上一期,我們就IT人應持有的安全觀這一話題采訪了國內著名信息安全專家,曾主導豐益集團(金龍魚)、奔馳汽車等國際知名企業信息防泄密體系建設等項目的IP-guard產品總監黃凱,他提出了IT人必須持有的安全有至少有4點,并詳細分析了第一點“信息安全是一種生產要素[林海娜1]”。本期將深入分析第二點:還未發生安全事故不等于足夠安全,對此,IP-guard黃凱表示更愿意稱它為一次“安全領域的共同思考”。
在深入闡述觀點之前,黃凱首先講述了一個對他的安全觀念影響很深的一個法則——海因里希法則:
當一個企業有300個隱患或違章,必然要發生29起輕傷或故障,在這29起輕傷事故或故障當中,有一起重傷、死亡或重大事故。這個法則是1941年美國的海因里希統計了55萬件機械事故之后,得出的重要數據結論。
對于不同的生產過程,不同類型的事故,上述比例關系不一定完全相同,黃凱說道,但這個統計規律說明了在進行同一項活動中,無數次意外事件,必然導致重大傷亡事故的發生。此法則適用于包括信息安全在內的任何安全領域,要防止重大安全事故的發生必須減少和消除無傷害事故,要重視事故的苗頭和未遂事故,否則終會釀成大禍。
71年后,我們身邊的世界仍然發生著眾多讓人震驚的信息泄露事故:2012年考研英語、政治試題大規模外泄;招行、工行、農行三大銀行內部人員竊取、販賣客戶信息造成受害人損失3000多萬元;英特爾前員工承認盜竊內部價值10億美元機密信息……
IP-guard黃凱還通過列舉2010年度Verizon數據調查報告中的數據,更加直觀地印證了大多影響重大的泄密事故在事發前都有跡可循:
搜集了一些數據可能會更加直觀地印證這些泄密事件的源頭,:
·85%的泄露事件并不十分困難的。
·只有4%的數據泄露需要困難的、昂貴的自我保護措施才能得以實現。
·高達87%的受害者在他們的日志文件里都有數據泄露的證據,但他們卻錯過了。
·在受害者中,有些是需要遵守PCI-DSS標準的,但79%的受害者在數據泄露發生之前,都沒能實現規則遵從。如果安全規則得到遵守,大多數的數據泄露都是可以避免的。
根據海因里希法則和上面的幾組數據,可以看出在企業安全事故中,那些難度高、概率小、危害大的事故僅占很小的一部分,而那些危害看似不大,難度小的泄密事件則居大頭。為什么會這樣?
IP-guard黃凱表示:“最后一組數據已經給了我們解釋——不遵守安全規則。” 而對于為何制定的安全策略得不到有力執行,相信不少人都會有體會,其中一個主要原因便是企業抱有一種僥幸心理,認為眼下沒有發生安全事件,或者沒有造成較大危害,就是安全。殊不知表明的風平浪靜跟真正的安全根本是兩個概念。作為企業IT管理人員,尤其是做信息安全管理的人員,要明確的知道:無安全事故不等于足夠的安全。
成于防護,敗于疏漏
“現實生活中,我們經常可以看到因為某一方面疏于防護而導致泄密的例子。”IP-guard黃凱舉例道,大家都熟知的維基泄密事件,經美國軍方調查,文件的泄露者是曾在伊拉克服役的美軍情報分析員布拉德利•曼寧,作案工具就是移動存儲設備。他從軍方網絡下載大量機密文件,并刻錄在一張標為“Lady Gaga”的CD中,之后他將機密文件傳輸給“維基解密”網站,而導致數十萬份有關伊拉克和阿富汗戰爭的軍事文件被公開。
而實際上,如果企業疏于安全防范而發生泄密事件,對自身的損失可能更大。LG曾控告前員工偷取和泄露PDP等離子顯示屏的機密技術并泄密,導致LG電子損失高達14億美元。因此,對企業來說,看似無關緊要的漏洞,隨時可以毀滅一切,有時候可能是一個小小的 U盤就毀滅了幾百萬投資的努力,有時候可能是一封郵件導致上億研發成果被侵占。
因此,安全是成功發展的穩定保障,真正的安全需要大家一起創造,管理層給予安全足夠的重視和投資,IT管理者和普通員工意識到防護的重要性同時嚴格執行策略。全民皆兵,進行機密信息防護!
實時備戰,庶可保全
那企業應該采取怎樣的措施以保證信息安全呢?IP-guard黃凱認為,以下2點皆是企業安全防護之必須。
一、定期評估風險,全面警惕。
企業應該定崗、定人、定期對內部風險進行全面評估,實時掌握潛在風險。根據IT Policy Compliance Group2011調查,企業進行風險評估的頻率會對企業的風險系數產生直接影響,風險評估較為頻繁的企業,如每周到每兩個月之間一次,其業務風險就會較低;而每季度一次或者間隔更長的企業,面臨的風險則相對較高。因此,IP-guard黃凱建議,企業應多進行風險評估,降低企業風險系數,時間間隔一個月內為佳。
另外評估的全面性非常重要,許多企業在評估風險時,會人為地設定某區域為絕對安全,或者安全與否無所謂,因此留下風險評估的盲區,為企業的整體安全埋下隱患。在安全問題上,往往是企業認為“無所謂”的地方,成為入侵者的入口。如果企業在一處疏忽,則很可能造成整體防護措施的失效,就正如二戰中法國用以防御德意入侵的馬其諾防線,被敵方出其不意,攻其不備,等到想要力挽狂瀾時,只能望洋興嘆了。 推薦閱讀 【陜西行情】 索尼HX100(資料 報價 圖片 論壇)擁有1620萬像素的成像能力,以及30倍光變27mm廣角鏡頭。今天筆者在市場上了解到,商家對索尼HX100最新售價是3099元,喜歡的長焦朋友不妨聯系商家。 點擊圖片查看索尼HX1>>>詳細閱讀 地址:http://www.brh9h.cn/a/kandian/20120502/56472.html
網友點評
精彩導讀
科技快報
品牌展示