黑客盗窃信用卡号比去年同期增加了150%

　　有数据表明，今年盗窃信用卡号等黑客攻击比去年同期增加了150%。以金融欺诈为目的的恶意黑客在长期耐心地“盯”着拥有敏感信息的企业，一旦发现安全漏洞就渗透。对银行、保险及证券行业，面对日益猖獗的黑客攻击与病毒、蠕虫的横行，要确保敏感信息的安全，IT系统持续稳定运行，是个严峻的挑战，我们如何打赢这场信息安全保卫战...

　　2005年6月19日，从媒体传出包括万事达、维萨在内的多家信用卡公司4000多万用户信息被盗。对这起有史以来最严重的信息安全案件，有分析认为其主要原因是“卡系统”公司的信息安全措施不到位，这家公司违反数据安全规定,留下隐患，让恶意黑客有可乘之机。据美国联邦交易委员会估计，美国每年约有1000万人的个人资料被以各种各样的方式盗窃，给消费者和商业带来的损失分别高达50亿美元和480亿美元。这方面的教训是深刻的，它也让人们更加地关注如何进行有效的信息安全管理。

　　近日，在Arial国际集团与consul风险管理公司于北京举办的IT安全管理高层研讨会上，Arial集团首席执行官PierreNoel先生分析了目前企业在信息安全方面的误区。他认为，信息安全管理，不是仅仅购买各种昂贵的信息安全技术，关键在于了解风险点在哪，然后根据公司的战略、流程，确认信息安全策略，采用有效的手段。他强调了员工的培训与持续不断的风险评估的重要性。

　　有很多企业花费了大量的人力物力去购买使用控制手段，PierreNoel先生认为，它相当于企业花钱买了昂贵的武器，却没有好的战略和战术，没有很好地训练士兵。很多的企业非常重视控制手段，认为控制得越多、管理越严越好。但实际上，控制太多，不利于提升办事效率，无法和外界联系，还造成安全的假象。

　　目前，有些企业通过了ISO17799,它的确是一个很好的标准。但实施这个标准，并不意味着信息系统就安全了。这只是告诉你可以做什么。有极个别的公司，在通过这个标准后，依然受到攻击。因此，最大的问题是人的问题，要培养员工的安全防范意识，就要对他们进行培训。比如，员工对密码没有很好地使用。而培训，是信息安全管理中最有效的措施。

　　PierreNoel先生认为，信息安全管理最主要的问题:是了解企业的风险点在哪，在这一点上不能轻信杂志和风险顾问告诉的东西，也不要过于相信自己使用的工具最有效。要对系统不断地进行监控，发现问题。

　　对中国的金融企业，无论是银行，还是保险、证券企业，目前，已经建设了信息安全系统，它不可能推倒重来。在这种情况下，首先从大的问题开始，与业务安全顾问讨论大的风险点在哪里，找出后，一起讨论降低风险的办法。对现有的环境进行检查，看目前存在的哪些技术措施适用，哪些不适用，对用户和管理层进行培训，并对风险进行量化。之后才能决定针对这些问题采取哪些新的办法进行管理。

　　许多公司都把信息安全看成是一个项目，具有开始和结束，但是一旦将它看成一个动态的过程，就更容易分阶段地引入一些更为全面的安全策略。还有安全策略必须变得更具用户导向性和更加动态。技术发展日新月异，企业如果想继续保持竞争力，就必须更多地承担起教育员工、合作伙伴和客户的责任。而这一切是一个没有终点的过程。