现年46岁的澳籍华人胡士泰恐怕不会想到,他会被中国国家安全机关拘捕。与胡士泰一起被拘捕的,还有他的三位同事。
7月9日,外交部新闻发言人秦刚证实,因为涉嫌为境外刺探和窃取中国国家秘密,澳大利亚力拓公司驻上海办事处的首席代表胡士泰等已于7月5日晚被中国国家安全机关依法刑事拘留。
此时,中国与包括力拓在内的国际“三巨头”的铁矿石谈判陷入了僵局。有媒体透露,有关人员将钢铁企业的生产安排、炼钢配比、采购计划、毛利率、库存量等企业内部资料,甚至铁矿石谈判的对策和底线等极为关键的信息透露给铁矿石供应商。
很显然,这是继“可口可乐泄密案”、“凯恩纸业泄密案”、“韩浦项钢铁集团泄密案”、“长虹技术泄密案”的又一起严重的内部人员泄密事件。这些不同性质泄密事件的发生,共同暴露出了企业内部监管手段的薄弱以及安全管理体系的缺乏。
在当今竞争日趋激烈的商业社会,到处存在着陷阱和诱惑。为了达到目的,一些企业或个人会不择手段来谋取自身利益的最大化。而且,相对于过去令人谈而色变的黑客,内部人员泄密给企业带来的危害将更为直接、更为严重。
内部泄密,更为致命的信息安全风险
随着各种边界安全防护手段的提升,黑客们越来越难突破企业的外围安全防护。但这并没有让企业管理者们轻松下来,因为相比于黑客而言,内部泄密者拥有了得天独厚的优势:他们既不需要像黑客那样在企业内部网络中盲目地寻找有价值的数据信息,也不需要在所有的计算机终端中找来找去,因为他们清楚哪些数据信息是关系企业生存与发展的命脉,并且知道这些数据的确切存储位置。更为重要的是,黑客在进入企业内部网络之前,需要千辛万苦的突破重重防护,并且要做到不留任何痕迹。然而内部泄密者却完全不需要考虑这些,因为大多数企业内部基本上没有任何信息安全防范手段。泄密者们只需要知道他们想要什么,然后直接去存储这些数据的地方去取就可以了。
在泄密者这种轻松得手的过程背后,给企业带来的却是严重的经济和竞争能力损失。据2008年的最新调查结果显示,由于内部人员泄密,每年使美国商业损失超过2500亿美元。在中国,这种泄密事件也在不断发生。我们可以经常看到各种企业之间就知识产权等问题进行司法纷争。大量企业在机密技术资料泄密后,很快便由于竞争对手的低价、同质产品的打压而面临破产。而且如果这些安全事件发生在与国家战略相关的机构和部门中,还将极有可能造成难以弥补的损失,甚至影响到国家的战略安全体系。此次的力拓案就颇具代表性,它不仅损害了我国整个钢铁行业的经济利益,而且还威胁到了整个国度的经济安全。
传统网络安全防护手段不足以应对当前泄密威胁
FBI和CSI曾对发生过机密信息泄露事件的企业进行调查。调查显示,97%的公司使用了防火墙;72%的公司使用了入侵探测系统;70%的公司使用了基于服务器的访问控制;68%的公司在数据传输过程中应用了加密技术。
由此我们可以看出,上述技术没有一种能够从根本上解决电子文档的安全问题。防火墙,网络代理服务器,内容监控和过滤等网络控制手段,在一定程度上限制了网络的访问。但是,对于电子文档本身,这些网络控制手段几乎没有提供任何细分化的权限访问控制。PKI等加密技术,能够确保只有授权用户可以打开被加密的文件。但是当文件被打开之后,企业便失去了对文件的控制。因为使用者可以对文件进行任意的操作,为企业内部的泄密者创造了机会。
ERM权限管理体系,防泄密建设的利器
当前的企业竞争已经进入到了一个信息化竞争的新阶段,核心数字资产成为企业生存和发展的关键。企业人员的工作内容也已经更多地体现为对于数据信息的应用和管理。企业为了确保自身核心数字资产的安全性,制定了大量的安全管理制度。这些制度的建立目的就是去通过管理人员而间接的去管理数据。但是这些制度的执行力度却又是企业所面临的新的问题。在大多数情况下,企业往往将制度的执行寄托在员工个人的主观意识基础之上,但是对于具有易拷贝、易传输、易修改的数字资产来讲,显然这是远远不够的。当员工面对于更大的诱惑时,他们在突破自己的职业道德和意识防线之后,将可以很容易的将企业核心数据信息泄露到企业之外,给企业利益带来深远的影响。
目前,为了确保机密数据信息的安全性,越来越多的公司开始应用基于加密技术的数据权限管理技术,以防止核心数据信息的外泄和窃取。对于这种技术,Gartner将它称为企业权限管理技术,即Enterprise Right Management(ERM)。ERM主要应用于企业内部网络中的各种格式的电子文档,有效控制电子文档内容的具体使用权限,是目前世界范围内最为领先的数据安全管理体系之一。例如,通过ERM,企业可以做到让指定的被授权的用户,在指定的时间和指定的计算机平台上,根据公司设定的操作权限来应用受保护的电子文档,并且整个应用过程会被ERM系统详细的记录下来。其中,对于文档的操作权限主要包括只读、编辑、打印、共享,以及打印等等。
与当前的其他主流安全技术相比,ERM最大的优势就是对于数据信息本身的安全保护,并且将人员在组织结构中的权利和地位与数据资源的应用权限结合起来。通过这一革命性的管理手段和理念,企业信息安全管理的方向由被动的“管理人员”转变为主动的、直接的“管理数据”,使企业的执行力度全面深入到数据层面。并且通过企业对于数据信息本身的直接控制,转变了企业对于人员的被动式的管理方式,使企业在管理中实现了主导的地位,确保员工可以全面按照企业的需要去应用数据信息,大大降低了内部人员利用工作之便外泄机密数据信息的可能性。
