上一期，我們就IT人應(yīng)持有的安全觀這一話題采訪了國內(nèi)著名信息安全專家，曾主導(dǎo)豐益集團（金龍魚）、奔馳汽車等國際知名企業(yè)信息防泄密體系建設(shè)等項目的IP-guard產(chǎn)品總監(jiān)黃凱，他提出了IT人必須持有的安全有至少有4點，并詳細分析了第一點“信息安全是一種生產(chǎn)要素[林海娜1]”。本期將深入分析第二點：還未發(fā)生安全事故不等于足夠安全，對此，IP-guard黃凱表示更愿意稱它為一次“安全領(lǐng)域的共同思考”。

在深入闡述觀點之前，黃凱首先講述了一個對他的安全觀念影響很深的一個法則——海因里希法則：

當一個企業(yè)有300個隱患或違章，必然要發(fā)生29起輕傷或故障，在這29起輕傷事故或故障當中，有一起重傷、死亡或重大事故。這個法則是1941年美國的海因里希統(tǒng)計了55萬件機械事故之后，得出的重要數(shù)據(jù)結(jié)論。

對于不同的生產(chǎn)過程，不同類型的事故，上述比例關(guān)系不一定完全相同，黃凱說道，但這個統(tǒng)計規(guī)律說明了在進行同一項活動中，無數(shù)次意外事件，必然導(dǎo)致重大傷亡事故的發(fā)生。此法則適用于包括信息安全在內(nèi)的任何安全領(lǐng)域，要防止重大安全事故的發(fā)生必須減少和消除無傷害事故，要重視事故的苗頭和未遂事故，否則終會釀成大禍。

71年后，我們身邊的世界仍然發(fā)生著眾多讓人震驚的信息泄露事故：2012年考研英語、政治試題大規(guī)模外泄；招行、工行、農(nóng)行三大銀行內(nèi)部人員竊取、販賣客戶信息造成受害人損失3000多萬元；英特爾前員工承認盜竊內(nèi)部價值10億美元機密信息……

IP-guard黃凱還通過列舉2010年度Verizon數(shù)據(jù)調(diào)查報告中的數(shù)據(jù)，更加直觀地印證了大多影響重大的泄密事故在事發(fā)前都有跡可循：

搜集了一些數(shù)據(jù)可能會更加直觀地印證這些泄密事件的源頭，：

·85％的泄露事件并不十分困難的。

·只有4％的數(shù)據(jù)泄露需要困難的、昂貴的自我保護措施才能得以實現(xiàn)。

·高達87％的受害者在他們的日志文件里都有數(shù)據(jù)泄露的證據(jù)，但他們卻錯過了。

·在受害者中，有些是需要遵守PCI-DSS標準的，但79％的受害者在數(shù)據(jù)泄露發(fā)生之前，都沒能實現(xiàn)規(guī)則遵從。如果安全規(guī)則得到遵守，大多數(shù)的數(shù)據(jù)泄露都是可以避免的。

根據(jù)海因里希法則和上面的幾組數(shù)據(jù)，可以看出在企業(yè)安全事故中，那些難度高、概率小、危害大的事故僅占很小的一部分，而那些危害看似不大，難度小的泄密事件則居大頭。為什么會這樣？

IP-guard黃凱表示：“最后一組數(shù)據(jù)已經(jīng)給了我們解釋——不遵守安全規(guī)則�！� 而對于為何制定的安全策略得不到有力執(zhí)行，相信不少人都會有體會，其中一個主要原因便是企業(yè)抱有一種僥幸心理，認為眼下沒有發(fā)生安全事件，或者沒有造成較大危害，就是安全。殊不知表明的風(fēng)平浪靜跟真正的安全根本是兩個概念。作為企業(yè)IT管理人員，尤其是做信息安全管理的人員，要明確的知道：無安全事故不等于足夠的安全。

