强化信息安全自检倡导廉洁自律防控监守自盗

information-security-incidents-from-insider
信息科技IT以及企业安全部门有时喜欢给自己“开小灶”,实际上,也的确有特别的业务需求,比如在互联网的访问控制上,为研究恶意网站或犯罪份子而给自己打开不受过滤限制的特权。

拥有特权总是能给人们一种“快感”,而在自己拥有特权的同时又能不沉迷和滥用“权力”,需要我们廉洁自律,在安全控管领域,无疑还需加上一条防控监守自盗。

对于信息化管理相对较弱的行业来讲,信息系统管理员拥有虚拟世界中的绝对权力,其挂靠的主管经理可能不懂IT,于是规范信息安全管理看起来是在革自己的命,其实无组织无纪律自由涣散的IT特权滥用才真正的革自己的命。昆明亭长朗然科技有限公司信息安全事件观察员James Dong说:我们看到太多掌握技术和特权的IT和安全从业人员沦为阶下囚的案例,比如某某系统管理员在离职后入侵原东家,或在系统中留下逻辑炸弹造成巨额损失,某某网络安全管理员变身地下黑客等等。他们不仅辜负了主管经理对他们的信任,更是牺牲未来拿自己的青春下赌注。

问题的根源何在呢?是这些家伙们职业道德素质低下?虽然我希望您不要简单下结论,但我想问一问是什么原因造成这种“职业道德素质低下”现状的?不自觉么?监管的缺乏么?搞信息安全的,往往就担负着监管的角色,对监管的含义理解难道还不够么?他们在执行信息安全策略的时候,希望员工们能够自觉遵守,难道自己不能够廉洁自律吗?

监守自盗说起来是安全行业之耻,可是“世上本无事,庸人自扰之”,由安全从业人员搞出来的安全事故并不少见,而且往往比较隐秘且难以调查。在南方制造业发迹的初期,保安人员与仓管人员里应外和窃取工厂物品的案子层出不穷,让国外老板们觉得不可理解,也让国民的形象大打折扣。

其实,这和那代中国人淡漠的资产观念有关,打土豪、分田地、共产主义大锅饭等等,让掠夺和均分成为潜意识中的常态,从帝国主义资本家那里拿点东西没什么罪恶感,这才是问题的关键。

改革开放经历了几十年,人们的财产观念有了转变,不管黑客白客,赚到钱就是红客。可是人们只看表面财富,不在意财富来源,也是个新的错误观念,尤其当勤恳努力工作的人们所获得的报酬远不及投机投资所带来的收益,人们会想到使用歪招赚钱,“投机倒把”偷蒙拐骗之类的江湖招数就出来了。防范这些江湖招数的信息科技和安全控管力量,实际上也是这个大的生态环境的一部分,就如同人们常说的“警匪一家亲”,安全监管人员摇身一变,或来个双重身份,滥用特权来监守自盗会造成的损失和危害自然更大。

我们了解了这些安全事故的社会、历史、文化和思想根源,便会想该如何有效防范。亭长朗然公司的James表示:大环境的改善还是需要国家高层的指导,不过,在一个小范围内,做到“出淤泥而不染,濯清涟而不妖”并不太难,尤其是在IT及安全人员自身,我们仍然能够有所重要行动、有所避免、有所成就。这便是我们建议的“强化信息安全自检”措施,因为只有我们认识到问题的严重性,以及擅自利用特权可能造成的恶果,我们才会有正确的思想和规范的行为。

亭长朗然公司开发制作信息科技安全管理意识教案,为那些愿意提升安全思想认识水平和改进廉洁自律行为的IT及安全从业人员们抢建自我救助的思维“安全防火墙”以及行为“安全红线”。而对于一个小范围的组织机构,则应该在加强信息科技人员以及安全保卫人员的道德自律教育之外,还需明白大部分的信息安全事件都源自于“内部”,所以强化全体员工遵循日常安全操作流程和行为规范,以促使员工们勤勉履职、合规操作,避免由信息安全事件造成的损失。这一切的开端,便是我们今天在最后要愿意同您分享的信息科技安全知识教育课程样本,请联系我们吧。

