随着信息技术的飞速发展,企业信息化应用遍布生产过程中的每个环节,企业经营信息的获取也变得唾手可得。当信息的访问变得如此便捷时,信息安全的威胁也变得无处不在。
年初的华润零售集团行动方案分享会上,汤洪涛副总裁专门强调了对行动方案内容的保密要求。最近,公司CEO、COO在各自的办公会议上,要求各地重视公司经营数据的安全保密工作。这意味着公司对信息安全的重视程度上升到了一个前所未有的高度。那么,我们的广大员工同事们,是否都对信息安全有着同样的认识呢?你们是否知道自己身边存在哪些信息安全隐患?你们的哪些动作可能会引发信息安全事故?
前几天,在跟业务部门的部分同事沟通全国VSS系统合并项目工作,在谈到供应商的权限管理时,我们提出要重视供应商用户权限维护的观点,业务同事表示:已经跟供应商签了协议,供应商自己要管理好自己的用户、口令,否则供应商要承担相应的责任。
这个案例反映出我们的部分同事在信息安全方面的意识还是比较淡薄的:VSS系统中的数据,首先是我们公司的经营数据,其次才能看作是供应商的个体数据。我们有权利、有责任也有必要约束供应商,要求供应商管理好用户、口令,确保数据不外泄。
信息安全就同消防安全一样,预防为主、扑救为辅。技术手段可以帮助提升信息安全的预防能力,但技术手段毕竟是有限的,在如今信息技术高度发达、新技术层出不穷的世界中,谁也说不准“魔”和“道”两者谁会更高一尺谁又会更高一丈。因此,预防信息安全事故发生的关键是完善公司的信息安全管理制度,提高全员的信息安全防范意识,信息安全的意识必须自高层领导到基层普通员工,逐级灌输、全员普及。
在这里,我不准备跟大家探讨信息安全的技术问题,也不讨论如何建立信息安全管理制度以及如何培养信息安全意识的问题,只想和大家一起来温习一下我们身边有那些可能存在信息安全隐患的行为、场景,以及应该注意的问题。
黑客攻击、木马/盗号
1. 慎重点击你不熟悉的网页链接。
2. 慎重安装你不清楚的软件或插件。
3. 慎重接收陌生人传给你的任何文件。
4. 不要随意共享文件。
5. 维护好你机器上的防病毒软件和防火墙,及时更新病毒库。
6. 登录系统完成操作后,记住及时退出系统。
7. 发现自己的机器中病毒后,第一件事情是拔掉网线。
密码管理
1. 你是不是把所有系统的口令都设成一样的?
2. 你的密码长度有多长?为空吗?或者只有1位、2位、3位数字?
3. 你的密码是否简单的很方便他人记忆和猜测?如使用工号、生日、电话号码……
4. 你上一次修改密码是在几年前?
5. 在某知情员工调岗或离职后,你有没有及时修改公共用户的密码?
6. 因为某种非常非常特殊而且合理的原因,把自己的密码告诉他人后,你有没有及时修改?
授权管理
1. 你是否有将自己的系统口令告知下属,让下属代替自己完成系统操作?
2. 有意或错误将系统权限授予不该拥有该等权限的人。
3. 员工离职后有没有及时冻结或删除其相应的系统权限?
4. 所有的授权都是需要管理的,有管理就会产生麻烦,你会因为麻烦而忽视安全控制吗?
打印/数据导出
1. 无处不在的打印功能。谁都可以使用打印功能吗?
2. 无处不在的Excel或文本导出功能。谁都可以要求增加数据导出的权限吗?
文件传输
1. 谁有权限对外传输含公司商业数据的文件?
2. 谁要求(授权)你给他人传输含公司商业数据的文件?
3. 你把含公司商业数据的文件都传给了谁?
4. 对外传输含公司商业数据的文件是否经过了公司的审批流程?
机器设备安全
1. 你的电脑主机的上面或者旁边,是否有一个小鱼缸、一瓶绿色植物?
2. 你的茶杯离你的电脑主机有多远?
3. 你的电脑主机放在地上还是桌子上?
……
您不经意的一个小动作,就有可能形成信息安全隐患,保护好身边的信息数据!
(李剑辉)