e-works数字化企业网  »  文章频道  »  基础信息化  »  网络与安全

泄密事件频发,制造企业如何应对?

2011/5/16    来源:e-works    作者:e-works李卓刚      
关键字:信息安全  泄密事件  制造企业  
信息安全非一日之功,也不仅仅是依靠软件或者制度就可以解决的,要做到管理、制度和技术的相结合,将安全工作落实到企业的每一个环节,才能真正做好信息安全。目前中国制造企业正处在快速发展的阶段,许多企业已经不是单纯的“制造”企业,也面临着更多、更复杂的环境。信息安全的思想和观念不能停留在原地,必须与业务共同进步,才能为企业的快速发展保驾护航。

近期泄密事件一览

    1、富士康3名员工泄露iPad2设计图遭起诉。去年底苹果iPad2还没上市,抢iPad2商机的山寨版寨主却已蠢蠢欲动,不单抢先在苹果iPad2上市前推出山寨版iPad2保护套,甚至还在今年的美国CES展上贩卖,让iPad2未演先轰动。日前泄密者曝光,传系由鸿海集团富士康员工主动泄密给山寨厂商,才会发生iPad2未上市、周边商品却抢先曝光的事情。

    2、前苹果员工承认出卖机密信息。前苹果公司员工Paul Devine在联邦法庭承认了他以苹果公司的机密信息换取经济利益的指控。Devine承认他参与了窃取苹果公司机密信息的计划。这个欺诈计划包含了Devine向外传出苹果公司的机密信息,例如新产品的预测、计划蓝图、价格和产品特征,还有一些为苹果公司的合作伙伴、供应商和代工厂商提供的关于苹果公司的数据。作为回报,Devine得到了经济利益,而苹果公司因这些信息亏损了240.9万美元。

    3、三星电子公司雇员涉嫌向外国公司泄漏商业机密。韩国检控官表示,这名40岁的女性被怀疑拍下机密文件的照片,然后存到自己的电脑。有关机密包括:减低家电产品噪音的关键技术、正在研发产品的细节、三星未来10年的销售计划。

    4、索尼千万信用卡资料外泄。索尼的PlayStation游戏网络(PSN)遭黑客入侵,窃取了索尼PS3和音乐、动画云服务网络Qriocity用户登录的个人信息,包括姓名、住址、生日、登录名和密码等。有消息称,受影响用户多达7700万人,其中1000万个人信用卡账号也存在遭窃可能,涉及57个国家和地区,堪称迄今规模最大个人信息遭窃事件。随后几周内,黑客又两次入侵PSN,窃取更多信息。

制造企业面临信息危局

    近几年来,各类信息泄密事件层出不穷。我们听到最多、影响最大的是在政府、金融、电信、零售、酒店等行业的案例,似乎泄密事件离制造业很远,其实不然。前文所举的四个例子,全是制造业发生的。苹果、三星、索尼和国内的传统制造业有所不同,但他们正是中国制造业转型的一种方向,他们今天所面临的,明天就可能发生在我们身上。

    目前,中国制造业正处于转型时期。无论是国策还是企业的发展思路,都在向“中国创造”方向发展,“自主研发”得到了前所未有的重视,“制造服务业”也成为制造企业发展的一个重要方向。从信息风险的特性来看,信息的价值越高,其面临的安全风险越大。因此制造企业越重视研发,研发成果越多,其安全风险就越大;另一方面许多制造企业开始向服务转型,还有许多企业涉足电子商务领域,必然会遇到如索尼一般的用户信息安全问题。当我们把目光都投向“中国创造”和“制造服务业”的时候、当我们的企业快速发展的时候、当企业信息安全风险快速升高的时候,我们是否审视过企业信息安全体系?我们的安全措施是否能跟上风险的快速升高?我们是否能避免泄密事件在自己身上重演?

分页

泄密事件的经验和教训

    前事不忘,后事之师。当泄密事件一再上演,我们应当从中吸取到经验和教训。

    对于制造企业而言,最为重要的是设计文档。企业投入巨额研发成本,产生了大量成果,这些成果普遍以数字资产的形式存在。由于数字资产具有易复制和易传输的特性,所以很容易造成资产的流失,并对企业的市场竞争力造成深远的消极影响。它们是核心资产中的核心资产,如果被竞争对手获得,可能直接影响到企业的生死存亡。因此,设计文档的保护是重中之重。

    除设计文档之外,价格体系、商业计划、客户资料、财务预算、市场宣传计划、采购成本、合同定单、物流信息等也是非常重要的信息,这些信息泄露出去,可能使企业处处被动。如果说设计文档泄密是致死打击,那么商业信息的泄密就如同凌迟,一点一点的让企业处于竞争的下风,丢掉竞争优势。比如三星未来10年的销售计划被窃取、苹果公司因Paul Devine泄露的信息亏损了240.9万美元,如果不被发现,苹果和三星都将在竞争中受制于人。目前很多制造企业在构建安全体系的时候都只考虑了设计文档的保护,却没有考虑到商务信息的保护,这是值得反思的。

