新闻中心

Network Box 公告

2009年8月15日-力拓案对企业信息安全治理的启示

中国指控力拓(Rio Tinto)对中国钢铁业从事了6年间谍活动,导致为购买铁矿石多花了7000亿元人民币,力拓中国区销售兼营销主管胡士泰(Stern Hu)及这家英澳矿商在中国的其他3名销售员工,自7月4日起被拘留。

国家保密局表示:“从力拓电脑中起获的我国钢铁行业大量情报数据及其对国家经济安全和利益造成的巨大损害事实明摆着——这些涉案的经济间谍6年来拉拢收买、刺探情报、各个击破、巧取豪夺,迫使中国钢企在近乎讹诈的进口铁矿石价格上多付出7000多亿元人民币的沉重代价。”

国家保密局也表示,力拓案仅仅是冰山一角,中国应该像西方一样,将商业间谍活动当作对国家安全的威胁,予以严肃对待。“我国已进入商贸谍战的高发期。”

另外近期,全国人大对《保守国家秘密法》的修订引起了社会的广泛关注,其实,不仅此时,今年4月起,国家保密局推动的一场20年来罕见的保密检查,系统内称之为“保密风暴”,已经在社会上引起了不小的震动,多人在这次风暴中受到处理。

这突显出国家对经济安全的重视,对涉及经济及社会发展“机密”信息的保护即将加强,有关国家秘密的立法亟待改革,相关法律将要得到明确、准确的界定,政府和企业之间将被明确分配保守秘密的责任。

由此我们得到的启示是企业亟需加强信息安全的治理力度,遵循法律法规及业界最佳安全实践标准提升互联网安全管理水准迫在眉睫。

Network Box信息安全专家认为“企业的运作越来越依赖架构于互联网基础之上的信息系统,市场竞争及产业供应链的变化使得承载信息系统的网络连接变得比以往任何时候都要复杂,同时业务数据的机密性要求、对法律法规如保密法等的遵循要求也日渐提高。IT管理层需要加强信息分级与保护、访问控制、物理安全及人员安全等安全控管措施以保障业务的持续运营。”

传统的互联网安全措施如防火墙、防病毒、入侵检测系统等对防止敏感数据丢失有一定的积极作用,但是随着互联网应用的不断演变和强化,传统的这些控管措施明显不够充分。举例来讲,敏感的数据仍然可能会被商业间谍或内部员工通过点对点P2P应用、即时通讯IM及WEB页面上传等方式而外泄。

企业需要全面的互联网信息安全解决方案,而在目前较全面的解决方案非UTM莫属。IDC对统一威胁管理(UTM)安全设备的定义的是: 由硬件、软件和网络技术组成的具有专门用途的设备,它主要提供一项或多项安全功能,它将多种安全特性集成于一个硬设备里, 构成一个标准的统一管理平台。简单来说,它就好比是办公设备中的多功能一体机,设备集合了多个功能于一身,从而达到保护全面及管理简易的优点。其中功能包含有防火墙、防病毒、IDP、反垃圾邮件、VPN、内容过滤等等,一大堆的安全应用功能。

Network Box中国区总经理Anthony Or说“UTM系统的好处除了能提供全面的网关安全保护,从互联网出口防止“机密”信息外泄之外,相比分开购置各个独立系统来讲可以大大节省采购成本。同时要了解到,UTM只是一个集成了很多很好的技术的产品,要真正发挥其保护业务信息安全的作用,需要和业务的需求及日常的管理运维结合起来。做为网络安全托管(外包)服务提供商,Network Box可以帮企业减少网络安全运维方面的日常开支,并且相比起企业自身管理,Network Box的专业服务团队提供的保护服务会更有效率和效力。作为一项管理服务,Network Box将精心监管企业的互联网安全,而企业方则可以将工作重点放在其核心业务相关的信息安全治理上,比如在防止敏感数据外泄方面专注于内部的信息分级及控制、人员安全等。”