IT人须持有的信息安全观(二)

安全
上一期,IP-guard产品总监黄凯提出了IT人必须持有的安全有至少有4点,并详细分析了第一点“信息安全是一种生产要素”。本期将深入分析第二点:还未发生安全事故不等于足够安全,对此,IP-guard黄凯表示更愿意称它为一次“安全领域的共同思考”。

成功人士之所以成功,关键之一在于其拥有正确的价值观和信念,眼界决定世界。信息安全工作也是如此,安全人员所持有的观念将影响实际的防护效果。上期,IP-guard产品总监黄凯提出了IT人必须持有的安全有至少有4点,并详细分析了第一点“信息安全是一种生产要素”。本期将深入分析第二点:还未发生安全事故不等于足够安全,对此,IP-guard黄凯表示更愿意称它为一次“安全领域的共同思考”。

在深入阐述观点之前,黄凯首先讲述了一个对他的安全观念影响很深的一个法则——海因里希法则:

当一个企业有300个隐患或违章,必然要发生29起轻伤或故障,在这29起轻伤事故或故障当中,有一起重伤、死亡或重大事故。这个法则是1941年美国的海因里希统计了55万件机械事故之后,得出的重要数据结论。

对于不同的生产过程,不同类型的事故,上述比例关系不一定完全相同,黄凯说道,但这个统计规律说明了在进行同一项活动中,无数次意外事件,必然导致重大伤亡事故的发生。此法则适用于包括信息安全在内的任何安全领域,要防止重大安全事故的发生必须减少和消除无伤害事故,要重视事故的苗头和未遂事故,否则终会酿成大祸。

71年后,我们身边的世界仍然发生着众多让人震惊的信息泄露事故:2012年考研英语、政治试题大规模外泄;招行、工行、农行三大银行内部人员窃取、贩卖客户信息造成受害人损失3000多万元;英特尔前员工承认盗窃内部价值10亿美元机密信息……

IP-guard黄凯还通过列举2010年度Verizon数据调查报告中的数据,更加直观地印证了大多影响重大的泄密事故在事发前都有迹可循:

搜集了一些数据可能会更加直观地印证这些泄密事件的源头,:

1.85%的泄露事件并不十分困难的。

2.只有4%的数据泄露需要困难的、昂贵的自我保护措施才能得以实现。

3.高达87%的受害者在他们的日志文件里都有数据泄露的证据,但他们却错过了。

4.在受害者中,有些是需要遵守PCI-DSS标准的,但79%的受害者在数据泄露发生之前,都没能实现规则遵从。如果安全规则得到遵守,大多数的数据泄露都是可以避免的。

根据海因里希法则和上面的几组数据,可以看出在企业安全事故中,那些难度高、概率小、危害大的事故仅占很小的一部分,而那些危害看似不大,难度小的泄密事件则居大头。为什么会这样?

IP-guard黄凯表示:“最后一组数据已经给了我们解释——不遵守安全规则。” 而对于为何制定的安全策略得不到有力执行,相信不少人都会有体会,其中一个主要原因便是企业抱有一种侥幸心理,认为眼下没有发生安全事件,或者没有造成较大危害,就是安全。殊不知表明的风平浪静跟真正的安全根本是两个概念。作为企业IT管理人员,尤其是做信息安全管理的人员,要明确的知道:无安全事故不等于足够的安全。

成于防护,败于疏漏

“现实生活中,我们经常可以看到因为某一方面疏于防护而导致泄密的例子。”IP-guard黄凯举例道,大家都熟知的维基泄密事件,经美国军方调查,文件的泄露者是曾在伊拉克服役的美军情报分析员布拉德利•曼宁,作案工具就是移动存储设备。他从军方网络下载大量机密文件,并刻录在一张标为“Lady Gaga”的CD中,之后他将机密文件传输给“维基解密”网站,而导致数十万份有关伊拉克和阿富汗战争的军事文件被公开。

