“力拓案”带来的信息安全思考
案例分析
震惊全球的“力拓案”给中国整个钢铁行业带来了近万亿元的经济损失。据调查,在力拓驻中国办事处的电脑内,竟然存储有几十家国内钢铁企业的各种资料,包括企业详细的采购计划、生产细节、月产量、销售额和库存原料等各种数据资料。“力拓案”发生的原因就是中国钢铁企业或业内重要的机密数据被泄露给了外资厂商,使外资企业全盘掌握了国内企业关于铁矿石谈判的底线。试想一下,如果你作为一个企业的领导者,某家企业掌握了你大部分的业务数据、产品信息、生产安排等,那么后果将会是什么样?各种利害关系,不言而喻。
据《财富》杂志统计,全球排名前100位的企业,平均每次由电子文档泄密所造成的损失高达5万美元。由此可见,全球任何一家企业都可能会存在信息泄露的情况,只是没有中国“力拓案”造成的损失那么大而已。因此我们是不是应该反思?造成近万亿元经济损失的“力拓案”发生的根本原因到底是什么呢?
安全意识集体缺失导致巨大损失
据国外安全咨询机构波耐蒙研究所针对45家欧美大型企业进行的一项研究显示,平均每家企业每年用于信息安全的投入约为380万美元。研究显示,380万美元只是一个平均数,这些企业应对信息安全的投入在100万美元至5200万美元之间。研究显示,网络攻击包括窃取知识产权、窃取网络银行账户信息、传播病毒以及在互联网上公布商业秘密和破坏企业基础网络设施等。企业应对信息安全的成本包括应对恶意攻击、攻击对业务运营的破坏损失、营收信息损失与失窃、财产信息损失与失窃等。
其实企业信息数据的流失与否完全可以掌握在自己手中,这要看企业决策者是否具有信息安全意识。现在中国各类企业的数据安全防护几乎处于零防护状态,各种泄密事件屡屡发生,给企业造成了极为严重的损失。然而,企业要做到防止信息泄露是很困难的,企业内部往往有几台甚至几十台大型服务器和数千台电脑终端,还有各种移动存储设备,而且各个分公司、出差人员的电脑也会接入企业内网。由于企业的信息数据存放在很多个设备上,如笔记本、服务器、闪存等都保存着各种文档和数据,因此任何一个环节出现纰漏,就会导致数据泄露事件发生。
这些复杂多变、令人头疼的问题,该怎么解决呢?据媒体报道,“力拓案”受牵连企业的管理者当得知自己企业的重要信息泄露后,第一反应竟然是“这怎么可能?我们安装了防病毒软件啊”。这足以证明,“力拓案”的发生并不是偶然现象,而是中国企业集体信息安全意识缺失造成的结果。防病毒软件只是保证信息安全的最基础手段之一,无法完全防止信息泄密。从应用层面来说,不管是企业还是个人,保障信息安全应当从多个方面同时着手,包括基础架构、内容、应用及操作上的安全等。
对此,山西一家钢铁企业的程总经理颇有安全见解,并且他们公司也是在“力拓案”中的为数不多的没有遭信息泄露的企业之一。
亡羊补牢,防患于未然
程总是一个43岁的北方人,为人诚恳而豪爽,且思想比较开放。他坦言,在2003年公司财务信息也曾遇到过泄密情况,为此公司付出了400多万元的经济损失。为了保护企业的信息安全,程总在公司内部进行了设备的更新,并提出了几项安全要求:第一,要保证个人电脑的数据安全性;第二,要在确保团队协作的前提下,确保共享网络的安全;第三,保证所有操作行为能随时被记录,不仅能追查重要信息的浏览人,同时还要保证信息的安全性;第四,要实现最高级别的安全授权,尤其是指纹校对。
根据以上要求,程总考查了很多产品,但结果令人失望。能满足要求的产品几乎全部都被国外品牌垄断。作为一家国资委控股的钢铁企业,一般是不能采用外商品牌的产品为自己做保密工作的。最后程总不得不选择了国内某著名的品牌电脑,但实际评测后,感觉该品牌电脑只能实现点对点加密,每次进行信息修改时,都要解密修改完后重新加密,不利于经常需要修改数据的同事提高工作效率。“当时我就想,难道就没有一家用起来放心、称心的国内品牌产品吗?”程总感慨到。
当程总一筹莫展的时候,清华同方电脑的相关人员主动与他联系,并派遣技术工程师与程总沟通,提供相关安全产品试用。在试用中程总发现,同方安全PC产品不仅可以实现加密功能,还能在加密文件夹下直接打开数据修改,并且保密数据置于加密文件夹下非常便于管理,极具人性化。更为关键的是,同方电脑还能实现加密网络共享,这样就保证了其他同事能够配合你完成工作,却无法将数据资料泄露出去,这是市场上唯一可做到授权加密网内共享的方案。
这些功能的实现,全部仰仗于清华同方自主研发的TST2.0解决方案。TST2.0所提供的所有功能均是通过TCM芯片实现,这款芯片采用最新算法,想要破解这个算法,就算用现在最强的高性能计算机,也要算上几万年,所以TST2.0在易用性、全面性和保密性三方面皆有不俗的表现,是高度“一站式”软硬件结合的智能安全解决方案。
而程总所在公司之所以能免于“力拓案”的伤害,在很大程度上就是采用了同方TST2.0企业版解决方案。
编后>>
在竞争日益激烈的今天,捍卫企业的数据安全,同样是企业提高自身竞争力的要素之一。清华同方的立体化信息安全解决方案,全面打造出了同方“安全品牌”,为整个行业树立了解决信息安全问题的自主创新标杆。