2002年,美国FBI与Computer Security Institute联合对计算机犯罪的调查结果显示,超过80%的信息安全隐患来自内部,而非外来黑客和病毒引起,信息泄露事件占所有信息安全事件的30%~40%,信息泄露所造成的损失是被病毒破坏的18倍,是被黑客攻击所造成损失的36倍。在电子政务和企业信息化安全方案中,往往忽略文件使用中的安全问题,如有意或无意地把文件传给了不该阅读的人员,移动存储设备随意使用,随意打印文档、以及重要数据在使用中丢失等等,这种二次传播对信息安全造成了巨大的威胁。
国家信息化专家咨询委员会委员沈昌祥教授在最近中国信息安全技术大会上曾指出:“对当前信息安全系统的反思,一个重要的原因,就是信息安全假设不对头,据世界上相关统计,信息安全的攻击75%以上是内外勾结所造成的,现在这种趋势还在逐步上升。……我们花的钱是解决15%的问题、25%的问题,还是解决75%的问题?一定是这75%的问题。所以不能再这样下去了,再这样下去我们在信息安全上花的钱很多,取得的效益不多,系统复杂,难以控制、管理和实施。我认为,一个好的系统是简洁的、可控的,价格是便宜的,性价比是高的,用户可以用得起。信息安全产业之所以感到困惑,就是没有认清这个问题。”
随着中国加入WTO,知识性人才的流动性也越来越频繁,企业之间和国家之间的竞争也越来越激烈,而数据随着人才的流动而流动的可能性也大大增加,作为企业和组织的管理者,上述问题有时是人为无法解决的,这时的安全问题就显得十分棘手。如果这个问题被企业和组织所忽略了的话,那么辛辛苦苦构筑的安全防护“长城”就很有可能会毁于一旦。防火墙、入侵检测、隔离装置等网络安全保护对于阻止网络病毒的入侵虽然有着不可替代的作用,但网络安全产品并非万能,只能对来自外部的非法攻击起到保护作用。而目前国内的安全产品又高度集中在网络周边防护和密码设备上,对信息访问进行控制的安全产品相对很少,这一点往往被人们所忽视,这就致使企业和组织中整个应用系统存在很大的安全漏洞。