HTC内鬼乱舞 信息安全急待钟馗降临

人们都说“贪欲成恶鬼”，主要是用来形容对财富的贪婪常常令人做出魔鬼般的行为。而在这样一个充斥数据财富的信息时代，出现一些觊觎数据财富的“鬼”也就不奇怪了。而在这些“鬼”中，最令人头疼的就是内鬼，这“内鬼”前阵子搞折腾出一个“棱镜门”，最近又在老牌手机厂商HTC里“张牙舞爪”。信息时代的企业数据安全内鬼丛生的现象到底何时是头，究竟改用什么办法来解决，就让我们听听在数据、信息安全防护领域有多年经验的山丽网安是怎么说的吧。

HTC与内鬼 经济与利益永远是内鬼出现的诱因

屋漏偏逢连夜雨。一方面，HTC业绩最近几季度来一直低迷不振（今年第二季度净利润与去年同期相比下跌83%），资本市场也屡传可能出售的消息；另一方面，内部，近几个月来数名高管离职动荡，而现在最狗血的剧情是：高层居然出了“内鬼”！商业间谍案在HTC正鲜活上演。

HTC提起告诉 但信息泄漏已成事实

据台湾《中国时报》，宏达电董事长王雪红日前向检调提告，指副总兼首席设计师简志霖、处长吴建宏、设计师黄弘毅3人，疑假借委外设计NEW HTC ONE机壳为由，诈领1000余万元(新台币，折合人民币212万元)设计费；另，简志霖疑窃取HTC Sense 6.0 UI接口等商业机密，并计划在离职后携HTC机密出走，与HTC的竞争对手研发新品。由于宏达电8月30日发放年中红利，当地检察机关调担心简志霖等人拿到红利就落跑，为保全证据，在股巿收盘后，前往HTC研发部门，在宏达电法务长陪同下，搜查简志霖3人办公室，查扣3人的计算机及手机，清查里面是否有拷贝，或是以e-mail寄出商业机密。另查扣3人账户内300多万的存款。据说，简志霖等3人被控违反台湾“证交法”之背信罪，可处3至10年徒刑，违反营业秘密法之泄漏秘密罪，可处1至10年徒刑，并处300万至5000万元罚金。

虽然或许有严重的处罚降临在那些内鬼头上，但一个不争的事实却摆在眼前——HTC的核心商业机密确实已经泄漏。

案情还原 内鬼总是“神不知鬼不觉”

宏达电控称，简志霖等人明知NEW HTC ONE机壳是自己的设计团队设计，却勾结“威信电通科技”，佯称是委托威信设计，由威信出具假发票，交给简志霖等人向宏达电请款，厂商领走设计费后，再将现金分次交给简志霖3人，估计3人自5月至7月共诈领1000多万元设计费。

另宏达电控称，简、黄两人参与过ONE系列手机研发，简志霖计划离职后自行创业，日前已在台湾成立“小玉”手机设计公司（台湾中央通讯社报道，这三名犯罪嫌疑人被认为已经在台湾和中国内地建立了自己的智能手机设计公司），并完成公司登记。HTC现在除了怀疑简、黄等人把2013年下半年将研发推出的HTC Sense 6.0之UI接口程序、屏幕接口程序等重大商业机密携往“小玉”公司外，甚至怀疑简疑事先与其他手机业者谈妥，打算把商业机密窃走。

对于掌握核心机密尤其是机密创意的公司团队来说，一旦出现人事变动，牵扯经济利益，那么各种怀疑就随之产生。但这种怀疑绝大多数情况永远只能“停留”在怀疑，真正捉出内鬼并挽回损失的寥寥无几，而主要原因主要有三：

1、核心机密防护不彻底，给予创意、研发成员过高的权限。

2、界限划分不清，一旦出现人事变动无法辨别机密是否泄漏。

3、永远停留在怀疑，举证“内鬼”无“证”可依。

转化思路从数据本源防护做起或是解决之道

以上对于防止内鬼的三大问题普遍存在于现代信息化企业，由于数据的高共享性和流通性，使得要防御内鬼总是难上加难，除了之前提到的三点客观因素外，“人心难测”的主观因素也参杂其中。主观判断总会夹带个人情绪，虽说可以增加怀疑对象，但对于公司的团结稳定却是一个不利的定时炸弹。所以现代企业对于内鬼问题往往是后知后觉，往往只有发生后，才能通过些许的法律途径和改变策略来挽回损失。这种挽回往往杯水车薪。

为了改变这种局面，在信息、数据安全领域有多年经验的山丽网安建议众多企业改变思路。把原本飘忽不定的对象——人改为数据本源。为什么说改变保护对象就能改变内鬼丛生的现状呢？

因为数据是客观存在的，只是操作的人不同，所以可以从最大程度上改变主观因素的介入，从而排除了信息安全防护中最难防护的“人”的因素，再者随着加密技术的发展，防护已经能做到对各种数据类型，各种加密需求近乎完美防护的地步，由此使用国际先进的山丽防水墙多模加密技术的企业，更是能在确保数据加密质量同时，做到自主可控的加密防护和多种数据类型的加密防护。

权限划分可能在模糊地带滋生危险。如果对象是数据，只根据数据、文件的密级来划分权限，那么泄密风险大大降低，而这正是山丽防水墙文档权限功能的权限划分理念。

最后，在一个信息化的时代，信息防护是每个信息化企业必须做到的事，但如果能记录每个信息防护的步骤，甚至是信息防护的日志，那么就为预警可能发生的信息安全问题提供了预警基础，同时日志的产生也为最困难的内鬼取证环节提供了有力的支持。日志与预警，能完美做到这两点非山丽防水墙莫属。

信息时代，让我们对于信息有了更多的处理手段和交流方式，数据本身也因为这一点，价值正不断提升。但凡是有利有弊，数据的高共享性和高流通性正是信息时代内鬼丛生的根源。要解决这些问题，与其去防护那捉摸不定的“人性”，不如从数据本源加强防护性，而具有针对性的数据安全产品和加密软件无意是最好的选择。蛇需要打七寸，对症才能下药，对于内鬼请来数据安全领域的钟馗——防水墙，无疑是最恰当的选择！

关键字：信息安全  内鬼   数据安全

版权声明：此文为山丽原创，转载请注明作者和出处。