最近受到关注的CSDN和天涯密码泄露事件,事实上早已经发生,并且数据在黑色产业链中广泛流转,而且各种途径泄露的数据远远超过媒体已经暴露的内容。从这个事件可以看出,无论是商业服务机构还是个人,安全意识依旧非常淡薄,急需提高,否则类似事件每天都会上演。从服务机构的角度看,CSDN和天涯这次泄密事件最受诟病的是以明文方式存放用户密码,犯了非常低级的错误,这对于用户来说是完全难以接受的。事实上,解决用户密码存放的技术非常成熟和简单,只要在软件程序
里面简单增加一小段MD5或者其他散列函数代码即可以解决,不会给CSDN和天涯额外增加多少负担,这样基本的安全措施没有采用,只能说服务商本身确实缺乏最基本的对用户信息安全负责的态度,安全意识非常淡薄。从互联网个人用户的角度看,通过这次多方分析,发现用户使用密码有两个特点,一是使用简单密码的人非常多,二是在不同IT系统使用
同一个密码的人非常多,这都是缺乏安全基本意识的表现。由数字和字母组成的简单密码,可以说目前破解起来轻而易举,使用这样简单的密码是对自己账户安全极度不负责任的行为。多个IT使用同一个密码的习惯更加致命,CSDN帐号安全用户可以不在乎,
但是如果CSDN获得密码信息能够用于登录个人网银或者证券帐号,那就非常可怕了。综上所述,CSDN和天涯密码泄露事件告诉我们国内互联网服务提供商和互联网用户一个赤裸裸的事实:信息
安全事件屡发的主要原因不在于缺乏安全技术,而在于缺乏最基本的安全意识以及负责任的态度。要避免或者减少此类事件发生,相关企业要在安全意识培训和安全内控体系上下功夫。全员的安全意识培训特别是技术开发和服务人员的安全意识是必要的,只要让大家牢牢
树立信息安全防范意识,彻底排除侥幸心理,并融入到具体的开发和服务工作中,才能减少类似事件的发生。企业还需要建立全面的信息安全内控体系,信息安全内控体系包括管理制度和技术措施两个方面。要建立专门的信息安全管理制度,层层把关,层层负责,杜绝和减少信息安全漏洞的出现,禁止威胁信息安全的行为发生。技术措施要采用内外兼防的手段,通过购买成熟的信息安全产品和服务,既要能够防止来自互联网的入侵,也要能够防止内部人员从服务系统内部的入侵泄密行为发生,缺一不可。事实上,此外CSDN和天涯泄密事件发生后,陆陆续续暴露了更多真真假假的泄密信息,这些信息有些是从互联网攻击获得的,但也有部分是内部员工或者商业竞争对手从内部网络中获取并泄密出去的,后者造成的威胁损失更大,也更加隐秘,当然一般也不会见诸媒体,但是更加需要引起重视。
制度和技术双管齐下 建立全面内控体系
时间: 2024-09-20 12:40:37
制度和技术双管齐下 建立全面内控体系的相关文章
企业内控体系建设与企业HR管理改进
美国金融危机的爆发,带来了全球的新一轮经济衰退.究其原因,则是自由经济所导致的政府控制缺位,金融企业的创新出了位,正如华尔街的反思:将灵魂出卖给了魔鬼:从国内看,三鹿集团的风风火火,却一朝倾塌在三聚氰胺之下,企业董事长受到起诉:这一切,都能让人感受到企业在经营上的浮躁.利己和急功近利,严重忽视经营风险,结果给社会给自己都带来严重的后果.企业生产经营的外部环境正在发生着巨大变化,外部的监管正在加强,市场的游戏规则正导向在可持续发展上,政府宏观管理的要求促使企业的内控机制必须尽快完善和加强. <企业
实施热点:企业信息化内控不能一刀切
企业内控是企业信息化控制成本,优化流程的方法和工具;是加强企业内部管理,防范重大风险的有效措施;是帮肋企业度过金融危机.化解困难的重要手段.因此,在经济环境恶化的今天,企业首先要学会自救,要通过实施信息化,通过企业内部体制改革,最大限度地创造和发挥管理上的优势,做好开源.节流两方面工作,以适应当前市场的挑战和变化.在MIS.OA.CRM.ERP.KM.BI.全面预算等系统基础上要下大力度做好企业信息化内控工作,要做好企业各个系统之间的整合.协同与优化工作,从而,进一步推进企业各项管理和业务提升.
