如何防患信用卡账户资料被盗事件
导读:
危机也许就在身边
2005年6月,美国发生了一起4000万个信用卡账户资料被盗的事件,这是有史以来最严重的信息安全案件。随着美国联邦调查局介入调查,更多的细节被披露。原来,漏洞出在为万事达、维萨和美国运通卡等主要信用卡进行数据处理服务的“卡系统”公司,它的网络上被恶意黑客植入了木马程序。
“卡系统”公司负责审核商家传来的消费者信用卡号码、有效期和验证码等信息,审核后再传送给银行完成付款手续。这家公司最近处理的4000万信用卡账户的号码和有效期等已被木马程序“一览无余”,其中包括2200万个维萨卡账户、1390万个万事达卡账户。安全专家确信:已有20万个账户的信息被转移出去,可能被恶意黑客出售或盗用消费,因此处于“高度危险”状态。
原来,是这家公司违反数据安全规定留下了隐患。万事达卡公司等信用卡发行机构,要求“卡系统”公司处理的数据不得过夜保存,但这家公司为进行市场研究,自己保存了所有经手的账户信息,而且这些数据不加密、不保护就存储在公司电脑中。而公司的网络又建立在经常暴露出安全漏洞的“WINDOWS2000”操作系统之上,也没有及时更新升级。这都让恶意黑客有机可乘。
而在这些技术性漏洞背后,暴露的是企业对信息安全的忽视和侥幸心理。
虽然上面的案例存在特殊性,但这种对信息安全的忽视和侥幸心理却普遍存在于企业当中,“我们只是个制造业或服务业的中小企业而已,黑客攻击离自己还很遥远”,这正是许多企业的普遍心态。
也因为这种心态的普遍存在,世界上每分钟都有两个企业因为信息安全问题倒闭,有11个企业因为信息安全问题造成大约800多万美元的直接经济损失……也许出乎你的意料,但却是事实。
随处可见的安全隐患
一边是安全防范意识的薄弱,另外一边则是残酷的事实。
敌人随时都在瞄准你的任何一个漏洞,一个细节的失误,足以一分钟毁灭你的公司,一个信息就可以左右企业的成败。这个信息在自己手里是王牌,在对手手里是炸弹。
在如今的互联网时代,全球范围的网民数量近7亿,而黑客网站高达20多万个。经常出现的网络安全事件,如:网页篡改、网络蠕虫、特洛伊木马、计算机病毒等,严重干扰了网络的正常运作,一些大型的著名网站也经常遭受影响。间谍软件如今也从几年前的边缘角色走到前台,成为威胁信息安全的又一大隐患。间谍软件能在用户觉察不到的情况下安装到一台电脑上,并秘密地收集信息。如果不特意加强数据安全措施,一旦被黑客盯上造成的损失就很惨重。
企业的信息安全危险还绝不仅仅局限于外部攻击,在信息系统遭到的攻击中,一半以上是由公司自己的职员有意或无意引发的。
而贵企业的重要信息,可能在老板的大脑里、公司电脑里、一个打印稿的背面,甚至在一个垃圾筐里,随时都有泄漏的可能。泄漏的结果轻则使公司蒙受损失,重则毁灭公司。
一个简单的例子:节约用纸是很多公司的好习惯,员工往往会以使用背面打印纸为荣。其实,将拥有这种习惯公司的“废纸”收集在一起,你会发现打印、复印造成的废纸所包含的公司机密竟然如此全面,连执行副总都会觉得汗颜,因为废纸记载了公司里比他的工作日记都全面的内容。类似的例子还有很多。
当然,信息也并不是一定与电脑有关。几年前,一家著名的市场调查公司调查麦当劳的产品销售量,他们使用了痕迹调查方法,收集了当天麦当劳所有的垃圾,雇用了许多临时工从麦当劳店内收集垃圾,包括包装纸盒等。他们就是通过计算这些垃圾得出了麦当劳每一种产品的销售量,并且推算出卖当劳下一年的销售计划。在这之后,麦当劳门店内的垃圾都要经过自己的处理后才运走。[page]
同样的事情也发生在雅芳和玫琳凯化妆品公司之间。雅芳就曾经雇佣私人侦探收集了玫琳凯的丢弃物,并且进一步破解了竞争对手的新化妆品配方。对于玫琳凯来说,它无法夺回这些珍贵的东西,因为雅芳只是研究了它的垃圾而已,这是完全合法的。
而你又如何能够保证,你的竞争对手不用同样的方法来窃取你的信息?
