2011年刚过了一半不久，世界各地的企业信息安全事故便已接二连三爆发， 其中不少受害机构更是知名企业，互联网安全解决方案供应商Check Point软件技术有限公司指出，此等网络犯罪案件有其共通性，企业应该从中学习预防之道。

　　企业机密信息外泄为重灾区

　　下表罗列了今年以来，在世界各地发生的严重信息安全事故：

受害机构	业务	安全事故
RSA	安全解决方案提供商	攻击者尝试危害RSA的安全标识符令牌，并对众多五百大企业公司造成潜在的风险，可能令公司付出高达数百万美元的经济损失。
HBGary Federal	隶属美国政府的信息安全公司	黑客窃取其机密信息。
Epsilon	世界最大的营销电子邮件服务供货商之一	黑客攻击造成数百万个人电子邮件地址外泄，犯罪者企图尽可能撷取最多的客户信息。
Sony	消费电子产品。	其Playstation网络亦将其超过七千万名订户的个人信息外泄
花旗银行	金融及银行服务	估计其在北美地区约二十万客户的个人及帐户信息已遭入侵。遭窃的数据可能包括信用卡信息、客户姓名及电子邮件地址。

　　Check Point北亚洲区地区总监梁国贤表示： “此等攻击已造成数百万客户的记录、个人信息及其它敏感企业组织数据的外泄。就正面观点来说，这些公司已开始采取补救行动，并以更主动的态势应对安全课题，能在发生入侵的第一时间报告，在大部份的情况下会迅速通知其客户及人员发生的实际情况。然而业界应该仔细审视这些不同事件间的共通性，以及其新兴手法模式，以便更有效抗击网络攻击。”

　　锁定目标攻击

　　梁国贤指出，上述攻击都经过非常缜密的规划及执行，属于符合进阶持续性威胁(APT)条件的精密攻击，并针对目标公司精心策划，受影响的企业范围之广令人吃惊。攻击者经过高度训练，挑战的快感与实质获利促使他们犯罪。这些攻击拥有军事突袭般的精准度：黑客首先尝试并重制被锁定公司的整体网络，以便在执行方案之前，先在实验室环境中模拟攻击。就HBGary案例而言，显示出犯罪者具有高度的耐心及决心，他们宁愿冒违法的风险也要进行攻击。

　　社交工程攻击

　　梁国贤表示，此等攻击的另外一个相似之处，是它们都采用社交工程技巧。网络罪犯先锁定及操纵企业内部的员工，以“破解人心”的方式渗透进公司系统。不幸地是，用户通常是公司安全系统中最脆弱的一环。黑客永远都能找到有漏洞可攻击的使用者：或许是安全意识不足的新进员工，或是过度热心，以致于不小心透露太多信息的秘书。一旦进入公司系统后，黑客就会不动声色地运作。他们会在被侦测到且公司开始进行调查之前，尽可能潜伏并窃取最多的信息。有时甚至可能长达数年。

　　此外，这些网络罪犯不再是各自独立的业余黑客。他们类似恐怖份子，具有资金、动机及目标，组成精密组织。黑客部署相当多的智慧、时间及资源，精心策划社交工程攻击及收集信息财产。其造成的损害大小，完全取决于攻击者的主观意愿。

　　黑客的金矿：信息

　　梁国贤指出，财务信息不是唯一值得窃取的高价值数据。从这些入侵事件中所见，攻击者寻求较多的是一般的客户信息，而少为特定的账单或信用卡数据，这类信息对垃圾邮件寄发者而言非常值得利用。

　　企业的客户数据库记录，包括通讯方式、姓名及电子邮件等，就等于拥有许多宝贵的信息。此信息可用来制作自定义化的垃圾邮件，加注用户的姓名、详细数据及兴趣后，便显得十分逼真可信。比起一般的垃圾邮件，容易使得使用者开启自定义的垃圾邮件并按下链接，使垃圾邮件寄发者的获利。

　　亡羊补牢未为晚也

　　梁国贤表示，公司不应抱持着已善尽本份，因此不会受到攻击的错误观念。锁定目标的攻击日益增加，没有任何公司能完全幸免。企业必须在网络罪犯及其公司网络和资产之间，尽可能建构更多的屏障。

　　保护应从涵盖网络、端点，以及连接网络等多重安全性装置间部署清晰安全策略开始。企业需要进行多层保护，包括功能强大防火墙及入侵防御系统(IPS)来侦测混合威胁；全面化端点安全解决方案，以保护端点及行动装置安全；预防性的数据外泄解决方案来保护信息资产。安全策略必须配合公司商务目标，并让内部员工充分了解。此外，企业应该重新仔细检视数据资产的取用方式，以重新评估如何做出最妥善的保护。

　　梁国贤表示，在关闭对预设攻击者的“大门”外，企业也必须努力防备其长期的“后门”—也就是使用者本身。人为错误是技术无法单独解决的安全问题，因为它没有确切的修补方法。这必须依赖公司主动地敦促、训练和教育员工，让他们变成真正的公司信息安全卫士。

　　梁国贤总结说，Check Point提倡的“3D安全”方针就是要协助企业应对此等挑战，这个理念的要点是指出安全保护应该是一个三维的立体商业流程，通过整合安全政策、人员以及到位的执行力，为各个层面提供固若金汤的安全防护。凭着3D安全方针，企业能够掌握及实施一个超越技术层次的安全蓝图，确保得到周全的信息安全。