件都傳給了誰?
4. 對外傳輸含公司商業數據的文件是否經過了公司的審批流程?
機器設備安全
1. 你的電腦主機的上面或者旁邊,是否有一個小魚缸、一瓶綠色植物?
2. 你的茶杯離你的電腦主機有多遠?
3. 你的電腦主機放在地上還是桌子上?
……
您不經意的一個小動作,就有可能形成信息安全隱患,保護好身邊的信息數據!
(李劍輝)