但到头来，光有技术还不够。Semple说：“你要找到一种办法来确保你所信任的用户确实值得信任。” 回顾：2007年1月，零售商The TJX Companies声称它的客户交易系统遭到了黑客攻击。2003年至2006年12月期间多次遭到了入侵，黑客访问了9400万个客户账户。后来发现，有人利用窃取的信息实施了案值800万美元的礼品卡欺诈案和伪造信用卡欺诈案。2008年夏天，11个人因与该事件有关的指控而被判有罪，这也是美国司法部有史以来提起公诉的最严重的黑客破坏和身份失窃案。

　　代价：TJX估计泄密带来的损失为2.56亿美元。这包括修复计算机系统以及为应对诉讼、调查、罚款及更多事项而支付的成本。这还包括因造成的损失而赔钱给维萨公司(4100万美元)和万士达卡公司(2400万美元)。联邦交易委员会下令：在接下来的20年里，TJX公司每隔一年就要接受独立的第三方安全审计。

　　然而，其他人预计损失会增加至10亿美元，这包括法律调解和客户流失所带来的损失。据波耐蒙研究所在2008年4月发布的一项调查显示，如果某家公司发生了数据泄密事件，它就会失去31%的客户数量和收入来源。波耐蒙研究所在最新发布的《数据泄密的成本》年度调查中还发现，去年，泄密事件让相关公司因泄密的每条客户记录而损失202美元;2007年的损失还只有每条197美元。与错失商机有关的成本是导致损失增加的最主要部分。2008年数据泄密事件的平均成本为660万美元，2007年为630万美元。

　　提醒：据波耐蒙研究所在2008年的一项调查显示，黑客引起的数据泄密在安全威胁方面远远排在了后面，仅列第五位。据ITRC声称，的确，2008年登记在案的泄密事件当中约14%与黑客破坏有关。不过，这并不意味着公司用不着小心翼翼。在TJX案中，黑客通过“无线搜寻”(war driving)手段潜入系统，从而闯入了该公司的无线网络。TJX当时用的加密技术达不到标准，又没有在使用无线网络的计算机上安装防火墙和数据加密软件。这样一来，窃贼得以把恶意软件安装在网络上，从而访问存储在系统上的旧的客户数据，并截获在用于核价的手持设备、收银机和店内计算机之间传输的数据。

　　教训：据Muller声称，TJX当初在其无线网络上使用的WEP加密不够安全——安全性比许多家庭用户使用的加密技术还差。他说：“如果你能从停车场访问数据库，表明需要更高的数据安全和数据加密级别。”Muller表示，TJX还存储了旧的客户信息，而没有永久删除。 回顾：辉瑞公司一名远程办公员工的配偶把未经授权的文件共享软件安装到了该员工的办公笔记本电脑上，外人因而可以访问含有辉瑞大约17000名新老员工的姓名、社会保障号、地址和奖金信息的文件。调查后发现，大约15700名员工的数据被对等网络上的别人所访问及拷贝;另外1250名员工可能泄露了数据。因为系统被用来从辉瑞的公司网络外面访问互联网，所幸其他数据没有受到危害。

　　代价：辉瑞签约订购了信用报告机构的一揽子“支持和保护”服务，包括为受到影响的那些人提供为期一年的免费信用监测服务，并提供每人价值25000美元的保单，以承担个人因这次泄密而造成的损失。

　　提醒：据波耐蒙研究所的一项近期调查显示，数据安全面临的第一大威胁是粗心大意的内部人员，而不是居心叵测的内部人员。接受调查的IT专业人士表示，88%的泄密事件与粗心大意的内部人员有关。Muller说：“要是员工有比较强的安全意识，泄密事件数量就会大大减少。”在辉瑞案中，那名员工的配偶对文件共享软件作了配置，结果文件共享网络上的其他用户就能访问这个配偶存储在笔记本电脑上的文件，但是9 7 3 1 2 3 4 4 8 :

本文来源：IT168.com 作者：沈之扬