成功人士之所以成功，關(guān)鍵之一在于其擁有正確的價值觀和信念，眼界決定世界。信息安全工作也是如此，安全人員所持有的觀念將影響實際的防護效果。上期，IP-guard產(chǎn)品總監(jiān)黃凱提出了IT人必須持有的安全有至少有4點，并詳細分析了第一點“信息安全是一種生產(chǎn)要素”。本期將深入分析第二點：還未發(fā)生安全事故不等于足夠安全，對此，IP-guard黃凱表示更愿意稱它為一次“安全領(lǐng)域的共同思考”。

在深入闡述觀點之前，黃凱首先講述了一個對他的安全觀念影響很深的一個法則——海因里希法則：

當一個企業(yè)有300個隱患或違章，必然要發(fā)生29起輕傷或故障，在這29起輕傷事故或故障當中，有一起重傷、死亡或重大事故。這個法則是1941年美國的海因里希統(tǒng)計了55萬件機械事故之后，得出的重要數(shù)據(jù)結(jié)論。

對于不同的生產(chǎn)過程，不同類型的事故，上述比例關(guān)系不一定完全相同，黃凱說道，但這個統(tǒng)計規(guī)律說明了在進行同一項活動中，無數(shù)次意外事件，必然導致重大傷亡事故的發(fā)生。此法則適用于包括信息安全在內(nèi)的任何安全領(lǐng)域，要防止重大安全事故的發(fā)生必須減少和消除無傷害事故，要重視事故的苗頭和未遂事故，否則終會釀成大禍。

71年后，我們身邊的世界仍然發(fā)生著眾多讓人震驚的信息泄露事故：2012年考研英語、政治試題大規(guī)模外泄;招行、工行、農(nóng)行三大銀行內(nèi)部人員竊取、販賣客戶信息造成受害人損失3000多萬元;英特爾前員工承認盜竊內(nèi)部價值10億美元機密信息……

IP-guard黃凱還通過列舉2010年度Verizon數(shù)據(jù)調(diào)查報告中的數(shù)據(jù)，更加直觀地印證了大多影響重大的泄密事故在事發(fā)前都有跡可循：

搜集了一些數(shù)據(jù)可能會更加直觀地印證這些泄密事件的源頭，：

1.85%的泄露事件并不十分困難的。

2.只有4%的數(shù)據(jù)泄露需要困難的、昂貴的自我保護措施才能得以實現(xiàn)。

3.高達87%的受害者在他們的日志文件里都有數(shù)據(jù)泄露的證據(jù)，但他們卻錯過了。

4.在受害者中，有些是需要遵守PCI-DSS標準的，但79%的受害者在數(shù)據(jù)泄露發(fā)生之前，都沒能實現(xiàn)規(guī)則遵從。如果安全規(guī)則得到遵守，大多數(shù)的數(shù)據(jù)泄露都是可以避免的。

根據(jù)海因里希法則和上面的幾組數(shù)據(jù)，可以看出在企業(yè)安全事故中，那些難度高、概率小、危害大的事故僅占很小的一部分，而那些危害看似不大，難度小的泄密事件則居大頭。為什么會這樣?

IP-guard黃凱表示：“最后一組數(shù)據(jù)已經(jīng)給了我們解釋——不遵守安全規(guī)則。” 而對于為何制定的安全策略得不到有力執(zhí)行，相信不少人都會有體會，其中一個主要原因便是企業(yè)抱有一種僥幸心理，認為眼下沒有發(fā)生安全事件，或者沒有造成較大危害，就是安全。殊不知表明的風平浪靜跟真正的安全根本是兩個概念。作為企業(yè)IT管理人員，尤其是做信息安全管理的人員，要明確的知道：無安全事故不等于足夠的安全。