航空航天行业信息安全漫谈

airline-info-sec
关心军事及航空的朋友们应该知道,我国的航空发动机的研制仍然落后于世界领先国家,这明显和世界制造业强国大国的地位不匹配。特别在制造业产业升级、国家大力投入高端装备制造业的今天,航空事业的骨干人才们雄心勃勃、日夜奋战,就为了能早日攻下高端科研难关。

试问,我国费尽几代人心血研制出来的科技创新成果,能轻易拱手交给窃贼么?当然不能,然而世界高科技领域的竞争异常激烈,稍稍不慎,咱的科技成果便会轻易落入敌手。日本间谍轻易获得中国景泰蓝制造秘方、超越中国并称霸世界景泰蓝的故事成为保护商业信息安全的典型教材。说到底,在航空航天等高科技制造领域,我们要取得并保持领先的优势,信息安全必不可少。

而在民航领域,航空安全关乎着乘客生命财产安全、社会经济稳定以及国家安全,并且由于航空业的信息化程度越来越高,航空安全与信息安全的关系也越来越紧密。保护好航空信息系统和信息数据的安全,防止由于偶然的或者恶意的原因而遭到破坏、更改、泄露等等造成信息服务的中断和影响业务的持续运作,成为航空业者的信息安全经营方针政策。

无独有偶,继为一家航空航天业的大型央企提供定制化的信息安全意识服务解决方案以及安全教育培训视频产品之后,昆明亭长朗然科技有限公司再次为一家大型航空公司定制信息安全意识动画课件。对行业信息安全问题及需求的深刻理解、对学员关于信息安全的认知和理解能力的深入研究,对将互动式场景式案例应用于实际教学中的深度实践,这“三深”融合形成亭长朗然科技有限公司的信息安全意识产品及服务的特色。

再让我们谈回航空航天行业的信息安全,早前已经有德国安全研究人员Hugo Teso演示了其通过安卓手机破解航空飞行管理系统、劫持并遥控一架飞机的新闻。航空飞行复杂度很高,飞行信息系统也越来越多,只要有一个环节出现安全漏洞,便可能被恶意攻击者发掘和利用。即使这些飞行系统是终端是专用系统,并且和办公应用系统物理隔离的,也难免像伊朗核设施一样面临工控系统被感染的灾难。

其实,除了航空航天行业本身的特色之外,信息安全管理方面更多的是通用的安全问题,因为航空行业是国家基础行业之一,当然在信息安全管理领域也是被监管的重点,等级保护、上网审计、互联网安全、软件正版化、国际标准ISO等等课题都会要求在信息安全方面有足够的重视和投入。

要有效解决航空航天行业面临的巨大信息安全问题,显然不是部署某种单一的信息系统安全控管产品可以完成的,显然,我们需要全面的解决方案。特别是信息数据和应用终端疏散地分布于各个地方,由众多人员进行后台管理和操作使用的领域,我们更需要加强多个层面人员的信息安全意识培训教育工作。

让航空航天行业的从业人员具备一种信息安全方面的职业敏感度,是解决疏散型分布式信息安全问题的一剂良药。因为商业间谍、敌对份子甚至无聊的脚本骇客利用或针对的目标不仅仅是航空业者的信息系统和安全系统,而是所有员工,所以,向全体员工提供全面综合的信息安全意识教育培训,让员工们了解必要的信息安全知识技能,并且拥有足够的信息安全敏感度,是解决航空高端装备信息数据安全和航空飞行信息安全的正确选择。

想一想,当高端制造业的航空材料专家们、供应链管理专家们、国际采购达人们、飞行调度人员以及空乘人员都拥有了基本的信息安全理念和安全敏感度,商业间谍何处藏身?一点航空信息系统的异常不就立即报告和获得及时的安全应急响应了么?

为保障客户信息安全,我们这里并不分享具体的客户名称以及项目详细信息。如果有兴趣了解更多,请联系我们私下交谈。