• 关于我们 联系我们
当前位置:安全行业动态 → 正文

斯诺登再爆“极光黄金”计划,新OA为企业信息安全支招

责任编辑:editor004 |来源:企业网D1Net  2014-12-13 20:27:39 本文摘自:互联网

近日,美国“截击”网站根据斯诺登提供的文件,披露美国国家安全局从2010年就开始实施一个代号为“极光黄金”的秘密监视计划。通过秘密监视全球手机运营商,以发现手机网络中的安全漏洞,利用这些漏洞对手机通信进行窃听。被国安局监视的目标包括世界各地绝大多数手机运营商,其运营的手机网络覆盖几乎每一个国家。这些运营商不仅来自与美国敌对的国家,还来自美国的盟友。利比亚、中国和伊朗的一些运营商也在被监视之列。

“斯诺登”仍然在不断发酵,不时抛出炸弹,但这也从侧面提醒了我们信息安全的重要性。也许以前我们还未对信息安全提起重视和保护的意识,但到了互联网飞速发展和渗透生活的今天,如果我们还没有意识好好保护自己,保护企业,那么就犹如裸奔而不自知,是多么可怕的一件事!那么让我们再次强调一下,信息安全对企业有什么意义呢?

首先我们明白,进入信息时代,一个现代化的企业运营,是无法脱离信息技术和商用IT系统的支撑的。而商用IT最核心的芯片、CPU、操作系统、数据库系统和Internet互联网,绝大部分掌握在美国企业和美国政府手里,在一个较长时期内无法撼动。但是,这不代表企业就无所作为,因为除了那些核心之外,企业中还广泛存在着LAN局域网络,OA、BPM、CRM、ERP等应用系统,以及管理IT系统的人。我们列出如下一些保障信息安全的方法手段,而无论大中小型企业,结合本企业实际情况,都可以立刻参照实施

。(1)优先采购和使用国产路由器,来组建企业局域网络

现在的企业级路由器技术和产品都很成熟,作为企业使用常规的功能模块即可,不要贪图什么高端或特殊功能模块。像国内的华为技术、中兴通讯、迅捷网络等厂商都有多年耕耘,甚至进入到核心的芯片设计领域,价格上相比美国思科CISCO还有优势。而美国政府一直阻挠华为技术、中兴通讯进入美国市场,从侧面也可印证国产设备的强大竞争力。在企业信息安全方面,斯诺登揭露美国国安局通过思科路由器监控中国网络和电脑;早前也有传闻,每一台思科路由器出厂前,都会经过美国国安局的“检测”。所以从现在开始,可以优先采购和使用国产路由器,有效避免企业内部信息被泄露和被监控。

(2)优先采购和使用具有核心技术的国产办公软件

企业广泛使用的Office办公软件,其生产商微软公司同样被斯诺登爆料:与美国政府合作,帮助国安局获取互联网加密文件数据。另外,微软公司在中国启动了最严厉的反盗版措施,包括电脑定时自动黑屏、起诉盗版软件生产者、直接收集证据起诉盗版使用者。我们建议,一方面,企业采购服务器或PC时,要求供应商预装正版操作系统;另一方面,避免采购和使用Office办公软件,而选择具有核心技术的国产办公软件,譬如WPS Office,在功能体验上毫不逊色,完全兼容处理Office文档,而售价还不到Office的1/10。

(3)优先采购和使用具有核心技术的国产应用系统

现代企业的高效运营,离不开OA、BPM、CRM、ERP等企业应用系统的支持。在这些领域,国内的技术和产品都较成熟,服务也快速有效。针对中国国情的特殊性,国产应用系统的适应性还更强,反而国外产品水土不服。当然,我们应该选择那些具有核心技术的国内产品(而不是基于国外产品或者开源软件,在外面套层壳或者做个汉化),这样才能保证系统可靠性、扩展性和信息安全。另外在选择对比时应该抓住重点:用产品说话,而不是思想、概念、术语或奖项。

(4)慎重选择基于开源或者脚本语言的应用系统

开源软件的源码是公开的,可以被公众使用,但是开源并不意味着免费。基于开源软件的应用系统,对于开发者来说省时省力,对于使用者来说则暗藏风险:侵犯第三方权益、留有后门或内嵌广告、系统漏洞显著易被攻入等等。基于PHP、ASP、JSP等脚本语言开发的应用系统,也存在完全类似的风险。连自身源码都无法保护,又怎能保护企业信息安全?不要去担心美国政府了,一般黑客或者同行就能下手。能够完整保护自身源码的,还属C++、Pascal等编译语言,国内一些掌握核心技术的厂商正在使用它们,从而大大提升了系统安全性,还有系统性能。

