编者按：各种泄露门事件显示，企业的关键数据保护越来越重要了。在这种保护体系下，除了管理好设备以外，更关键的管理对象是：人！

     【IT168 专稿】防火墙+防病毒+防间谍+IPS/IDS+VPN……，越来越多的网络安全产品被架设到我们企业的网络机房，担任起保护企业信息安全的重任。然而，看似固若金汤的安全系统下，安全事故却依然经常发生，关键数据也时有外泄。这是为什么？

     首先，我们可以从“硬件”上面找原因。我们很容易想到几种典型的信息安全泄露途径：软硬件故障、病毒与黑客入侵等等。再有，就是企业防火墙失效以致安全设置形同虚设，或者黑客利用企业安全漏洞访问企业内部网络或数据资源，进行删除、复制甚至毁坏数据的活动。
    
     但另一方面，企业内部的敏感信息也可能被内部人员非授权泄露或删除。女秘书PK老板的EMC“邮件门”事件、惠普“电话门”事件等，都在告诉我们一个事实，通过外发邮件、BBS、博客等导致内部机密信息泄漏的现象越来越普遍。企业/机构赖以生存的机密信息，很可能会被在职甚至离职员工有意或无意地泄露出去。
    
     根据自身10多年的IT构架从业经验，我总结到，再严密的防护体系也要依赖于操作、使用它的人，人有意识或无意识的各种行为绝对是安全的重大隐患之一。比如说，在硬件等因素完全“过硬”的情况下，信息不可能自己外泄，必然是有人的行为不当导致信息暴露。在安全体系建设过程中，除了要对“事”，更要对主体——“人”！现在我就和大家交流基于互联网行为主体的外部行为管理。
    
人：是引发关键信息外泄的主因

     普华永道最新发布的《2008全球信息安全状况调查报告》显示，中国在信息安全的很多方面仍处于落后状态，有44%的信息安全事件与数据失窃有关。普华永道系统和流程管理部合伙人傅毓敏认为，企业安全体系建设绝不是具备安全治理框架和技术支持这么简单，而是需要三个关键要素——人员、流程、技术的紧密结合。这里就提到了“人”的重要。
    
     前几天，我参加了“2008中美CIO峰会”，听到天狮集团CIO提到一点，在信息安全风险点中，“人”是他们企业最关注的因素之一。“因为技术可以学习，流程可以复制，只有人是个性的。”
    
     想想看，人之所以能站在生物链的顶端，就在于我们具有自主意识、自主行为。正是这种自主意识行为让我们创造了信息化，也正是由于这种自主意识、自主行为的存在，可能给数据安全带来了种种隐患。当我们部署了完备的安全软硬件，再采取正确的上作行为，就可以把各类威胁带来的危害降至最低；反之，错误、危险的上网行为会让任何安全措施都形同虚设。邮件泄密就是一个最简单的例子。