e-works数字化企业网  »  文章频道  »  基础信息化  »  网络与安全

溢信科技黄凯:信息安全一定要摆在非常重要的位置

2011/5/17    来源:e-works    作者:e-works李卓刚      
关键字:信息安全  PSN泄密  溢信科技  
近期,索尼的PlayStation游戏网络(PSN)遭黑客入侵,受影响用户多达7700万人,其中1000万个人信用卡账号也存在遭窃可能,涉及57个国家和地区,堪称迄今规模最大个人信息遭窃事件。目前,中国制造业正处于转型的阶段,一方面自主研发越来越多,企业信息资产价值越来越高,风险越来越大;另一方面许多制造企业开始向服务转型,还有许多企业涉足电子商务领域,也同样面临着用户信息被盗的风险。为避免PSN事件重演,e-works特邀请业内专家就以上问题发表看法,本文是溢信科技研发总监黄凯的采访实录。

前言:

    近期,索尼的PlayStation游戏网络(PSN)遭黑客入侵,受影响用户多达7700万人,其中1000万个人信用卡账号也存在遭窃可能,涉及57个国家和地区,堪称迄今规模最大个人信息遭窃事件。目前,中国制造业正处于转型的阶段,一方面自主研发越来越多,企业信息资产价值越来越高,风险越来越大;另一方面许多制造企业开始向服务转型,还有许多企业涉足电子商务领域,也同样面临着用户信息被盗的风险。为避免PSN事件重演,e-works特邀请业内专家就以上问题发表看法,本文是溢信科技研发总监黄凯的采访实录。

    1.您对PSN泄密事件有何看法?

    黄凯:安全问题的严峻程度可能要远远高于想象,互联网的安全让人担忧。最近的企业安全事件,让防止外部入侵再次成为焦点,但企业不能因此而忽视了内部的安全隐患。

    索尼的事件惊动了国会还有FBI,可见组织信息泄漏所带来的风险损失,除了巨额的经济损失,可怕的商誉影响,还可能带来巨大的政治与法律风险。

    2.在您看来,哪些应用、哪些类型的信息面临的安全风险更高?

    黄凯:1、关系到企业的核心竞争力,比如源代码、研发数据、设计图纸等等(比如三星、苹果等近期的泄密事件都可以看出。去年也有黑客入侵到谷歌的特权人员的电脑盗取机密数据)

    2、大批量客户的个人隐私,像住址、电话号码,这类泄密层出不穷,(七天连锁最近的大量客户的入住信息也被泄露)我们老是会收到一些垃圾短信,垃圾邮件什么的,我们的个人信息不知道通过什么渠道被泄露出去了。

    3、财务数据(信用卡信息,账户存款之类的),金融行业的泄密事件、还有这次索尼这么严重的原因之一也是因为众多客户的信用卡信息被泄露出去了,可能会造成用户实际上的巨大损失。

    3.企业在PSN泄密事件中应当学到什么?

    黄凯:安全风险无处不在,所有的客户都要警醒,不要以为安全事故与自己无关,象Sony这么大的公司一定有很严格的防范措施,他们一样会遇到如此重大的安全问题。对一般的企业来说,安全风险同样存在,一旦安全事故发生,可能给企业带来不可预估的灾难。

    我们没有哪家企业能保证自己做得比索尼要好。所以安全警钟要常常牢记心头,不断发现自身安全隐患并进行修补,各家企业要根据自身情况找到自己的防护之道。

    信息安全一定要摆在非常重要的位置,联想到之前七天酒店的信息泄漏。在现在个人隐私保护的大背景下,不重视会有很大的损失;索尼因为这个事件可能要数十亿美元的损失,还有其他的法律风险之类的,七天酒店事件可能也会对其品牌形象造成影响。

    这次索尼的反应也同时提醒我们,一旦遭遇了大规模的信息安全事件,要及时地进行披露并评估相关的风险,保证受到影响的用户能够及时准确的得到相关的情报,同时为用户提供补救措施与建议,这是降低信息安全事件负面影响必备的前提之一。

    4.企业是否应当重新审视自己的安全体系和策略?

    黄凯:每个企业都需要审视自身企业的安全隐患,隐患可能是不断发展的,并及时作出防护措施。

    安全是相对的,不可能有绝对的安全。但我们不能因为做不到绝对的安全就放弃信息安全的建设。安全的攻防是一场博弈,有时道高一尺,有时魔高一丈,出现了索尼这样的安全事故,我们应该从中吸取教训,更好地完善我们的安全体系。

    5.企业应该如何避免这样的风险?您有哪些建议?

    黄凯:绝大部分安全事故的发生都存在管理者安全意识不高,平时的安全防护没有做足够的因素。而且他们往往存在侥幸的心理,觉得系统的小漏洞不会造成大的影响。黑客发起攻击的时候,就是利用了我们的小漏洞给予我们致命的一击。所以企业安全管理人员必须要有危机感,对待安全工作要严谨,不能让系统存在安全隐患,使得黑客有机可趁。

    安全体系总是会有不断的新威胁,除了外部的威胁,来自于企业内部的安全威胁也是不可忽视的。从当前许多企业的管理模式来看,主要都是靠严格的规章制度加上员工的自觉,但这还是不够的。我们要不断地加强防范,结合内外安全管控技术,并辅以严格的管理制度,在企业建立起完善的信息安全防护体系,防护图纸、代码、客户资料等企业核心资产的安全。

责任编辑:赵蔓
本文为e-works原创投稿文章,未经e-works书面许可,任何人不得复制、转载、摘编等任何方式进行使用。如已是e-works授权合作伙伴,应在授权范围内使用。e-works内容合作伙伴申请热线:editor@e-works.net.cn tel:027-87592219/20/21。
e-works
官方微信
掌上
信息化
编辑推荐
新闻推荐
博客推荐
视频推荐