成于防護，敗于疏漏

“現(xiàn)實生活中，我們經(jīng)?？梢钥吹揭驗槟骋环矫媸栌诜雷o而導致泄密的例子。”IP-guard黃凱舉例道，大家都熟知的維基泄密事件，經(jīng)美國軍方調(diào)查，文件的泄露者是曾在伊拉克服役的美軍情報分析員布拉德利•曼寧，作案工具就是移動存儲設備。他從軍方網(wǎng)絡下載大量機密文件，并刻錄在一張標為“Lady Gaga”的CD中，之后他將機密文件傳輸給“維基解密”網(wǎng)站，而導致數(shù)十萬份有關(guān)伊拉克和阿富汗戰(zhàn)爭的軍事文件被公開。

而實際上，如果企業(yè)疏于安全防范而發(fā)生泄密事件，對自身的損失可能更大。LG曾控告前員工偷取和泄露PDP等離子顯示屏的機密技術(shù)并泄密，導致LG電子損失高達14億美元。因此，對企業(yè)來說，看似無關(guān)緊要的漏洞，隨時可以毀滅一切，有時候可能是一個小小的 U盤就毀滅了幾百萬投資的努力，有時候可能是一封郵件導致上億研發(fā)成果被侵占。

因此，安全是成功發(fā)展的穩(wěn)定保障，真正的安全需要大家一起創(chuàng)造，管理層給予安全足夠的重視和投資，IT管理者和普通員工意識到防護的重要性同時嚴格執(zhí)行策略。全民皆兵，進行機密信息防護!

實時備戰(zhàn)，庶可保全

那企業(yè)應該采取怎樣的措施以保證信息安全呢?IP-guard黃凱認為，以下2點皆是企業(yè)安全防護之必須。

一、定期評估風險，全面警惕。

企業(yè)應該定崗、定人、定期對內(nèi)部風險進行全面評估，實時掌握潛在風險。根據(jù)IT Policy Compliance Group2011調(diào)查，企業(yè)進行風險評估的頻率會對企業(yè)的風險系數(shù)產(chǎn)生直接影響，風險評估較為頻繁的企業(yè)，如每周到每兩個月之間一次，其業(yè)務風險就會較低;而每季度一次或者間隔更長的企業(yè)，面臨的風險則相對較高。因此，IP-guard黃凱建議，企業(yè)應多進行風險評估，降低企業(yè)風險系數(shù)，時間間隔一個月內(nèi)為佳。

另外評估的全面性非常重要，許多企業(yè)在評估風險時，會人為地設定某區(qū)域為絕對安全，或者安全與否無所謂，因此留下風險評估的盲區(qū)，為企業(yè)的整體安全埋下隱患。在安全問題上，往往是企業(yè)認為“無所謂”的地方，成為入侵者的入口。如果企業(yè)在一處疏忽，則很可能造成整體防護措施的失效，就正如二戰(zhàn)中法國用以防御德意入侵的馬其諾防線，被敵方出其不意，攻其不備，等到想要力挽狂瀾時，只能望洋興嘆了。

二、加強防護措施，確保防御系統(tǒng)持續(xù)有效。

在風險評估后，企業(yè)要根據(jù)評估結(jié)果，部署防護措施，不能因為某部分風險程度相對較低，便置之不理，讓其暴露在空白防護狀態(tài)。信息安全，就如買保險，無事故發(fā)生之時，我們看不到保險的作用，事故發(fā)生之后才明白預先防護的重要性。“養(yǎng)兵千日，用在一時”，防護措施的作用不在于時刻都在防御攻擊，而在于當攻擊來臨之時，它也能從容應對。

企業(yè)進行信息安全防護切不可安于目前無事的現(xiàn)狀，莫以概率低而忽視安全防護，因為安全隱患隨時可能被引爆，謹小慎微，及時做好防御工作才能保證信息安全。最后，IP-guard黃凱笑言：“好的IT管理人員，應該像棋手一樣思考，能夠全盤分析自己的風險，預計對手后幾步的走法，并依此來策劃自己的勝利路線，這樣才能在信息安全的博弈中，立于不敗之地。”