最近一两年信息泄露的案例屡见不鲜,如富士康泄露iPad2设计图、三星泄密事件等各种事件层出不穷,这些信息泄露事件反映出哪些内网安全风险?哪些经验和教训是值得我们学习的?对此,我们采访了知名业界专家、企业代表、厂商专家,集结三方专家与您一起探讨“从泄密事件中看信息防泄漏”。
对于富士康泄露iPad2设计图、三星泄密的信息泄密,青岛中集冷藏箱制造有限公司信息主任耿峰推断,他们的防泄露系统没用完全发挥作用,问题很有可能不在防泄漏系统本身,而在管理。郑州三全食品股份有限公司CIO周清湘也有类似的看法,他认为,员工信息安全管理观念淡薄、信息安全责任管理概念模糊、缺乏信[……]
1. 超导前雇员被判罪间谍 华锐称泄密说法不实 来源:经济观察网
外媒日前报道称,美国超导子公司Windtec的前工程师在奥地利被判定犯有欺诈和“工业间谍罪”,其供认将“风机机密”出售给中国风机供应商华锐风电,对此华锐方面发表声明称“美国超导员工的说法严重不实”。英国金融时报称,卡拉巴斯维克曾在美国超导的一家子公司工作,并在中国为华锐风电进行发电机维护。他被控在2011年4月获取机密信息,包括设计图纸和风力发电机软件源代码,并出售给华锐风电。
短评:又见到前员工泄密的典型案例。虽然涉案各方按“惯例”予以否认,但个中奥妙,相信大家都明白的。携带原公司的资料去到新公司工作究竟是不是违法行为?[……]
现如今的信息防泄漏解决方案不胜枚举,宣传带有防泄漏功能的产品比比皆是,然而企业在面对众多方案时却常常眼花缭乱、无所适从。什么样的系统才是好系统?什么样的方案能帮助企业切实提高信息安全防护水平?应该以怎样的标准来判断不同方案的优劣?对此,e-works采访了知名业界专家、企业代表、厂商专家,集结三方专家与您一起探讨“信息防泄露方案,如何慧眼识英?”
我国古代行医讲究的是保障人体的安康,信息防泄漏方案是为了企业信息的安全。对防泄露方案进行选择,就好比面对病人时医生要找出合适的“处方”才能对症下药。以此为基,在对防泄漏标准进行选择时,亦逃不出“望、闻、问、切”的手[……]
内网安全中有一项非常重要,但是也存在着一定争议的工作,那就是——行为审计。行为审计可以发现不少内网安全的“内鬼”,但“行为审计是否侵犯个人隐私”一直存在争论,如何用好审计功能也是企业和厂商都极为关注的一个课题。对此,e-works近期采访了知名业界专家、企业代表、厂商专家,集结三方专家与您一起探讨“信息防泄漏,如何用好行为审计?”。
审计,信息安全的晴雨表
把握住行为信息收集的度,控制好审计的范围和权限,便可以很大程度的避免一些审计带来的风险。审计只是一个工具,IT管理部门应该明确,审计的目的是为了安全,它让企业得以对内部的操作可视化,这样企业可以随时[……]
信息防泄漏是包括加密、管理、审计、监控等多个方面的整体方案,信息防泄漏需要“组合拳”。但是,其中无论是加密、管理、审计还是监控,市场上都有单功能的产品。对此,企业是买多个单一功能的产品来组合成信息防泄漏体系,还是选用一个厂家提供的整合的信息防泄漏整合方案呢?本期e-works集结厂商、企业、专家三方共同探讨如何打好信息防泄漏的“组合拳”。
打好“组合拳”,首先需要组合里的每一“拳”都打的漂亮。选择整体方案,需要各个模块各自发挥所长,起到本身的功能作用,这需要模块间良好的配合。不同厂商的产品之间,产品理念和技术体系可能不完全相同,相互之间很可能会有兼容性的问题[……]
信息防泄漏是指通过一定的技术手段,防止企业的指定(重要或者敏感的)数据或信息资产以违反安全策略规定的形式流出企业的一种策略。目前来说,国内信息防泄漏以文档加密技术为核心,结合安全审计机制、严格管控机制、内部文档操作控制机制,有效防止任何状态(使用、传输、存储)的内部资料和信息资产泄漏。然而,不少企业对于信息防泄漏只停留在文档加密的阶段。
从字面意思来看,信息防泄漏是防止信息的外泄。信息的生命周期包括创建、使用、存储、传递、消亡,信息的传递周期涉及到信息创建、终端、端口、移动存储介质、网络等方面,两个周期共涉及到企业的各个方面的,例如业务流、IT、管理、人员等[……]
1.银行内鬼卖客户信息 休眠卡被挂失套现 来源:搜狐
80后南京青年郭振和王康过去都曾在小额贷款公司里干过,手头掌握了一些客户信息。从去年九十月份起,郭振开始从网上买回一些客户个人信息,包括姓名、身份证号、手机号,有的还有卡主的住址。半年多来,郭振等人的涉案金额达十余万元,日前,因涉嫌信用卡诈骗罪,三人均被下关区检察院批准逮捕。
短评:个人信息泄漏的途径是什么?我想一个重要的答案就是内鬼了。平心而论,任何持有大量机密信息的组织的信息系统,应该都有部署相应的信息安全系统,或有严格的保密规定,那为什么还会出现泄密的情况呢?利益导向。我们投入了大量的成本在防范外来的入侵,却对内部合法用户的非法[……]
本专题是由溢信科技策划,知名IT媒体51CTO和E-works共同制作完成,围绕着内网安全行业10年发展过程中的十大焦点性问题,我们共同采访整理了一批行业专家、一线用户的观点,结合溢信自身的行业经验,制作了本专题。希望文中的精彩观点,能为你提供一定的参考!
内网安全,站在十年的路口[……]
“50万的安全建设投入,和1000万的产品研发投入相比,谁更值得?”有人觉得当然是产品研发更值得,企业的核心资产就在产品研发上。那么,谁来保证这个核心资产的价值呢?先来看一则实际案例,A公司投资近千万,耗时两年打造了某产品。在该产品上市前1个月,B公司也在市场上推出了该产品。主要参数一摸一样,价格却减半。于是公司内部各种传闻、猜疑声四起。A企业的损失只是上千万么?市场占有率呢?人员团结呢?——也许都是损失,不可估量的损失。这样来看,50万的安全投入,是否就值得了呢?
游侠安全网站长张百川挺赞成一句话:安全,成就价值。它本身不一定非要创造价值,但是却可以帮[……]
实现内网安全需要技术与管理相辅相成,但究竟是“管理为先”还是“技术为先”?对此,e-works近期采访了知名业界专家、企业代表、厂商专家,集结三方专家与您一起探讨“内网安全,何马当先”?
常言道“三分技术、七分管理”,但是有人说“四分技术、六分管理”,更有人说“二分技术、八分管理”。无论是技术多一分,还是管理多一分,可以看到大家对管理的偏重。三一重工股份有限公司研究总院信息化经理谭俊峰十分重视管理,他觉得实现内网安全需要“二分技术、八分管理”。在大企业中,技术解决的是局部问题。内部的很多问题在于沟通、体制执行不到位等,而非技术本身的问题。在推广方面,一个技术[……]