一、信息安全问题日益突出
案例1:
西安重型机械研究所(简称西重所)前高级工程师裴国良在跳槽后,通过移动硬盘将原单位的近万张商业秘密技术设计图纸“剽窃”到新单位中冶连铸技术工程有限公司,后来中冶连铸公司在诸多工程项目屡次中标,使西重所失去应有的市场份额,经济上蒙受了巨大损失。这次“剽窃式跳槽”在给西重所造成重大损失的同时,也让裴国良教训深刻。西安市中院日前宣判:裴国良被判3年有期徒刑、5万元罚金,还要与中冶连铸公司共同赔偿西重所经济损失1782万元。这是目前国内赔偿额最大的一起商业秘密侵权案。
案例2:
金凤凰公司是深圳市龙岗区一家大型家具公司,2004年1月,该公司原采购部经理戴某、图纸设计员吴某“跳槽”到龙岗区另一家家具生产企业金富丽公司。他们“跳槽”前利用职务之便,通过电子邮件带出大量金凤凰公司的受控文件,并且将金凤凰公司家具产品图纸用于金富丽公司生产。当年,金富丽公司迅速组织生产销售了大量与金凤凰公司产品风格外观极为近似的高档家具,造成金凤凰公司巨额损失。2006年8月23日深圳市中级人民法院对金富丽公司侵犯商业秘密一案作出终审判决,判被告金富丽公司构成侵犯商业秘密罪,判处罚金人民币50万元。该公司的直接责任人员戴某、吴某被判处有期徒刑1年,缓刑两年。
互联网和IT技术的普及,使得应用信息突破了时间和空间上的障碍,信息的价值在不断提高。但与此同时,计算机病毒、系统非法入侵、数据泄密、****植入、漏洞非法利用等信息安全事件时有发生。据公安部的调查结果显示,每年都有将近50%的企业发生过信息安全事件。
在工业时代,世界上最大的商业秘密,代号 7X 的可口可乐配方,采取了严密的保密措施,为可口可乐公司赢得了超过800 亿美元无形资产。信息目前已经成为公司的机密资产。上面两个案例均是商业机密信息丢失给企业造成的重要损失。保护企业商业机密已经成为企业维护知识产权的重要手段了。
二、信息安全是系统
随着信息技术的发展随之而来的是大量的存储数据,越来越多的技术资料被存储于电脑外围设备中,包括硬盘、磁带、光盘等介质中。对很多企业来说,计算机设计的图纸或者作品,已经成为企业的核心技术和命脉,因此,计算机中存储信息的安全,也越来越受到人们的重视。人们采用了各种不同的手段来保护数据的安全,包括使用多个备份来保护数据防止意外丢失而造成损失,使用防火墙保护数据防止外部入侵的攻击,使用防病毒软件防止病毒的破坏,使用严格的管理制度,防止数据外泄等。
但是经常发生的情况是,安全投入也不少,但是还是不见效果。原因就在于安全不是简简单单的设备堆积,不是说买几套防火墙或者IPS就够了的。安全也不是单纯的技术问题,光靠技术手段无法完全解决安全问题。所以安全尤其是企业信息安全是一整套系统,涵盖了技术系统和管理系统。
公司员工要时刻记住信息安全,首先,将信息安全纳入员工考核体系,作为员工选拔的重要参考因素;其次,在日常工作中,加强信息安全的宣传、培训等;再次,通过有效的控制手段、技术保障来贯彻信息安全;最后,实行有效的奖惩制度和相关法律保障。
法律:员工任职期间需要签署保密协议,第三方合作人员必须签署保密协议
奖惩:对于违反信息安全策略的员工,根据情节严重程度进行处罚,包括通报批评,罚款和降薪等措施
培训/宣传:新员工入职和第三方合作人员需要定期学习信息安全策略流程和规定
技术保障:员工离职时收回所有涉及公司业务内容的信息,并立即取消对所有系统的访问权限
考核:将信息安全纳入员工考核体系,作为员工选拔的重要参考因素
管理制度跟上之后,就需要有技术手段来执行和监督。信息技术可以避免信息泄漏事件的发生,将泄密事件的可能降到最低,同时也提供事后审计手段,当信息泄漏之后,能够追踪要责任人,调查清楚事件的来龙去脉,为防止以后类似事件发生提供参考。
三、H3C五层安全体系
对于企业来讲,商业机密包括了财务数据、客户资料、设计方案和程序代码等等,其他任何数据的丢失都可能给企业带来巨大的损失。企业信息安全体系最终目的就是保护数据安全,不受偶然的或者恶意的原因而遭到破坏、更改、泄露。
要切实保护商业机密,需要构建的是整套安全系统,从各个层面各个角度来进行安全保护。H3C创新性地提出了五层安全体系,从网络安全、终端安全、应用安全、数据安全和环境安全五个层面来构建企业安全平台,将安全威胁彻底拒之于门外。
第一层:网络安全
终端安全常见问题:非法终端接入网络、终端端口泄密
网络边界保护
随着企业网络上承载的业务越来越多,越来越重要,构建一个安全、高效的网络环境对企业而言已经是势在必行。但与此同时,蠕虫病毒、黑客攻击、恶意P2P流量等等网络威胁却愈演愈烈。H3C的边界安全解决方案,将高性能的安全设备部署在网络边界上,通过集成和融合使安全设备的综合防御能力不断提升,最大程度地保护网络边界安全。
网络边界保护四部曲:
小型规模网络:MSR路由器充当防火墙功能
中型规模网络:SecPath/SecBlade防火墙提供2-4层包过滤
大中型规模网络:SecPath/SecBlade IPS提供4-7层安全防护
大型规模网络:部署防火墙、IPS以及网络产品,安全管理平台进行统一安全管理。
内网安全保护
在所有的安全事件中,有超过70%的安全事件是发生在内网上的,并且随着网络的庞大化和复杂化,这一比例仍有增长的趋势。因此内网安全一直是网络安全建设关注的重点,但是由于局域网以纯二层交换环境为主、节点数量多、分布复杂等原因,一直以来也都是安全建设的难点。基于H3C在以太网安全领域积累的大量经验,在H3C交换机产品中提供了大量的安全特性,可以充分保障局域网的安全。
H3C局域网交换机的安全特性包括:
防DDOS攻击
防蠕虫病毒
接入安全技术——防IP伪装
防中间人攻击——STP Root / BPDU 保护
防ARP欺骗
DHCP server 保护
路由协议攻击防护能力
通过部署H3C局域网交换机,同时开启相关的安全功能,进行内网安全保护,可以有效的将病毒和攻击扼杀在摇篮里。
第二层:终端安全
终端安全常见问题:非法终端接入网络、终端端口泄密
终端接入安全
普通企业网络不对接入电脑进行认证,外部人员携带电脑进入公司办公区,可随意接入公司网络,访问内网资源,这样直接导致公司机密文件被外部人员访问甚至带出,后果非常危险。H3C的EAD端点准入防御系统能对登录内网的用户进行唯一性身份认证,限制非法终端或非授权、外来用户接入随意使用网络,同时禁止任何方式(包括使用拨号、双网卡等)使终端一台计算机同时可访问办公、业务网和Internet。
为了确保只有符合企业安全标准的用户接入网络,EAD通过交换机的配合,强制用户在接入网络前通过802.1x方式进行身份认证和安全状态评估。EAD方案同时通过安全客户端、安全策略服务器、接入设备以及防病毒软件的联动,可以将不符合安全要求的终端限制在“隔离区” 内,防止“危险”终端对局域网安全的损害,避免“易感”终端受病毒、蠕虫的攻击,从而大幅度提升了局域网抵御新兴安全威胁的能力。
终端端口安全
通过移动存储介质带出文件是主要的信息泄漏途径之一,因此PC终端的存储媒体、介质信息泄漏防护也是非常重要的功能。利用第三方防水墙,可以进行存储媒体、介质防护,包括软盘存储器防护,可移动存储器防护和CD-ROM 防护。其中可移动存储器包括USB 接口的所有可移动存储设备,包括U 盘、移动硬盘。通过电脑终端的端口控制,将容易泄密的端口全面进行,可以达到最佳预防效果。
第三层:应用安全
互联网应用安全:
随着网络的发展,基于互联网的应用也越来越普及,像QQ、MSN、BT等即时通信工具和P2P工具都成了现代人生活的必备工具,然而MSN,QQ,BT等工具现在也成了很多企业CIO们最挠头的问题。首先QQ/MSN在企业中使用很容易造成文件泄密,QQ/MSN都具备点对点传输文件的功能,网管员很难监控,所以经常有通过QQ/MSN等工具传输部门机密文件的事件发生。BT、电驴、ftp等工具也有这种文件泄密的可能。另外这些互联网应用还容易影响工具效率,甚至感染病毒。所以企业中通常需要对即时通信工具或者P2P工具进行管控,限制甚至禁止他们的运行,以确保互联网应用安全。
限制互联网应用有两种方式:一种是在出口设备处进行控制,另一种是在PC机上进行控制。在出口设备上,可以选择MSR路由器或者Secpath防火墙,通过端口和IP地址等策略限制QQ/MSN/BT等应用。如果需要更好、更多、更快地进行限制,可以选择部署ACG应用控制网关,通过对应用的协议特征码深入分析来限制,限制的应用种类更多。
另外可以在PC终端处进行限制,当机器运行EAD认证时,程序先检查系统有没有运行QQ.exe、MSN.exe等进程,如果有运行,则可强制其下线,禁止其接入网络。当前这需要在EAD服务器端设置相应的策略,在“可控制软件管理”中将需要禁止运行的进程加入到“可控制软件列表”当中。这样就从根源上面断绝了容易泄密的互联网工具的使用。
邮件审计
目前电子邮件已经成为人们最重要的沟通方式。电子邮件快捷、方便的特点已经成为企业与外部沟通的最有效的方式之一。企业内部大量的信息都通过电子邮件方式发送到外部,因而电子邮件也成为泄漏企业重要信息的重要途径之一。
在企业中为了保证电子沟通安全,通常要部署电子邮件审计系统,对于邮件中的敏感字、关键字进行过滤,或者延迟发送,待管理员审核。对于已经发出的邮件,需要进行事后审计发件人、发送时间、发送主题、内容和附件,万一发生电子邮件泄密事件,可以进行追溯,追究到责任人。
上一篇文章:
公共广播方案
下一篇文章:
为中国制造向中国创造保驾护航-H3C制造型中小企业信息化解决方案
021-51973216 51920630