成于防護，敗于疏漏

“現(xiàn)實生活中，我們經(jīng)常可以看到因為某一方面疏于防護而導(dǎo)致泄密的例子。”IP-guard黃凱舉例道，大家都熟知的維基泄密事件，經(jīng)美國軍方調(diào)查，文件的泄露者是曾在伊拉克服役的美軍情報分析員布拉德利•曼寧，作案工具就是移動存儲設(shè)備。他從軍方網(wǎng)絡(luò)下載大量機密文件，并刻錄在一張標為“Lady Gaga”的CD中，之后他將機密文件傳輸給“維基解密”網(wǎng)站，而導(dǎo)致數(shù)十萬份有關(guān)伊拉克和阿富汗戰(zhàn)爭的軍事文件被公開。

而實際上，如果企業(yè)疏于安全防范而發(fā)生泄密事件，對自身的損失可能更大。LG曾控告前員工偷取和泄露PDP等離子顯示屏的機密技術(shù)并泄密，導(dǎo)致LG電子損失高達14億美元。因此，對企業(yè)來說，看似無關(guān)緊要的漏洞，隨時可以毀滅一切，有時候可能是一個小小的 U盤就毀滅了幾百萬投資的努力，有時候可能是一封郵件導(dǎo)致上億研發(fā)成果被侵占。

因此，安全是成功發(fā)展的穩(wěn)定保障，真正的安全需要大家一起創(chuàng)造，管理層給予安全足夠的重視和投資，IT管理者和普通員工意識到防護的重要性同時嚴格執(zhí)行策略。全民皆兵，進行機密信息防護！

實時備戰(zhàn)，庶可保全

那企業(yè)應(yīng)該采取怎樣的措施以保證信息安全呢？IP-guard黃凱認為，以下2點皆是企業(yè)安全防護之必須。

一、定期評估風(fēng)險，全面警惕。

企業(yè)應(yīng)該定崗、定人、定期對內(nèi)部風(fēng)險進行全面評估，實時掌握潛在風(fēng)險。根據(jù)IT Policy Compliance Group2011調(diào)查，企業(yè)進行風(fēng)險評估的頻率會對企業(yè)的風(fēng)險系數(shù)產(chǎn)生直接影響，風(fēng)險評估較為頻繁的企業(yè)，如每周到每兩個月之間一次，其業(yè)務(wù)風(fēng)險就會較低；而每季度一次或者間隔更長的企業(yè)，面臨的風(fēng)險則相對較高。因此，IP-guard黃凱建議，企業(yè)應(yīng)多進行風(fēng)險評估，降低企業(yè)風(fēng)險系數(shù)，時間間隔一個月內(nèi)為佳。

另外評估的全面性非常重要，許多企業(yè)在評估風(fēng)險時，會人為地設(shè)定某區(qū)域為絕對安全，或者安全與否無所謂，因此留下風(fēng)險評估的盲區(qū)，為企業(yè)的整體安全埋下隱患。在安全問題上，往往是企業(yè)認為“無所謂”的地方，成為入侵者的入口。如果企業(yè)在一處疏忽，則很可能造成整體防護措施的失效，就正如二戰(zhàn)中法國用以防御德意入侵的馬其諾防線，被敵方出其不意，攻其不備，等到想要力挽狂瀾時，只能望洋興嘆了。

　　推薦閱讀

　　30X光變長焦 索尼HX100促銷僅3099元

【陜西行情】 索尼HX100(資料 報價 圖片 論壇)擁有1620萬像素的成像能力，以及30倍光變27mm廣角鏡頭。今天筆者在市場上了解到，商家對索尼HX100最新售價是3099元，喜歡的長焦朋友不妨聯(lián)系商家。 點擊圖片查看索尼HX1>>>詳細閱讀

本文標題：IT人須持有的信息安全觀：無事故不等于安全

地址：http://m.sdlzkt.com/a/kandian/20120502/56472.html

 1/2    1  2 下一頁