對安全重要性來講,銀行應該是僅次于軍隊的,但就是在這樣一個幾乎武裝到牙齒的地方,卻也發生了讓人匪夷所思的事情。
2004年3月,人們在二手錄影帶市愁時所輸入的密碼。追究起來,只是因為這家銀行的雇員沒有重視這些未經銷毀的錄影帶,私自倒賣給二手市場,無意中泄漏了銀行最重要的客戶資料。
當然,雇員在互聯網上的一不小心也可能讓第三方獲取企業的機密信息。2004年4月,引起美國政府和企業全面警戒的間諜軟件以及廣告軟件就是一種隨時可以竊取個人或者是企業資料的軟件,只要用戶不小心瀏覽了捆綁有間諜軟件或者廣告軟件的網頁。目前,干擾美國的主要間諜軟件公司為Claria(原稱Gator),廣告軟件公司為WhenU。大部分由這兩家公司搜集的用戶資料被賣給了第三方。雇員一不小心的錯誤操作總是會引狼入室,而且趕也趕不走。
“這種情況,我們公司通過監控和限制每個員工瀏覽的網頁解決。員工只能在規定的時間內鏈接公司規定的網頁,這樣可以盡量避免類似的情況發生。”億陽集團的員工說。
敵人隨時都瞄準你的任何一個漏洞
垃圾里面的秘密
這里的外部攻擊并不僅僅指網絡黑客對企業網絡的攻擊,更多的是來自競爭對手的調查,從而竊取企業的銷售資料或者是技術配方,而他們的調查一般從垃圾開始。
幾年前,一家著名的市場調查公司調查麥當勞的產品銷售量,他們使用了痕跡調查方法,收集了當天麥當勞所有的垃圾,雇用了許多零時工從麥當勞店內收集垃圾,包括包裝紙盒等。他們就是通過計算這些垃圾得出了麥當勞每一種產品的銷售量,并且推算出賣當勞下一年的銷售計劃。在這之后,麥當勞門店內的垃圾都要經過自己的處理后才運走。同樣的事情也發生在雅芳和玫琳凱化妝品公司之間。雅芳就曾經雇傭私人偵探收集了玫琳凱的丟棄物,并且進一步破解了競爭對手的新化妝品配方。對于玫琳凱來說,她無法奪回這些珍貴的東西,因為雅芳只是研究了她的垃圾而已,這是完全合法的。
當然,有一些競爭對手的行徑更加惡劣,他們會花1000元雇用一個在校大學生,讓他以實習的名義進入企業。而這個看上去很安全的實習生就可以輕易的竊取公司的人事變動表,并且不被發現。而競爭對手通過分析這個表,就可以很準確的判斷出公司下一步的發展方向和主營業務。
黑客有多黑
當然,說到外部攻擊不可能排除黑客對企業網站的攻擊。據有關調查顯示,在黑客攻擊中,44%的人是為了錢,16%是為了破壞軟件,16%是為了竊取信息,12%是為了篡改數據,10%是為了盜用服務,另外2%是無心之過。
現在,競爭對手通過網絡竊取企業的信息或者是破壞軟件并不是一件很容易的事情,因為企業會利用一切手段嚴加看守自己的核心資產。但是,消費者盜用服務卻是企業目前遇到的最大困難。
目前,微軟和雅虎(Yahoo.com)免費電子郵箱用戶可以通過攻擊漏洞,免費擴容的事件引起了大家的普遍關注。免費的MSN或者是hotmail用戶可以通過安裝微軟給付費用戶發行的MSN9服務光盤里的程序來實現對自己的MSN帳號升級,不付一分錢便可以終身享受一切相關的增值服務。而雅虎近日出現的漏洞似乎不可思議,用戶只要進入普通的郵箱登陸界面,然后輕易就可以將自己的郵箱從5兆升到10兆。當然,微軟和雅虎都已經為這個漏洞付出了代價。另外,一些游戲玩家通過模仿用戶,盜取網絡游戲運營商的游戲幣也是讓游戲公司非常頭疼的事情。
學會保護自己
“實際上,現在的中國企業在技術上與國外已經趨于同步,無論是防火墻,還是病毒軟件,還是VPN技術早已經與國際接軌。”安氏(isone)CTO陳政說。但是,中國企業在保衛公司信息安全方面總是顯得如此單薄,漏洞百出。因為他們根本沒有意識到需要讓每一個員工來共同保衛公司安全。
某軟件公司80年代末期編寫的軟件程序磁帶占用了倉庫大量的空間,公司所有的年輕員工都主張賣掉這批已經沒有什么參考價值的資料,但遭到了一位曾參加編寫的工程師的竭力反對,而他的理由很簡單卻也很重要:“這些東西對大部分人來說沒有參考價值,但是一旦被賣到國外,就非常危險。”所以,從管理的角度來講,首先就是要讓員工樹立起保衛公司安全的意識。
當然,員工的辦公安全也是企業應該考慮到的問題。因為大部分治安嚴謹的小區都有自己的網絡監控和電話監控系統。如果競爭對手在小區內對企業員工進行監控,他們可以輕而易舉的獲取相關資料。對于這一點,諾基亞的解決方案很實用:“我們外出辦公的員工在登陸公司局域網時要通過公司為其專門設置的密碼,而且這個密碼是不斷更改的。一個員工不可能長期使用同一個密碼進入公司的局域網。”諾基亞中國區企業解決方案部王磊說。
所以對于企業的領導者來說,要減少外部攻擊對企業造成的損傷,除了要花大筆的費用引進技術外,還必須用嚴格的規定來保證攻擊者無懈可擊。畢竟,蒼蠅不叮無縫的蛋。
國防科工委網絡要求內外網絡嚴格隔離,因為他們要保護的是紅頭文件,但是限制幾千人聯網的權力是一件非常吃力的事情。于是,國防科工委的院長親自帶隊查處。他們嚴格監控自己的外網出口,一旦發現內網有人通過外網出口傳輸文件,就會馬上跟蹤IP地址,而等待這個員工的將是嚴厲的處罰。
