软件公司加紧争夺安全人才缘起企业信息安全薄弱得像一层薄纸

西安是全国软件信息安全重镇,西电,西安交大,西工大等高校每年为全国输送大量公共信息网络和密码技术方面的安全人才。在今年就业形势比较严峻的情况下,软件安全领域的人才却越发走俏。随着近期国内外知名安全公司频频发生“误杀”事件,软件安全受到越来越多公司重视,中高级人才日益匮乏。为此,全国各大软件公司开始加紧争夺安全人才。

软件业信息安全

虽然企业信息安全管理在不少企业已经开花结果了,但是,不幸的是,软件信息安全管理还是很薄弱。我个人的感觉,我们的很多企业,网络安全就好像一层薄纸,轻轻一点就可以捅破。这其中有很大一部分原因,主要是在网络安全体系设计中,有不少网络管理人员犯了一些方向性的错误。

根据有关权威部门的统计,企业网络的安全威胁,真正的来自外部的威胁只占到20%,而80%的网络安全威胁事件来自于企业内部。来自互联网的攻击,无论是木马、黑客还是恶作剧,都是很少,而且,对企业造成的影响也不是很大。但是,来自于企业内部的安全威胁则日益突出。特别是员工随意把企业内部的机密信息泄露、甚至转卖给企业的竞争对手,给企业造成了很多的损失。现在就有很多类似的官司。如前不久就有一家公司的销售经理离职的时候,复制了公司的所有客户信息与产品信息,离职后自己开办了企业,挖走了公司很多的客户。也有公司的技术骨干被企业的竞争对手挖走,随着他们的离职,很多技术资料也被他们带了过去,从而引发了官司。这里虽然也有人员管理上的问题,但是电子文档管理不完善,这也是导致企业损失的一个不可推卸的失误。

企业的服务期中,存储有企业大量的机密信息。如文件服务器存储有很多企业的机密信息,如产品研发、测试资料等的功能;再如ERP服务器中,存有所有的客户资料、订单信息、产品物料清单等等。在实际工作中,我们应该鼓励用户把相关的资料存储在企业服务器中。因为在服务器上,我们可以采取统一的安全策略,如对相关信息进行及时备份、采取统一的访问控制策略、利用服务期访问日志记录访问信息等等。若管理策略定义的好的话,在服务器上文件的安全性比单机上要高的多。故,在安全管理中,我们应该把管理的中心放到这些服务器中,要采用一切必要的措施,让员工把信息存储在文件服务器上。

我们都知道,文件访问的效率与安全往往是背道而驰的。当文件安全性级别高,往往就需要添加很多访问的限制,如需要员工凭用户名与密码才能够访问;或者需要用户通过特定的途径才能够访问;或者对于用户访问文件的地点有限制等等。一般来说,安全级别越高的文件,其访问更加复杂,所以,访问效率也就比较低。故我们网络安全人员在设计安全体系的时候,需要在安全性与访问效率之间取得均衡。而取得这个均衡的最好的一个方法,就是对信息实施“轻重有别”的管理方法。就拿笔者公司为例,企业员工的考勤信息一般都是公开的,所以,对这个信息就没有必要采用很强的访问控制策略,只需要限制未经授权的用户更改这个文件即可。而公司工资信息则是保密的,一般只有员工本人与少数的几个人员才能够获悉,所以,对于工资明细这个文件就需要采用比较严格的访问控制策略,对于访问的人员、访问的途径等等都需要进行严格的控制。如此的话,才可以实现企业的要求。故,对企业的信息进行如此分级管理的话,我们就可以把更多的精力放在一些机密性程度比较高的信息上面;同时,对于一些机密程度不高的文件,就可以提高其的访问效率。而不是不管三七二十一,一帮子打死。

企业这么大多一个信息网络,存在这么多的安全威胁,而且要往往不会配备很多的网络安全人员,一般就一名到两名。很多企业还没有独立的软件信息安全管理人员,都是网络管理员在兼职。所以,在这种背景下,若还要去争取“面面俱到”的话,则最后的结果必然是功亏一篑,捡了芝麻,丢了西瓜。故笔者在这里强烈建议,我们在设计企业软件信息安全管理体系的时候,需要轻重有别。大家在考虑问题的时候,可以参考我上面的意见。虽然有些地方可能不是百分之百的准确,可能还有一些没有考虑到的点,但是,我相信,这些方法对于大家从整体上提高网络与信息的安全性,是具有非常好的作用。

陕西弈聪软件信息技术股份有限公司
电话:13679229477    02989322522
陕西省西安航天基地神州四路科为城墅20栋4301