而实际上,如果企业疏于安全防范而发生泄密事件,对自身的损失可能更大。LG曾控告前员工偷取和泄露PDP等离子显示屏的机密技术并泄密,导致LG电子损失高达14亿美元。因此,对企业来说,看似无关紧要的漏洞,随时可以毁灭一切,有时候可能是一个小小的 U盘就毁灭了几百万投资的努力,有时候可能是一封邮件导致上亿研发成果被侵占。

因此,安全是成功发展的稳定保障,真正的安全需要大家一起创造,管理层给予安全足够的重视和投资,IT管理者和普通员工意识到防护的重要性同时严格执行策略。全民皆兵,进行机密信息防护!

实时备战,庶可保全

那企业应该采取怎样的措施以保证信息安全呢?IP-guard黄凯认为,以下2点皆是企业安全防护之必须。

一、定期评估风险,全面警惕。

企业应该定岗、定人、定期对内部风险进行全面评估,实时掌握潜在风险。根据IT Policy Compliance Group2011调查,企业进行风险评估的频率会对企业的风险系数产生直接影响,风险评估较为频繁的企业,如每周到每两个月之间一次,其业务风险就会较低;而每季度一次或者间隔更长的企业,面临的风险则相对较高。因此,IP-guard黄凯建议,企业应多进行风险评估,降低企业风险系数,时间间隔一个月内为佳。

另外评估的全面性非常重要,许多企业在评估风险时,会人为地设定某区域为绝对安全,或者安全与否无所谓,因此留下风险评估的盲区,为企业的整体安全埋下隐患。在安全问题上,往往是企业认为“无所谓”的地方,成为入侵者的入口。如果企业在一处疏忽,则很可能造成整体防护措施的失效,就正如二战中法国用以防御德意入侵的马其诺防线,被敌方出其不意,攻其不备,等到想要力挽狂澜时,只能望洋兴叹了。

二、加强防护措施,确保防御系统持续有效。

在风险评估后,企业要根据评估结果,部署防护措施,不能因为某部分风险程度相对较低,便置之不理,让其暴露在空白防护状态。信息安全,就如买保险,无事故发生之时,我们看不到保险的作用,事故发生之后才明白预先防护的重要性。“养兵千日,用在一时”,防护措施的作用不在于时刻都在防御攻击,而在于当攻击来临之时,它也能从容应对。

企业进行信息安全防护切不可安于目前无事的现状,莫以概率低而忽视安全防护,因为安全隐患随时可能被引爆,谨小慎微,及时做好防御工作才能保证信息安全。最后,IP-guard黄凯笑言:“好的IT管理人员,应该像棋手一样思考,能够全盘分析自己的风险,预计对手后几步的走法,并依此来策划自己的胜利路线,这样才能在信息安全的博弈中,立于不败之地。”

责任编辑:Oo小孩儿 来源: ZDNet
相关推荐

2012-04-25 15:08:59

信息安全信息防泄露

2012-05-28 10:10:18

IP-guard信息安全安全观

2012-06-06 09:45:13

信息安全安全观IP-guard

2020-11-02 15:30:04

原生安全

2016-11-13 23:11:15

2021-09-01 13:51:06

网络安全法基础设施安全网络安全

2020-11-04 09:50:34

网络安全网络安全技术周刊

2010-12-21 15:32:40

2009-05-26 15:18:45

2021-12-23 13:50:33

数据安全

2021-01-20 16:53:22

AI

2015-11-03 09:51:58

OpenStackAPI应用程序开发

2022-05-09 16:16:23

数据工业制造

2021-07-15 13:17:37

邮件安全网络钓鱼电子邮件

2018-06-14 16:41:40

2011-12-06 10:08:37

2023-04-06 10:41:30

首席信息官IT领导者

2021-03-31 08:34:52

安全扫描网络安全网络攻击

2012-06-15 09:15:08

2018-02-12 09:16:05

点赞
收藏

51CTO技术栈公众号