据图陵信息安全专家了解,棱镜门持续发酵,进入8月份,爱德华·斯诺登取得难民身份,获准在俄罗斯临时避难1年,而俄方给出的避难许可条件是:他今后不得做损害美国利益的事,不得破坏俄美关系。看起来此次门事件快要淡出人们视线,然而律师库切列纳的一番话,意味着后面将不可避免地上演续集,“他先前说……把部分材料交给了记者。因而,他当然无法收回那些材料。......今后是否公开那些材料与他向俄方所作承诺无关。”
棱镜门不是闹剧,作为美国之外的他国政府、他国人民、甚至美国人民,谁不有着切身痛恨?明知国家机密被窥视、个人隐私被侵犯,却无法离开导致这些发生的电子设备、信息技术和IT系统。现在,国家用国家的手段来抵御,人民用人民的舆论来抗争,而面临商场犹如战场、信息安全关乎存亡的企业,又能做些什么?
图陵信息安全专家认为,进入信息时代,一个现代化的企业运营,是无法脱离信息技术和商用IT系统的支撑的。而商用IT最核心的芯片、CPU、操作系统、数据库系统和Internet互联网,绝大部分掌握在美国企业和美国政府手里,在一个较长时期内无法撼动。但是,这不代表企业就无所作为,因为除了那些核心之外,企业中还广泛存在着LAN局域网络,OA、BPM、CRM、ERP等应用系统,以及管理IT系统的人。我们列出如下一些保障信息安全的方法手段,而无论大中小型企业,结合本企业实际情况,都可以立刻参照实施。
(1)优先采购和使用国产路由器,来组建企业局域网络。
现在的企业级路由器技术和产品都很成熟,作为企业使用常规的功能模块即可,不要贪图什么高端或特殊功能模块。像国内的华为技术、中兴通讯、迅捷网络等厂商都有多年耕耘,甚至进入到核心的芯片设计领域,价格上相比美国思科CISCO还有优势。而美国政府一直阻挠华为技术、中兴通讯进入美国市场,从侧面也可印证国产设备的强大竞争力。在企业信息安全方面,斯诺登揭露美国国安局通过思科路由器监控中国网络和电脑;早前也有传闻,每一台思科路由器出厂前,都会经过美国国安局的“检测”。所以从现在开始,可以优先采购和使用国产路由器,有效避免企业内部信息被泄露和被监控。
(2)优先采购和使用 具有核心技术的国产办公软件。
企业广泛使用的Office办公软件,其生产商微软公司同样被斯诺登爆料:与美国政府合作,帮助国安局获取互联网加密文件数据。另外,微软公司在中国启动了最严厉的反盗版措施,包括电脑定时自动黑屏、起诉盗版软件生产者、直接收集证据起诉盗版使用者。我们建议,一方面,企业采购服务器或PC时,要求供应商预装正版操作系统;另一方面,避免采购和使用Office办公软件,而选择具有核心技术的国产办公软件,譬如WPS Office,在功能体验上毫不逊色,完全兼容处理Office文档,而售价还不到Office的1/10。
(3)优先采购和使用 具有核心技术的国产应用系统。
现代企业的高效运营,离不开OA、BPM、CRM、ERP等企业应用系统的支持。在这些领域,国内的技术和产品都较成熟,服务也快速有效。针对中国国情的特殊性,国产应用系统的适应性还更强,反而国外产品水土不服。当然,我们应该选择那些具有核心技术的国内产品(而不是基于国外产品或者开源软件,在外面套层壳或者做个汉化),这样才能保证系统可靠性、扩展性和信息安全。另外在选择对比时应该抓住重点:用产品说话,而不是思想、概念、术语或奖项。
(4)慎重选择 基于开源或者脚本语言的应用系统。
开源软件的源码是公开的,可以被公众使用,但是开源并不意味着免费。基于开源软件的应用系统,对于开发者来说省时省力,对于使用者来说则暗藏风险:侵犯第三方权益、留有后门或内嵌广告、系统漏洞显著易被攻入等等。基于PHP、ASP、JSP等脚本语言开发的应用系统,也存在完全类似的风险。连自身源码都无法保护,又怎能保护企业信息安全?不要去担心美国政府了,一般黑客或者同行就能下手。能够完整保护自身源码的,还属C++、Pascal等编译语言,国内一些掌握核心技术的厂商正在使用它们,从而大大提升了系统安全性,还有系统性能。
(5)慎重选择 基于云计算或者在线租用的应用系统。
云计算的技术正在发展中,本身定义较为复杂。可以简要理解为:利用互联网来操作和使用应用系统,业务数据存储在供应商的“云端”。在线租用的应用系统,与此类似。目前客观看来,互联网连接、供应商“云端”、还有供应商自身,都不算非常安全可靠。企业要把重要的业务数据存储“云端”,需要慎之又慎。值得注意的是,还有“私有云”这样的概念号称信息安全,实际上供应商自己也说不清楚。
(6)明确界定IT系统权限,通过流程审批后再授权。
好的企业IT应用系统,提供非常细致的权限划分,譬如:访问级权限——哪些人能看到什么?操作级权限——哪些人能修改什么?流程级权限——哪些人能授权别人做什么?建议企业明确界定权限,在IT系统初始化时批量配置好。后续系统运行时,申请权限的人都提交一个审批流程,在上级领导审批通过后,再由管理员配置和授权。实践证明,这种方式能够分级保护企业的信息安全,避免有意或无意的泄露。
(7)选择可信的系统管理员,定期进行操作审计。
几乎所有的企业IT系统,都需要一个系统管理员来进行维护、管理或配置,企业应该选择一个可信的人来承担。有可能的话,和系统管理员再签署一份信息保密协议。对于系统管理员的所有操作,好的企业应用系统都留有日志,高级领导可以定期进行审计。通过这些方式方法,企业能够有效地警示和预防可能的信息泄露,为信息安全再加一把锁。