    当今世界,网络已无处不在,人们的生活也与网络紧密结合。随着电子商务的快速发展,大部分的制造企业都建立了自己的门户网站,许多制造企业已经开始采用B2B、B2C等电子商务模式。企业拥有了用户的资料,同时也背负了更大的安全责任。一旦网站被攻破,用户资料泄露,其影响甚至大过设计文档的泄露。就如索尼PSN泄密事件,在三个交易日内索尼股价跌7%,市值缩水20亿美元,之外可能面临百亿美元级的赔偿。中国的企业如果遭遇这种情况,无异于灭顶之灾。因此,电子商务的安全、用户资料的保护应当是快速发展中的中国制造业应当关注的重要问题。   

如何避免PSN事件重演?

    PSN泄密事件为快速发展中的制造企业敲响了信息安全的警钟。我们在总结经验教训的同时,也应当审视自己的安全体系和信息安全建设情况,并考虑如何避免PSN事件在自己企业重演。e-works通过对国内外知名安全厂商的采访,总结出防止PSN事件重演的七个要点:

    1.信息面临的风险和信息的价值(包括直接价值和间接价值)成正比。企业需要正视信息的价值,对不同价值的信息采取相应级别的安全措施,并形成持续改进的机制。

    2.对内部的信息数据进行重要性划分,并对数据产生、存储、使用、销毁的过程设立不同的安全标准。尤其注意重要信息数据的隔离和分散存储,防止“把所有鸡蛋放在一个篮子里”。

    3.绝大部分安全事故的发生都存在管理者安全意识不高,平时的安全防护做得不够的因素。人们往往存在侥幸的心理,觉得系统的小漏洞不会造成大的影响,而黑客就是利用小漏洞发起致命的一击。所以企业安全管理人员必须要有危机感,对待安全工作要严谨,不能让系统存在安全隐患,使得黑客有机可趁。

    4.安全体系总是会有不断的新威胁,除了外部的威胁,来自于企业内部的安全威胁也是不可忽视的。当前许多企业主要是靠严格的规章制度加上员工的自觉,但这还是不够的。企业需要结合内外安全管控技术,并辅以严格的管理制度,建立起完善的信息安全防护体系,保护核心资产的安全。

    5.在考虑外网入侵的同时对内网数据泄露风险进行防护。绝大多数黑客入侵行为看似从外网发起,但其真正的切入点往往是在内部。在外网防护手段已相对成熟的情况下,内网数据如果得到有力的安全保障,外网入侵的风险必然能够得到极大控制。

    6.企业需要认真分析和审视自己的业务流程,采用更加稳妥的方式保证自己的核心信息资产的安全。

    7.安全审计,尤其是内容操作层面的审计要未雨绸缪,不能亡羊补牢。

    除以上七个要点外,也有专家指出了企业安全体系和策略中容易存在的九个安全隐患和管理漏洞:

    1.企业内部各个终端是否具备有效的安全保护;

    2.企业内部重要电子资料有没有安全、可信的管理方法;

    3.企业内网中受保护数据如何实现安全共享;

    4.企业内部对文件有访问权限的员工,是否经常通过邮件附件形式、及时聊天工具等对内部受控文件进行传输,导致公司核心文件存在流失、被泄密风险;

    5.所有数据离开企业内网后如何对其进行控制;

    6.临时接入终端在浏览内网信息同时如何进行设置;

    7.员工离职,是否存在把核心资料也“顺便”带走(USB存储设备、邮件、刻录盘等);

    8.未经授权用户是否能通过移动存储设备、Email、手提电脑将数据带出公司,是否存在未经许可将公司电脑主机、硬盘、服务器带出公司等现象;

    9.企业文件流转及操作情况有没有全程跟踪记录,信息泄密是否有据可查;

    只要企业能够切实做到上述七要点所述内容,并解决好容易存在的九大安全隐患,将信息安全工作落到实处,即可最大程度的避免PSN事件的重演。

    结语

    信息安全非一日之功,也不仅仅是依靠软件或者制度就可以解决的,要做到管理、制度和技术的相结合,将安全工作落实到企业的每一个环节,才能真正做好信息安全。目前中国制造企业正处在快速发展的阶段,许多企业已经不是单纯的“制造”企业,也面临着更多、更复杂的环境。信息安全的思想和观念不能停留在原地,必须与业务共同进步,才能为企业的快速发展保驾护航。

责任编辑:赵蔓
本文为e-works原创投稿文章,未经e-works书面许可,任何人不得复制、转载、摘编等任何方式进行使用。如已是e-works授权合作伙伴,应在授权范围内使用。e-works内容合作伙伴申请热线:editor@e-works.net.cn tel:027-87592219/20/21。
e-works
官方微信
掌上
信息化
编辑推荐
新闻推荐
博客推荐
视频推荐