有道是“争名于朝,争利于市”,在现代商业环境中,市场的力量尤其惊人,任何有价值的东西,都有可能被拿到市场上去渔利,哪怕是体现社会竞争公平原则的各类考试的试题。今年9月21日,卫生部深夜发出紧急公告称,即将于9月22日、23日进行的临床执业医师和口腔执业医师两个类别的考试试题外流,原定举行的这两科考试被迫推迟至11月17日……
执业医师资格考试接连出现泄题事件并非偶然,在此之前,我国就接二连三地出现全国四六级英语考试的泄题事件。关心时事的人会发现,在巨大的利益驱使下,考试泄题、作弊之风已有愈演愈烈之势,已经形成一股暗流,影响到和谐社会的建设。冷静思考后,在拷问泄题者道德良知的同时,我们也疑问,究竟有没有技术手段,能够防止此类事件的发生?
安全专家指出,教育考试泄题的途径有各种各样,有命题者有意泄题,有因运输过程中试题失窃而泄题,等等。但在信息时代,最大的威胁还是来自于网络,既受到来自于互联网的木马等病毒的攻击;或者来自于企事业单位内部人员通过局域网的有意或无意的泄密,尤其是后者。
目前,大部分的企业或机关单位都组建有内部局域网,以方便信息传递,实现资源共享,提高工作效率。但是内网开放共享的特点,却使得分布在各台主机中的重要数据资源处于一种高风险的状态,很容易受到来自系统内部和外部的非法访问。也就是说,如果没有建立起很好的内网安全系统,对重要数据进行加密,以及统一监控、管理内部局域网,就极容易在技术层面上为泄题留下后门。专家还指出,近年来的许多考试泄题事件大多属于“祸起萧墙”,即由教育机构内部心怀不轨的人员通过单位局域网内部的信息通道,获得未进行数据加密的试题信息,偷偷拿到市场上去谋利的。
教育考试泄题事件折射出的只是内网安全的一个层面,根据中国国家信息安全测评认证中心调查显示,目前信息安全的现实威胁主要为内部信息泄露和内部人员犯罪,而并非大家认为的病毒和外来黑客引起。FBI和CSI对484家公司进行的网络安全专项调查结果也显示,目前超过85%的安全威胁来自公司内部,在损失金额上,由于内部人员泄密导致了6056.5万美元的损失,是黑客造成损失的16倍,是病毒造成损失的12倍。
那么,企事业单位应该选择怎样的内网安全系统才能有效斩断伸向机要数据的黑手呢?
根据统计,目前企事业单位在防止数据泄露,保护数字知识产权的主要难题,在于在局域网内部实现对各种图纸、文档、财务报表和销售情报等的安全隔离,即通过数据加密,限制一般员工接触到与自身工作不相干的机密资料;以及实现对刻录光驱、打印机等外设,移动存储设备,邮件、Web论坛,以及QQ、MSN即时通讯工具的监控和管理,等等,以堵死企事业单位内部各种有意或无意泄露重要数据的途径。
而在实际应用方面,由于各企事业单位的规模及需求都各不一样,如有些单位内网规模小,需求单一;有些单位内网规模大、应用需求复杂。而在对内网安全的认识上也存在一定的误区,如认为内网安全系统就是文档加密系统,或者就是监控和审计系统。因此,实际上,建设内网安全系统对内网安全厂商有很高的要求,需要内网安全厂商提供一个整合文档加密系统和监控审计系统的整体一致的内网安全解决方案,即同时提供数据保密、身份认证、授权管理、终端安全管理和监控审计,形成一个完整互动的内网安全策略,以保护重要数据。
目前市场上比较成熟的内网安全解决方案有明朝万达的Chinasec可信网络安全平台等,该平台是以密码技术为支撑,以数据安全为核心的内网安全平台,以Chinasec可信数据管理系统为核心,外加Chinasec可信网络认证系统、Chinasec可信网络监控系统、Chinasec可信网络保密系统共同组成“整体一致的内网安全解决方案”。整个平台采用模块化设计,四大系统各自独立,又相辅相成,形成立体的安全存储加密体系,能提供多种灵活的透明加密措施,如根据用户需求可以进行文件加密、文件夹加密、本地磁盘加密、移动存储设备加密和邮件智能加密等等独有设计,充分满足企事业单位和个人对数据安全保密的各种需求。据了解,该系统在奇瑞汽车、海关总署、教育部考试中心、华帝集团和步步高等企事业单位都已经有了十分成功的应用,是各企事业单位建设“简单易用,策略灵活”的内网安全系统,实现数字知识产权保护的有力借鉴。
中国有句小孩子都懂的俗语,叫“亡羊补牢,为时未晚”,而我们却很不情愿地看到,负责执业医师资格考试的教育单位在同一个地方摔倒了两次。究其原因,除了人为的不可控因素外,主要应该还在于有关单位在技术层面上对内网安全缺乏认识,及没有采取相应的技术举措。要想有效避免此类事件的重演,这两方面的防范措施不能不做,希望有关单位重视。