从以上的记录可见,企业的很多威胁来自于企业内部,特别是特定的人群。让我们再来看一下妇幼信息泄露事件过程:如果这家医院对妇幼资料进行了适当的安全存放,还会走盗走么?如果对之进行了访问控制权限处理,还会发生此事么?如果对妇幼资料的访问进行了访问历史记录,谁还敢把数据拷走?
妇幼信息泄露事件之所以发生,并非外力所为,而是这家医院自身的网络信息系统的管理体制缺陷问题。企业网络除了受外界攻击外,自身的缺陷也是很严重的问题,甚至可以将自己打侄。
对于这种现象,RSA,EMC信息安全事业部中国区资深技术顾问华丹表示,企业审计系统一般不是给通常意义上的IT管理员或者工程师用的,而是面向高层管理员、CIO。因为合规,最后打拍子的话,一定是打在经理或者经理以上的级别,所以它面向的对象,或者说使用它的人一般是IT经理或者是安全部门。