(5)慎重选择基于云计算或者在线租用的应用系统

云计算的技术正在发展中,本身定义较为复杂。可以简要理解为:利用互联网来操作和使用应用系统,业务数据存储在供应商的“云端”。在线租用的应用系统,与此类似。目前客观看来,互联网连接、供应商“云端”、还有供应商自身,都不算非常安全可靠。企业要把重要的业务数据存储“云端”,需要慎之又慎。值得注意的是,还有“私有云”这样的概念号称信息安全,实际上供应商自己也说不清楚。

(6)明确界定IT系统权限,通过流程审批后再授权

好的企业IT应用系统,提供非常细致的权限划分,譬如:访问级权限——哪些人能看到什么?操作级权限——哪些人能修改什么?流程级权限——哪些人能授权别人做什么?建议企业明确界定权限,在IT系统初始化时批量配置好。后续系统运行时,申请权限的人都提交一个审批流程,在上级领导审批通过后,再由管理员配置和授权。实践证明,这种方式能够分级保护企业的信息安全,避免有意或无意的泄露。

(7)选择可信的系统管理员,定期进行操作审计

几乎所有的企业IT系统,都需要一个系统管理员来进行维护、管理或配置,企业应该选择一个可信的人来承担。有可能的话,和系统管理员再签署一份信息保密协议。对于系统管理员的所有操作,好的企业应用系统都留有日志,高级领导可以定期进行审计。通过这些方式方法,企业能够有效地警示和预防可能的信息泄露,为信息安全再加一把锁。

关键字:斯诺登应用系统

本文摘自:互联网

x 斯诺登再爆“极光黄金”计划,新OA为企业信息安全支招 扫一扫
分享本文到朋友圈
当前位置:安全行业动态 → 正文

斯诺登再爆“极光黄金”计划,新OA为企业信息安全支招

责任编辑:editor004 |来源:企业网D1Net  2014-12-13 20:27:39 本文摘自:互联网

近日,美国“截击”网站根据斯诺登提供的文件,披露美国国家安全局从2010年就开始实施一个代号为“极光黄金”的秘密监视计划。通过秘密监视全球手机运营商,以发现手机网络中的安全漏洞,利用这些漏洞对手机通信进行窃听。被国安局监视的目标包括世界各地绝大多数手机运营商,其运营的手机网络覆盖几乎每一个国家。这些运营商不仅来自与美国敌对的国家,还来自美国的盟友。利比亚、中国和伊朗的一些运营商也在被监视之列。

“斯诺登”仍然在不断发酵,不时抛出炸弹,但这也从侧面提醒了我们信息安全的重要性。也许以前我们还未对信息安全提起重视和保护的意识,但到了互联网飞速发展和渗透生活的今天,如果我们还没有意识好好保护自己,保护企业,那么就犹如裸奔而不自知,是多么可怕的一件事!那么让我们再次强调一下,信息安全对企业有什么意义呢?

首先我们明白,进入信息时代,一个现代化的企业运营,是无法脱离信息技术和商用IT系统的支撑的。而商用IT最核心的芯片、CPU、操作系统、数据库系统和Internet互联网,绝大部分掌握在美国企业和美国政府手里,在一个较长时期内无法撼动。但是,这不代表企业就无所作为,因为除了那些核心之外,企业中还广泛存在着LAN局域网络,OA、BPM、CRM、ERP等应用系统,以及管理IT系统的人。我们列出如下一些保障信息安全的方法手段,而无论大中小型企业,结合本企业实际情况,都可以立刻参照实施

。(1)优先采购和使用国产路由器,来组建企业局域网络

现在的企业级路由器技术和产品都很成熟,作为企业使用常规的功能模块即可,不要贪图什么高端或特殊功能模块。像国内的华为技术、中兴通讯、迅捷网络等厂商都有多年耕耘,甚至进入到核心的芯片设计领域,价格上相比美国思科CISCO还有优势。而美国政府一直阻挠华为技术、中兴通讯进入美国市场,从侧面也可印证国产设备的强大竞争力。在企业信息安全方面,斯诺登揭露美国国安局通过思科路由器监控中国网络和电脑;早前也有传闻,每一台思科路由器出厂前,都会经过美国国安局的“检测”。所以从现在开始,可以优先采购和使用国产路由器,有效避免企业内部信息被泄露和被监控。

