有道是“爭名于朝,爭利于市”,在現代商業環境中,市場的力量尤其驚人,任何有價值的東西,都有可能被拿到市場上去漁利,哪怕是體現社會競爭公平原則的各類考試的試題。今年9月21日,衛生部深夜發出緊急公告稱,即將于9月22日、23日進行的臨床執業醫師和口腔執業醫師兩個類別的考試試題外流,原定舉行的這兩科考試被迫推遲至11月17日……
也正是在11月17日,《天府早報》報道,有網友報料稱,開考前2小時這兩科考試的答案就已經在網上傳開了……如此重要的考試接連出現泄題事故,社會影響十分惡劣,包括新浪等各大媒體都就該事件進行了大量報道。
莫讓內網成為商業間諜的自由通道
執業醫師資格考試接連出現泄題事件并非偶然,在此之前,我國就接二連三地出現全國四六級英語考試的泄題事件。關心時事的人會發現,在巨大的利益驅使下,考試泄題、作弊之風已有愈演愈烈之勢,已經形成一股暗流,影響到和諧社會的建設。冷靜思考后,在拷問泄題者道德良知的同時,我們也疑問,究竟有沒有技術手段,能夠防止此類事件的發生?
安全專家指出,教育考試泄題的途徑有各種各樣,有命題者有意泄題,有因運輸過程中試題失竊而泄題,等等。但在信息時代,最大的威脅還是來自于網絡,既受到來自于互聯網的木馬等病毒的攻擊;或者來自于企事業單位內部人員通過局域網的有意或無意的泄密,尤其是后者。
目前,大部分的企業或機關單位都組建有內部局域網,以方便信息傳遞,實現資源共享,提高工作效率。但是內網開放共享的特點,卻使得分布在各臺主機中的重要數據資源處于一種高風險的狀態,很容易受到來自系統內部和外部的非法訪問。也就是說,如果沒有建立起很好的內網安全系統,對重要數據進行加密,以及統一監控、管理內部局域網,就極容易在技術層面上為泄題留下后門。專家還指出,近年來的許多考試泄題事件大多屬于“禍起蕭墻”,即由教育機構內部心懷不軌的人員通過單位局域網內部的信息通道,獲得未進行數據加密的試題信息,偷偷拿到市場上去謀利的。
教育考試泄題事件折射出的只是內網安全的一個層面,根據中國國家信息安全測評認證中心調查顯示,目前信息安全的現實威脅主要為內部信息泄露和內部人員犯罪,而并非大家認為的病毒和外來黑客引起。FBI和CSI對484家公司進行的網絡安全專項調查結果也顯示,目前超過85%的安全威脅來自公司內部,在損失金額上,由于內部人員泄密導致了6056.5萬美元的損失,是黑客造成損失的16倍,是病毒造成損失的12倍。
技術反間諜需要整體一致的內網安全解決方案
那么,企事業單位應該選擇怎樣的內網安全系統才能有效斬斷伸向機要數據的黑手呢?
根據統計,目前企事業單位在防止數據泄露,保護數字知識產權的主要難題,在于在局域網內部實現對各種圖紙、文檔、財務報表和銷售情報等的安全隔離,即通過數據加密,限制一般員工接觸到與自身工作不相干的機密資料;以及實現對刻錄光驅、打印機等外設,移動存儲設備,郵件、Web論壇,以及QQ、MSN即時通訊工具的監控和管理,等等,以堵死企事業單位內部各種有意或無意泄露重要數據的途徑。
而在實際應用方面,由于各企事業單位的規模及需求都各不一樣,如有些單位內網規模小,需求單一;有些單位內網規模大、應用需求復雜。而在對內網安全的認識上也存在一定的誤區,如認為內網安全系統就是文檔加密系統,或者就是監控和審計系統。因此,實際上,建設內網安全系統對內網安全廠商有很高的要求,需要內網安全廠商提供一個整合文檔加密系統和監控審計系統的整體一致的內網安全解決方案,即同時提供數據保密、身份認證、授權管理、終端安全管理和監控審計,形成一個完整互動的內網安全策略,以保護重要數據。
目前市場上比較成熟的內網安全解決方案有明朝萬達的Chinasec可信網絡安全平臺等,該平臺是以密碼技術為支撐,以數據安全為核心的內網安全平臺,以Chinasec可信數據管理系統為核心,外加Chinasec可信網絡認證系統、Chinasec可信網絡監控系統、Chinasec可信網絡保密系統共同組成“整體一致的內網安全解決方案”。整個平臺采用模塊化設計,四大系統各自獨立,又相輔相成,形成立體的安全存儲加密體系,能提供多種靈活的透明加密措施,如根據用戶需求可以進行文件加密、文件夾加密、本地磁盤加密、移動存儲設備加密和郵件智能加密等等獨有設計,充分滿足企事業單位和個人對數據安全保密的各種需求。據了解,該系統在奇瑞汽車、海關總署、教育部考試中心、華帝集團和步步高等企事業單位都已經有了十分成功的應用,是各企事業單位建設“簡單易用,策略靈活”的內網安全系統,實現數字知識產權保護的有力借鑒。
中國有句小孩子都懂的俗語,叫“亡羊補牢,為時未晚”,而我們卻很不情愿地看到,負責執業醫師資格考試的教育單位在同一個地方摔倒了兩次。究其原因,除了人為的不可控因素外,主要應該還在于有關單位在技術層面上對內網安全缺乏認識,及沒有采取相應的技術舉措。要想有效避免此類事件的重演,這兩方面的防范措施不能不做,希望有關單位重視。