不仅是技术问题
你该怎么办?采用技术手段,这是首先会想到的做法。
但信息安全远不是“技术”二字可以解决的问题。技术固然重要,但首先即是加强防患意识,不要在技术上已近乎完美,却因一时疏忽而满盘皆输。千万不要像有些公司的总裁,严格规定不允许任何员工随意进入自己的办公室,但却忘了防范清洁工;也不要像有些银行完全有能力购买故障率为千万分之一的服务器,却让过期的磁带轻易流入二手市场;不要等到某一天公司的一个普通员工捧着一叠董事会的协议交给你,说是从他身旁的打印机里取出来的;也不要等到竞争对手对自己第二年的战略规划已了如指掌,只因花几百元买通普通员工轻易取走了你上一年的人事变动情况表,才恍然大悟。
“我们的加密方针是所有的数据都必须用128位密钥加密”某券商网络部的经理得意地说。但是,就在他这么说的时候,一个敞开办公的区域,一台已经打开的电脑前却一个人都没有,如果谁想要在里面动点手脚可以说连黑客知识都免了。
一位知名的CIO曾经提出过保卫信息安全的四大要素:技术、制度、流程和人。合适的标准、完善的程序、优秀的执行团队,是一个企业信息安全的重要保障。技术只是基础保障,技术不等于全部,很多问题不是装一个防火墙或者一个IDS就能解决的。在组织架构上,这家企业有两个小组:一是规模较小的一组人,专门制定安全政策和规则,另外一组是负责执行的员工,分散在软件、硬件以及网络等相应部门。一旦遇到紧急情况,散落在各地的应急响应小组能在最短时间内集合起来。
任何问题归根到底都是人的因素,加强对员工的管理,对企业管理者来说比单纯购买产品或者制定规则重要得多。很多企业信息安全措施部署得很全面,但只要一个员工不按规定办事,机密很有可能就这样流出。
所以我们认为:信息安全=先进技术+防患意识+完美流程+严格的制度+优秀的执行团队+法律保障。
总之,企业的信息安全,绝对不是一个人的战斗,但是很多时候,中小企业却为了信息安全做出一些本末倒置的动作。面对企业里形形色色的信息安全规章,到底哪些是应该摒弃的?企业的信息安全规则应该如何确定?在信息化建设中哪些是“本”,哪些是“末”?这都是应该仔细琢磨的问题。
声明:该作品系作者结合法律法规,政府官网及互联网相关知识整合,如若内容错误请通过【投诉】功能联系删除.
相关知识推荐
现如今办理信用卡的门槛越来越低,可使用的额度不断加大之后,不管是老板,还是工薪阶层,在日常消费的时候,都喜欢使用信用卡,但是没有能力偿还造成信用卡逾期是会影响个
现如今,银行贷款的门槛越来越高,申请银行贷款已经成了很多人的痛点。但是其实并不是所有人都会觉得贷款难,这就说明了一个问题,不是贷款有多难,而是我们的申请贷款的方
核心内容:如何防范信用卡境外被盗刷?开通支付提醒功能,持卡人在境外使用信用卡保护好个人信息,选择刷卡商户,注意刷卡环境是否安全,及时更换信用,购买信用卡保险等等
我国刑法中没有非法融资罪,非法融资行为可能构成集资诈骗罪或者非法吸收公众存款罪,但两种罪名都是没有死刑的。《刑法》规定,以非法占有为目的,使用诈骗方法非法集资,
非法融资的行为人被判刑之后,其债务仍然应当进行偿还;被判处刑事处罚不影响民事责任的承担。我国《民法典》规定,民事主体因同一行为应当承担民事责任、行政责任和刑事责
融资租出的固定资产属于资产。融资租入固定资产是指企业由于资金不足或因资金周转暂时困难或为减少投资风险,借助于租赁公司或其他金融机构的资金而租入的固定资产。以经营
贸易融资的表现形式是进口押汇、限额内透支、进口代付、远期信用证、出口托收押汇、出口保理押汇、进口托收押汇。贸易融资是指银行对进口商或出口商提供的与进出口贸易结算
融资融券合约到期之后双方当事人可以在协商一致的前提下对合同进行续约,但期限不得超过两年。我国《证券公司融资融券业务管理办法》规定,证券公司开展融资融券业务,应当
个人进行证券融资应当满足的条件包括有:年满18周岁;从事证券交易不少于6个月;开户资料规范,账户状态正常;具有收入来源和可支配财产;一定经验和风险承受能力;无重