IT治理与内控(CIO管理札记之三十四)
在一次全国性的CIO会议期间,有位CIO同行曾经跟我说他们企业包括总裁在内的董事会成员根本没有意识到企业的日常运营已在高度依赖信息系统,而企业却对IT的投资风险.转移成本.投资收益和商业价值等问题没什么概念.缺乏关注,更无具体要求.此外,董事会并没有像对财务管理定期审计那样有真正意义上的IT监管,这样的高层理念决定了这家公司严重缺乏IT方面的基本知识和管理经验.当时,我与在场的一位企业董事长.一位管理咨询公司的高管经过一番争论.辩论和讨论后,认为该企业的董事会在IT治理方面存在比较严重的失职.
企业内控规范与ISO 9001 标准异同
国家财政部等联合下发的<企业内部控制基本规范>作为加强企业管理控制.促进健康持续发展的重要举措,将于2009年7月1日率先在上市公司范围内实施:在我们推广企业信息化内控方案的时候,发现不少企业在考虑采用http://www.aliyun.com/zixun/aggregation/14054.html">信息技术来完善自己的内部控制体系的过程中面临着一个困惑,"我们已经建立了完备的ISO 9001质量保证体系,也是可以帮助企业防范经营风险,它与企业内控体系是什么关系?
远光软件中标中农发集团风险管理及内控系统建设
日前,远光软件一举中标中国农业发展集团有限公司(以下简称中农发集团)风险管理信息及内控系统建设项目.远光软件凭借对全面风险管理与企业管理特点的 深入理解,助力中农发集团构建全面风险管理体系,拓宽风险防控领域,为集团公司筑起一道风险"防火墙". 在全球化.信息化的冲击下,企业经营发展的内外部环境日益 复杂,不确定性因素持续 发酵加剧,建立科学.完善的风险防范体系已然是大势所趋.国资委于http://www.aliyun.com/zixun/aggregation/33721.html&q
江苏银行冲刺上市存争议内控机制不被看好
本报记者 李意安 发自上海 在江苏银行频频传出上市传闻之际,产权交易市场上其股权转让也颇为活跃,此前,官方公布的最近数据仍是2008年底,法人股东高达1202户持股94.99%:自然人股东共26505户持股5.01%.员工持股比例之争一直是城商行上市的痼疾.然而截至记者截稿时,江苏银行仍未有进一步数据更新.江苏银行的上市之路究竟能否坦荡,如今各方人士对此态度莫衷一是. 城商行上市黑马 江苏银行,2007年1月开业,开业四年,从成长性的角度来考虑,江苏银行确实是上市路上城商行里不可多得的一匹黑马.
一起谈.NET技术,WPF企业内训全程实录(上)
一. 摘要 圣殿骑士由于工作和项目需要,所以对一些技术进行了较为深入的研究,之前在整个公司做过一些技术专场的培训,由于每次时间较短且人员较多的关系,没能讲得很透彻.一直都想以文字的形式把这些培训细节写出来,但是发现进度确实很慢,所以先来几篇宏观的讲解,希望能起到"授人与鱼也授人以渔"的效果.今天我们就来分享一下WPF内训之旅,这篇文章以WPF培训为主线,中间贯穿了一些其他技术和使用心得.其他培训专题诸如"OO到设计模式"."WCF基础到企业应用"
一起谈.NET技术,WPF 企业内训全程实录(中)
摘要 WPF企业内训全程实录由于文章比较长,所以一共拆分成了三篇,上篇WPF企业内训全程实录(上)主要讲了基础,这篇作为该实录的中篇,起着承上启下的作用,主要讲解开发模式.团队协作及应用框架.其实如果大家仔细看目录,可以发现我安排的顺序是首先讲解最基本的概念和基础内容.然后过渡到开发模式及框架.最后结合其他技术和项目实际运用,这也是学习并应用一门技术最好的流程.上篇实际上主要有两个侧重点:一则就是理清脉络--历史渊源.概念引入及基本阐述:二则是讲解WPFBasic--主要讲解WPF的每个知识点,
中行高山案版本增多大案屡发暴露银行内控软肋
中新网1月31日电 据<经济参考报>报道,中国银行一分支机构几亿元资金不翼而飞的消息,并未因中国银行总行的证实大白于天下,有关人员简短的说明反而引起了更多的猜疑.在事件发生地哈尔滨,有人说这个神通广大的支行行长高山带了6亿多元去了加拿大,也有人说带走了8亿多元.目前,关于这一案件各种版本的传闻还在不断增多. 真正幕后主使另有他人涉案金额超过10亿元 直到1月26日,中国银行方面在北京承认,2005年1月上旬,中国银行黑龙江省分行发现该行所辖河松街支行的存款业务有异常表现,涉嫌金融诈骗,立即报案