编者按：深圳妇幼信息泄露事件，究其原因，在于医院之前没有进行适当的信息管理保护，更进一步，医院未进行网络信息系统的风险评估。如果我们进行了网络信息系统的风险评估，还会发生泄密门么？

    【IT168 专稿】5月份香港连续爆发1.6万名病人资料、16万银行客户资料、4.4万市民个人资料等泄密事件后，此种“泄密门病毒”大有蔓延之势，使得双子城深圳同样难免被染。

    6月底，深圳某著名妇幼保健医院发生了产妇和婴儿资料信息泄露的严重事件。据知情人透露是有人利用职务之便，在上班期间仅仅用了5分钟时间，通过U盘拷贝了相关的重要数据后，被不法分子得到随即以1.2万元的价格对外出售。从此沸沸扬扬的数据泄漏为我们浮出了冰山一角……

企业网络系统自身的问题

    “这是比较大的事件，对市民造成的伤害，引起了市政府及领导的高度重视！”近日，本报关于“泄密光盘”泄露4万孕产妇的报道引起深圳市政府及有关市领导高度重视。昨晚7时，深圳市政府新闻办特别召集市卫生局、市人口与计生局等部门对深圳各媒体通报情况。深圳市卫生局在会上表示，已经证实：孕产妇信息系统部分内容被泄露是事实。
    是黑客攻击？还是商业间谍潜入？种种说法扑朔迷离……
    然而最终的结果却令人着实大跌眼镜——一个小小的U盘，不到5分钟就将深圳4万孕妇的信息明码标价，堂而皇之的公开买卖。
    祸起萧墙，焉能不乱？经此一役，全国卫生局开始亡羊补牢，纷纷行动起来……
 

信息数据管理的通知

    事件之后，有机构开始行动起来。例如，上海市对其各区县卫生局、上海申康医院发展中心、有关大学、各级妇幼保健机构、各有关单位提出要引以为戒，进一步严肃本市的妇幼卫生信息报告制度，加强本市妇幼信息管理，并特别提出了五条具体要求。

  对于，那五条具体要求，笔者在此就不一一罗列了，但是其中第2条却引起了我的注意，具体为：各级妇幼保健机构收集、汇总和储存妇幼信息时，必须确保数据信息安全。应使用专用计算机，并对所使用的软盘、移动硬盘、U盘、光盘等移动存储介质，做到专人使用、管理和维护。从这里我们不难发现，经历了众多“内鬼”利用移动存储和光存储来达到盗窃相关资料的事情以后，对于此类“作案”手法已经引起各政府部门高度重视了。

     在这里，我们在为上海市政府，在所谓的深圳“泄密门”发生不到2周时间，就积极做出调整，在为他们超高的执行力和观察力拍手称快的同时，也不免有一点点小小的遗憾。诚然，我们应该信任多大数人的职业道德，但也不免会有一些意志不坚定的份子出现，因此，既然这些“内鬼”是利用移动存储和光存储才能达到其目的的，我们完全可以利用当下先进的科学技术来疲敝这一点。

事前风险管理的必要性

    当沸沸扬扬的深圳孕妇数据泄漏事件真像大白以后，我们不难发觉，其无非就是应了中国一句古话，日防夜防，家贼难防。如同Gartner在其研究报告中指出：“漠视可携式储存装置的非授权与不受控管的滥用，正促使企业逐渐将本身暴露在安全风险之中”。事实上，随着移动储存装置以及MP3播放器等各种装置的急速增加，通过软件来管理企业的USB接口已经是刻不容缓的事情了。

    我们可以通过利用美国GFI公司 EndPointSecurity和德国SmartLine公司 DeviceLock这两款软件轻而易举的达到管理自己的USB接口。GFI EndPointSecurity和SmartLine DeviceLock是一套用来控管个人电脑周边设备的工具软体，系统会限制一般使用者对于电脑周边设备的存取，杜绝员工私自携带U盘、数码相机等可移动式储存装置，以及蓝牙、无线网路设备等所带来的风险。管理者可以阻止非授权使用者使用USB与、蓝牙与WiFi转接器，CD/DVD光碟机、磁带机、ZIP装置、串口与并口、以及其他即插即用设备。

    我们都知道人性是靠不住的，靠三字经中的性本善和所谓的孔孟之道往往是制约不住的，必须要靠一个制度来制约。根据统计，外部的安全威胁实际上仅占所有安全威胁的20%而已，其余80%往往是由于组织内部的员工行为导致。所以，对于企业来说，加密与防毒软体已是基本所需，绝对不是企业内部资讯安全的唯一需求。