做好信息安全需要内外兼修

　　ZDNET至顶网安全频道  专访：（溢信科技产品总监黄凯）目前CSDN、天涯密码泄密等网站泄密事件弄得沸沸扬扬，从这些泄密事件可以看出，越来越多的人，包括内部的人员以及外部人士都意识到了各大企业内部资料如客户信息以及企业自身的智力资产等的价值所在，如果获取了信息是可以直接与利益挂钩的。

　　但如果发生泄密，对企业而言，不仅会造成经济上的损失，而且还会造成负面的社会影响，如这次的CSDN、天涯密码泄密事件，使得社会公众对这些网站的信任度大打折扣。同时，企业自身的研发信息等智力资产的泄露，不仅使得企业市场竞争力受损，也不利于企业知识产权保护，不利于国家提倡的产业升级转型。

　　纵观这两次泄密事件，发生的根本原因在于企业的意识不够强，信息安全保护不到位所致。据券商TMT研究部门的调研数据，目前，中国互联网公司的信息安全支出，在整体IT支出中的比例不到1%。

　　而这次事件受害用户维权困难也反映了目前法律在个人信息安全保护这一方面的缺失，唯有通过法律的明确规定，企业清楚意识到其义务所在，才能更有力保障个人信息。做好信息安全，需要企业、个人、法律三方共同促进。

　　防范的建议：

　　要最大限度避免此类泄密事件的发生，企业要清楚泄密事件对企业所造成的影响，形成强烈的保护意识，并投入相应的人力物力进行安全防护。做安全有如买保险，不发生事情，你就不好觉得这个东西管用，但一旦发生了事情，就后悔莫及了。做好信息安全，需要内外兼修。

　　1. 注重外部防护，防止来自于黑客、木马等外部攻击;

　　2. 对内部的安全管理也不可忽视。防止内部信息泄露，需要构建全面的防护体系，并辅以规范的管理。

　　从技术方面而言，防止内部信息泄露，首先要全面审视内部的安全问题，比如掌握清楚机密信息的存放位置，安全威胁点所在，然后根据内部所存在的安全问题，并结合每个部门的具体情况进行相应的管理，形成力度轻重不一的部署。对于最高保密级别的信息，进行加密防护，为得信息多加一重保障。除此之外，还需要建立严格的审计机制，定期对内部行为进行审计，对内部人员行为尤其是有高权限的IT管理人员的行为进行定期审计，随时发现异常情况以及新的安全威胁，避免疏漏，实现全面、动态性的防护。

　　管理方面：除了采取技术手段进行防护外，内部的管理也是不可缺少的。建立规范的制度，如签署保密协议、对机密信息的获取权限、流程等都进行严格管理。