中国企业信息安全问题何时才能真正重视起来?

losingb

      中国企业信息安全问题何时才能真正重视起来?国家、政府、企业、员工个人是一条链，相互依赖的。

    2010年11月30日普华永道发布的本年度全球信息安全调查报告显示，中国企业信息安全事故发生率远远高于世界平均水平。网络事故、数据事故及系统事故是三大中国企业常见的信息安全事故，发生率分别为51%、45%、和40%。而相同事故在全球范围内的发生率则为25%、27%与23%。也就是说，中国企业发生信息安全事故的概率是世界平均水平的2倍左右。而这个数据与2009年相比仍呈现一定程度的上升趋势。

    给中国的企业造成的影响是非常严重的,无论是政府、国防、军队、军工、大型央企系统、银行、保险等金融业务系统，BOSS、CRM、计费等电信系统，还是医疗His、财务管理、合同管理等敏感数据核心系统，各种泄密事件屡屡皆是。
    事实上，无论犯罪分子如何狡猾或“高明”但如果没有关键信息的话，他们也是不可能给社会造成如此严重的危害的。如果有人问：“电信业中的核心信息有哪些？”对电信业务稍有了解的都能答道：“是客户信息、交费信息、人事系统中的信息。但如果有人问：“这些信息是以什么方式、什么时候、谁、和在哪些过程中产生的？”你能迅速的回答出来吗？如果不能准确的回答这些问题，说明您的企业不能确保信息安全，因为你的信息安全的防范意识还不够。如果不信的话，我可以问下面几个问题，你都做到了吗？

1、你清楚特权用户对数据库进行过何种操作吗？
2、你能有效防止特权用户对数据库的非授权访问吗？
3、你在讲真实数据交与开发人员或第三方人员时，有防范措施吗？
4、你是不是对非特权用户访问敏感数据也毫无措施呢？
5、你能及时采取防范SQL注入的攻击吗？

   如果你的防范意识足够强的话，我所问的这些都应该做到了，或者至少有一定的防范措施了。企业核心信息的80%是以结构化信息，即数据形式存在的。数据作为企业核心资产，一旦发生非法访问、数据篡改、数据盗取，将给企业在信誉和经济上带来巨大损失。发生如此严重事件的原因是企业对信息安全的举措尚未得到全面落实，但非个例。我们需要创建一个综合的数据安全策略。先写到这里吧，饿了，该去吃饭了，下次我们在分析该如何实行一个安全有效的安全策略。。。