邮件每天在公司里的应用就跟水和电一样,很自然的使用,因此变得太平凡普遍,可一旦离开了邮件,人们又会觉得浑身不自在。邮件安全、归档等一些列问题随着信息隔离墙制度的颁布,越来越显示出小邮件所承载的信息安全问题及企业高效管理的重要性。
此次,比特网很有幸请到守内安信息科技上海有限公司总经理刘孟达先生,及沙利文咨询公司的咨询顾问黄丹先生和大家一起分享关于小邮件大问题的题。
比特网ChinaByte:邮件虽小,但一旦出现了问题也是大家无法忍受的,近期安全泄露问题严重,某邮件服务提供商邮件密码泄露,引起很大恐慌,两位对这此有何看法?
刘孟达:邮件是企业和个人使用最多的IT工具,也是企业应用中最重要的工具,因为很自然的在使用,习以为常了,所以反而不会感觉到是特别重要,它的重要往往会被忽略,这是引起信息安全泄露的重要原因。
通过中国互联网最大的一次泄密事件来看,他将防护网攻破,然后拿到管理者邮箱或账号密码,可以直接打开资料库,公司的资料库包括客户姓名、联系方式等被大量外泄,这是一次被锁定目标的攻击行为,这个资料一旦泄露公开就会产生一系列的影响,这就会引起连锁反应,这是个很严重的问题。由此大家都在呼吁尽速立法保护。在欧美和日本很久以前就已经开始立法了,国内在这方面显然做的还不足。
黄丹:用水和电做比喻非常之恰当,大家可以设身处地的想,我们每天用水用电不会有太大的感觉,但如果停水停电两天,第一个反应会是什么,肯定无法忍受跑去找物业。这也说明了现在电子邮件在我们企业管理,特别是企业运营中,已经完全渗入,成为不可分割的一部分。他的重要性也就不言而喻。
现今大家会发现这样一个现象,今天生了孩子明天就有奶粉厂电话,明天买了车子,就有保险公司打来电话,这就是最常见的信息泄露,更多的是一种人为的泄露,这就需要更好的更完善的公司管理制度来解决。
比特网:介于邮件管理的重要性,两位从邮件的基础管理上有什么好的措施?
刘孟达:网络攻击的80% ,资料外泄的70%是通过电子邮件的途径,病毒24小时都在更新,垃圾邮件的特征处理也是24小时在更新,针对这些就需要IT部门有相应的工具及时性的作相应设置,对邮件的发送、送审、隔离、存档进行及时的管理规划,而随着防护工具的层层进阶,做到资料不可篡改、时效性、针对性,最后和企业经营管理、风险管控、竞争力结合在一起。当然在内部资料的泄露中70-80%是人为造成,这就势必需要公司内部配合制定相应的管理制度,如果公司落实执行,相关流程就可以按照指导纲领去完成。
黄丹:解决的方法有三种,第一、产品,就如刘总说到需要工具做相应得安全防护设置,如选用像守内安这样专业的邮件防护产品。第二、机制,公司内部配合制定相应的管理机制。第三、也是最彻底的解决方法就是从人的角度着手,但因为人有侥幸心理,使得从人本身来协调非常困难,所以最好的方法就是将产品和制度相结合。现在很多企业并没有一些邮件使用规范的标准,就不会细致到员工规范里的一些章程,这是非常关键的。另外还要选择非常好的产品去支持规章制度的实施。有了良好的规章制度很多产品就有了相应的标准来制定,如不同部门之间邮箱的发送设定权限,通过这个制度来设计产品并通过制度更新来做相应的调整。守内安的产品就是非常好的选择。
比特网:针对于信息隔离墙规范的实施,守内安帮国泰君安实施了相关的信息安全防护工程,对此有何好的经验意义和大家分享?
刘孟达:正本溯源,建立机制,树立规范是2011年证券行业的重点。国内有必要对细分领域进行相应的信息安全规范,第一中国的市场庞大,每一领域影响都很大 第二整个管理机制可以作到比较先进性的跨越式。国内证券金融领域影响众多,非常受到关注,证劵金融行业特别定义了信息隔离墙的管理规范,这将是IT治理里非常重要的一部分。所以这次的工程由7家公司共同实施、验证、完善、完成,是一个长期、复杂的系统工程。国泰君安作为具有领先及代表性的企业,是可以给予其他证券金融单位更多的参考了解。安全防护工具选对了,然后逐步导入是可以得到不错的效果,工具导入之后, 内部规范就可以做到更细致。管理规范定义出来之后,先照章执行, 然后依照执行情况再回归修订,完善工具里之各总规范设定,使之变成一种良性循环。
比特网:最后对于信息安全管理的未来发展二位有何展望和总结?
刘孟达:2011年是企业治理的分水岭,2011年以前的成长是粗放式成长,到2011年变成流血式的竞争。然后大家强调要变成有质量的增长,很多地方都会被细化。现在就要回归到企业治理这个基本点,怎样去做到质量式的增长,就是要细化管理。证券行业首先被政府分管要求落实,因为他面向更广,从上市公司到市井小民,到国家的一些投资单位,花了很多钱投资经营,所以从证券金融开始,会一步步到其他行业,而这种模式对电子邮件这样在企业内部经营管理上扮演重要角色的工具是有增长空间的。邮件虽小,但却能真真实实的创造更大的效益,由此也会显现出其重要的作用。
黄丹:信息安全是需要政府、企业制度、IT相关企业及个人共同努力来完善管控的,未来国家层无论是证监会还是其他监管部门是将会越来越关注信息类安全问题,其实大家可以发现政策其实已经出来很多年,但一直没有实际性的成果,政府力度是其中的一个问题。希望通过证券市场良好的举动可以带动中国整个信息安全产业的进步和发展。
(责任编辑:)
