在前面两期中,信息安全专家,IP-guard产品总监黄凯向我们阐述了他提出的IT人必须持有的四点安全观中的两点“信息安全是一种生产要素”和“无安全事故不等于足够安全”。那么本期IP-guard黄凯将继续分析安全观第三点——预防比补救更省成本。
为了更生动地描述要表达的观点,黄凯首先引用了大家熟知的“曲突徙薪”故事。有一户人家做了新房子,但厨房没有安排好,烧火的土灶烟囱砌得太直,而且土灶旁边堆着一大堆柴草 。朋友劝他将烟囱改砌得弯曲一些,柴草也要搬远一些,不然的话,容易发生火灾 。主人不以为然,后来,这家人家果然失了火,幸亏邻居帮忙将火扑灭,除了将厨房里的东西烧了一小半外,总算没酿成大祸。
故事中的新房子主人,不听朋友劝告,明知有危险,却不懂得防患于未然,结果酿成恶果。房子主人若是预先采取防范措施,只是弯烟囱移柴草,而发生火灾后却导致一小半厨房被毁坏。黄凯说:“从成本的角度看,后者明显比前者代价大。其实做信息安全亦如此,事前预防相对事后补救,更省成本。”对此观点,他进行了详细分析。
“预防”的财道
“第一点,事前预防,处于问题或危机的萌芽阶段,控制难度小,因此花费低。如果等到事故发生后再去补救,成本将会大大增加。
黄凯分析到,由于事故造成的损失已经无法挽回,泄露出去的信息就如泼出去的水,势难收回。英特尔前员工将商业机密泄露给竞争对手 ARM,造成损失近10亿美元。除了金钱上的损失外,事后弥补也无法挽回消费者对品牌的信用度。为此,IP-guard黄凯列举了如京东商城、当当网等被曝用户信息泄露之后,大量的用户转投亚马逊等竞争对手, CSDN用户信息泄露事件导致大量用户对这一技术网站失去信心等例子。
同时,在尽力阻止事态扩大的过程中,为了尽量降低负面影响,企业必然会尽力进行各种弥补措施。20世纪80年代爆发的储蓄贷款危机给美国银行业造成了巨大损失,直接导致1300多家商业银行和1400多家储贷协会破产,约占美国同期商业银行和储贷协会总数的14%。同时,为应对危机,美国政府付出了高昂的救助成本,累计支出1800多亿美元用于清理破产机构。
第二点,事前预防,采用的是先发制人的策略,主动性强,而事后补救则被动得多。在占据主动的情势下,企业可以更从容、更全面、更深入地思考面临的问题。相反如果在事故突发,人心慌乱的情况下,企业极有可能囿于对危机的焦虑之中,无法冷静地分析全局,结果错上加错,使局面愈加恶化。“信息安全防护是一种战争——网络战争,无论是国家还是企业,都已经身处于这场无硝烟的战争之中,中国人常说“不打无准备之仗”,凡事豫则立,不豫则废,”IP-guard 黄凯强调道。
预防有道
那么如何做好充分的准备呢?黄凯认为,最重要的就是要对企业进行全面的风险评估,只有清楚地了解问题,才能有的放矢地解决问题。
评估需要通过三大过程。第一,通过内部问卷调研、人员访谈等方式,了解清楚企业各部门资产的情况,各级别人员关心的范围,从而确定关键信息资产以及安全需求。第二,识别这些关键信息所面临的威胁,并建立威胁和系统脆弱性列表,进行详细的对比,评估系统脆弱性即防范威胁的能力。第三,在脆弱性存在的前提下,评估风险发生的可能性和所产生的影响,从而确定风险的级别。
评估之后,则确定风险处理措施。根据不同部门的涉密程度以及所面临的风险级别,部署轻重有别的防护系统。对此,黄凯强调到,切忌选择性地忽视某些区域。虽然国内企业信息防泄露技术的发展已经日臻成熟,但还有不少企业的防泄露措施依然只集中于重点部门。非重点部门也可能接触到机密信息,如果缺乏有效的管控措施,信息很可能就无声无息的流出企业。
在采访的最后,黄凯总结道,做信息安全,无论是从成本,还是安全的角度看,提前预防都赋予了企业更多的时间与更从容的姿势去应对,有准备永远是胜利的关键。