科技日报 国际要闻 (转载)
2006年10月14日(北京时间)
国际视点:旅加华人IT专家谈公司的信息安全
本报驻加拿大记者 杜华斌
人们议论信息安全这个话题已有若干年了,但最近机场信息系统出现问题,导致航班延误,又引发了记者对信息安全的兴趣。
为此,记者近日采访了北美在线(NAOL.CA)总裁、加华IT协会(CITPAC.CA)会长叶军先生和罗杰斯通讯公司计算机高级专家黄岚女士,请他们就信息安全对公司的重要性发表各自的看法。叶先生曾经回国在北京中关村数据有限公司任副总裁兼CTO(香港电讯盈科代表)及北京首信股份有限公司任主管信息中心和国际业务部的副总裁,还是首批获得中国外国人永久居留证的加拿大公民之一。黄女士在北美著名的通讯公司工作多年,长期从事计算机系统安全工作。
信息安全的核心是数据安全
两位专家介绍,信息安全不是一般人认为的仅仅是网络安全。它至少包括三方面:首先是物理安全,即硬件和场所必须是安全的;第二是数据安全,这是信息安全的关键,要保证数据不会丢失,包括数据的备份和灾难恢复,保证数据的一致性和完整性;第三才是网络上的安全。
在数据安全上,除对数据加密外,还要对数据进行适当的分类。数据分类的依据是根据数据对企业的破坏力,如公司的核心技术就需要按绝密对待,即将要公布的公司财务数据就按可公开数据对待,不同类别的数据使用不同的手段保护,高密级数据要打标签。数据还要根据敏感度建模,各个级别的员工有各级不同的数据授权。
信息安全的另一个重要手段就是审计,一种是事后审计,即发生问题后进行审计,发现问题所在;另一种是实时审计,使用入侵探测系统,探测到非法入侵后,立即采取措施进行阻断。
管理与技术同等重要
专家表示,信息安全不只是单单依赖技术,还涉及良好的管理以及员工安全意识培训,是一种综合的鸡尾酒的方式,这样才能保证公司的信息安全。传统上讲的安全,就是将你的工厂用围墙保护起来,你只需要保证围墙内部的安全就行了。但是在网络时代,财产是没有界线的。现在不仅是要对你自己的信息安全负责,还要对客户和合作伙伴的信息安全负责。如果信息经过你的管辖范围,你就有责任负责它的安全。
每个公司都要有一个自己制定的信息安全政策,还要有它自己的行业标准。比如金融保险行业,对顾客的私人信息保护就专门有法律规范。对于各种密级的信息所使用的工具和方法也各不相同。现在信息技术安全的法律在不断健全,非常严格,如果信息在你所管辖的范围内出现问题,公司的CSO和CTO将面临高额的罚款。
安全在企业里被认为是其生命线,如果企业安全遭到破坏,将使企业面临困境。为此现在许多IT企业都设有首席安全官(CSO),进入了公司高级管理层。还有许多企业设立了首席信息官(CIO),也进入了公司的决策层,比如最近约克大学就设立该职位,是校长的副手。专家建议,如果你的公司主要从事IT业务,如互联网企业,网络中心,电子商务公司,信息安全对公司就非常重要,最好设立CSO职位。
专家指出,堡垒最容易从内部攻破,60%至80%的信息安全事故都是因内部人员造成的。特别是因薪水、提级等问题对公司不满或被开除的员工,有时会铤而走险。因此北美公司在开除员工时,往往是突然袭击,当场宣布后立即收回进入计算机系统的工具,马上在保安和经理的陪同下收拾个人物品离开工作现场。
专家还指出,信息安全的系统与使用的便利是一对矛盾。不能因为安全工作特别完善,但导致业务工作效率下降,阻碍了公司业务的开展。如何做到安全与使用便利的平衡也是信息安全工作要解决的问题。
叶军先生还专门向记者介绍了他目前经营管理的北美在线网站。他说,北美在线是北美华人的网上家园,也是联系中国和北美的桥梁。北美在线以促进华人社区及合作伙伴事业的繁荣进步为荣。作为21世纪的新型媒体、信息咨询和网络服务商,北美在线以传播华人心声,弘扬中国文化为己任。除了新闻、论坛、博客、工商黄页、社团机构名录和信息交流之外,北美在线还提供域名注册、网页寄存和网站开发、科技及商务咨询等服务,并会在今后陆续推出更多服务。