安全专家：从六面“镜子”看企业信息安全

    背负着“世界末日”包袱的2012，终于过去。在这一年，世界风起云涌，变化多端。从政治到经济，从社会到娱乐都发生过种种大事件，反观信息安全领域，同样也是状况不断，热闹非凡。而泄密事件更是从1月一直到年末，就始终没有消停过。纵观这一年的企事业单位信息泄密事件，是否它们都是栽在同一棵树上呢？安全专家根据2012发生的信息安全事件，将中招的企事业单位划分出六大类。希望这六种类型能像六面“镜子”，给人以警示、提醒自己别步人后尘。
 
    一、 缺乏安全概念型

    这种类型很危险，如果其手中掌握着大量的用户信息，但在信息安全方面几乎没有意识，他们对信息只是使用却不会去保护，。比如2012年某市卫生局将数十万信息婴儿信息轻易地交到了外包人员的手中，结果遭非法泄露。

    二、 为利舍安全型

    而这种类型的一般知道可能存在信息泄露风险，但是他们因为考虑到各种利益原因却没有加强信息安全保护。如5月份，某知名电商90万用户信息被500元叫卖。之后更曝光多家网站和论坛累计超过800万用户信息泄密，更让人堪忧的是，部分网站的密码和用户名称是以未加密的方式储存在纯文字档案内，意味着所有人都可使用这些信息。

    三、 无可奈何型

    这类明知道存在信息泄露风险，或者已经出现信息泄露的现象，他们想控制也控制不了。比如快递信息泄露，因其加盟模式难于管理，总公司即使想整顿信息安全也鞭长莫及，2012年11月，“三通一达”等多家快递公司客户信息遭贩卖。快递单号的信息被大面积泄露，甚至衍生出多个专门交易快递单号信息的网站。

    四、 防护不力型

    此类型手握着大量的用户信息，也知道这些信息的价值，并且采取一些信息保护的措施，但由于管控不严，仍然存在很多可泄密的漏洞。比如银行拥有大量的个人征信报告，并有专门的人管理这些信息，但内部出现个别腐虫，将信息泄露出去。2012年3央视3.15晚会曝光的几家银行员工以一份十元到几十元的价格大肆兜售个人征信报告、银行卡信息，导致部分用户银行卡账号被盗，就是如此。

    五、 防不胜防型

    这种类型往往深知信息安全的重要性，并部署了严密的信息安全防护措施，但是结果遭自已人窝里反，或者遭竞争对手挖墙角，过程扑朔迷离，防不胜防。比如之前曝光的三星OLED技术泄露，东软集团商业秘密外泄等等。此次东软商业秘密外泄就造成公司损失高达4000余万元人民币。

    六、 “外族”入侵型

    这种类型主要包括因为各种原因遭遇了病毒、木马、黑客入侵等外部攻击，导致数据库被控制、窃取、拖库等。如2012年1月，亚马逊旗下美国电子商务网站Zappos遭到黑客网络攻击，2400万用户的电子邮件和密码等信息被窃取。溢信科技表示，任何事情都是有迹可寻的，需及时扫除风险点，不让黑客有可趁之机。
 
    在未来更加严峻的2013信息安全形势下，企业信息安全的尴尬或许会远远不止不这六种类型。无论是哪种类型，总是反映出了目前国内企业信息安全令人担忧的现状，企业的信息安全意识与措施急待加强。