当今信息技术水平飞速发展并且早已经渗入到各行各业网络信息安全已经不仅仅只影响网络空间对物理世界的企业生产经营技术等都有很大影响信息技术可以助力企业升级转型迅猛发展同时也带来了新的问题--信息保密问题尤其对于一些科技型公司如果核心技术或者代码被泄露甚至可能使得企业陷入生死存亡之境
下面本文就从公司近期的一次保密信息安全检查来盘点一下企业中常见的信息安全问题探讨一下解决方案
1 公司往往对涉密设备与普通设备涉密人员与普通人员的区分不够准确要么采取一刀切对整个公司或者整个部门都认为其实涉密人员或设备要么是只着眼于眼前对涉密人员和设备的变更不关注
2 技术图纸的管控不到位存在技术图纸随意复制发出去的图纸不及时收回的问题打印的技术文档未及时取走或者没有销毁
3 笔记本管控问题公司配发的笔记本电脑存有涉密文档然后笔记本电脑有交叉互相借用的情况
4 人员离开电脑电脑未及时锁屏
5 系统密码管理问题有的人将电脑与系统密码写在本子上甚至直接贴在电脑上有的人密码过于简单或者长期不更改密码甚至有人会直接问他人要账号密码的
6 打印机打印任务管控不严格很多打印机拥有存储打印任务的功能存在后面的使用者打印前一任务的问题存在
7 系统漏洞严重因为是公司内网很多电脑更新补丁不方便更有甚者因为怕更新补丁引起业务系统不可用而拒绝更新补丁
8 解密审批不严谨解密审批做做样子审批员没有尽到一个审批员的职责
9 服务器安全管理不规范系统管理员为了管理方便随意更改服务器安全补丁或者软件安装来源不明的软件
公司对信息安全建设不可谓不重视为了保密信息安全公司已经采用了统一的域管理安装了加密软件网络准入软件甚至采购了大量的网络安全设备用网闸隔离内外网加装多个防火墙防范网络攻击但是信息安全检查下来还是存在这么多的问题甚至不限于这些问题信息安全建设仍然任重而道远
个人认为信息安全建设不仅仅要从技术上面限制更要从信息安全意识教育和管理规章制度上面来抓
就从上述的问题1来看公司为什么会对涉密人员和设备的划分不清晰原因就是管理层对此不够重视各位业务职能部门没有好好审视自己的涉密数据不愿意花费太多时间来思考自己哪些人是涉密的哪些设备是涉密的保密制度要求登记涉密人员就随便的找几个部门核心人员充数可是事实上是许多所谓的核心人员自己都不一定知道自己是涉密人员或者随意将涉密数据转交给其他人员处理要解决这个问题不是单纯的技术手段可以解决的必须对员工进行保密安全意识的教育并用严格的规章制度限制他
问题234与上面问题一样都是保密意识的问题技术上面在严格的加密程序但是你讲图纸打印出来送给了别人加密又有什么用呢笔记本电脑本是为了配发给人出差使用或者内部登陆英特网查阅资料所用但是你主动的经过审批放在了笔记本电脑上再讲电脑借用给他人这要是有核心涉密数据不全都泄露出去了吗对于问题4虽然我们通过域管理主动的设置了半小时不适用自动锁屏但是半个小时的时间已经够别有用心的人将重要数据全部打印或者传输出去了这真不是技术能彻底代替的
问题5个人觉得确实麻烦虽然我们有密码复杂度策略有要求必须吧半年更改一次但是架不住很多员工刻意钻系统的漏洞让密码符合密码策略但是仍然很简单要么就是部分领导以权利压迫管理员要求对其进行密码复杂度例外他就设置一个空密码想想我们的系统管理员有多少是能威武不能屈的至于把密码记在小本本上估计很多网络系统管理员自己都不能避免因为我们的账号太多了脑容量实在不够啊
问题7估计是内网系统的普遍问题了这里我要问大家一个问题了内外网分离真的安全吗还符合我们现代的信息安全管理要求吗
问题8说起来也是比较无奈解密员往往都是兼职义务劳动还真不能对人家要求太多不帮你解密说不配合工作被投诉帮你解密又承担泄密风险
问题9则完全是系统管理员自己的信息安全意识问题了相信加强安全意识培训可以缓解