(2)优先采购和使用具有核心技术的国产办公软件

企业广泛使用的Office办公软件,其生产商微软公司同样被斯诺登爆料:与美国政府合作,帮助国安局获取互联网加密文件数据。另外,微软公司在中国启动了最严厉的反盗版措施,包括电脑定时自动黑屏、起诉盗版软件生产者、直接收集证据起诉盗版使用者。我们建议,一方面,企业采购服务器或PC时,要求供应商预装正版操作系统;另一方面,避免采购和使用Office办公软件,而选择具有核心技术的国产办公软件,譬如WPS Office,在功能体验上毫不逊色,完全兼容处理Office文档,而售价还不到Office的1/10。

(3)优先采购和使用具有核心技术的国产应用系统

现代企业的高效运营,离不开OA、BPM、CRM、ERP等企业应用系统的支持。在这些领域,国内的技术和产品都较成熟,服务也快速有效。针对中国国情的特殊性,国产应用系统的适应性还更强,反而国外产品水土不服。当然,我们应该选择那些具有核心技术的国内产品(而不是基于国外产品或者开源软件,在外面套层壳或者做个汉化),这样才能保证系统可靠性、扩展性和信息安全。另外在选择对比时应该抓住重点:用产品说话,而不是思想、概念、术语或奖项。

(4)慎重选择基于开源或者脚本语言的应用系统

开源软件的源码是公开的,可以被公众使用,但是开源并不意味着免费。基于开源软件的应用系统,对于开发者来说省时省力,对于使用者来说则暗藏风险:侵犯第三方权益、留有后门或内嵌广告、系统漏洞显著易被攻入等等。基于PHP、ASP、JSP等脚本语言开发的应用系统,也存在完全类似的风险。连自身源码都无法保护,又怎能保护企业信息安全?不要去担心美国政府了,一般黑客或者同行就能下手。能够完整保护自身源码的,还属C++、Pascal等编译语言,国内一些掌握核心技术的厂商正在使用它们,从而大大提升了系统安全性,还有系统性能。

(5)慎重选择基于云计算或者在线租用的应用系统

云计算的技术正在发展中,本身定义较为复杂。可以简要理解为:利用互联网来操作和使用应用系统,业务数据存储在供应商的“云端”。在线租用的应用系统,与此类似。目前客观看来,互联网连接、供应商“云端”、还有供应商自身,都不算非常安全可靠。企业要把重要的业务数据存储“云端”,需要慎之又慎。值得注意的是,还有“私有云”这样的概念号称信息安全,实际上供应商自己也说不清楚。

(6)明确界定IT系统权限,通过流程审批后再授权

好的企业IT应用系统,提供非常细致的权限划分,譬如:访问级权限——哪些人能看到什么?操作级权限——哪些人能修改什么?流程级权限——哪些人能授权别人做什么?建议企业明确界定权限,在IT系统初始化时批量配置好。后续系统运行时,申请权限的人都提交一个审批流程,在上级领导审批通过后,再由管理员配置和授权。实践证明,这种方式能够分级保护企业的信息安全,避免有意或无意的泄露。

(7)选择可信的系统管理员,定期进行操作审计

几乎所有的企业IT系统,都需要一个系统管理员来进行维护、管理或配置,企业应该选择一个可信的人来承担。有可能的话,和系统管理员再签署一份信息保密协议。对于系统管理员的所有操作,好的企业应用系统都留有日志,高级领导可以定期进行审计。通过这些方式方法,企业能够有效地警示和预防可能的信息泄露,为信息安全再加一把锁。

关键字:斯诺登应用系统

本文摘自:互联网

电子周刊
回到顶部
网站地图

企业网D1Net 信众智-CIO社交平台 第1培训-企业数字化培训平台 会展活动

CIO 数字化转型 云计算 数据中心 大数据 元宇宙 物联网 人工智能 安全

移动办公 服务器 存储 访谈 区块链 数据网络 智慧城市 视频会议 芯片

统一通信 企业应用软件 创新技术 新闻中心

联系我们:

d1neteditor#d1net.com (发送邮件时,请把#换成@)

投稿信箱:

d1neteditor#d1net.com (发送邮件时,请把#换成@)

关于我们联系我们版权声明隐私条款广告服务友情链接投稿中心招贤纳士

企业网版权所有 ©2010-2024 京ICP备09108050号-6 京公网安备 11010502049343号

^