在文章开头,先给大家讲个小故事。有一户人家做了新房子,但厨房没有安排好,烧火的土灶烟囱砌得太直,而且土灶旁边堆着一大堆柴草 。一天,这家主人请客,有位客人看到主人家厨房的这些情况,就对主人说:你家的厨房应该整顿一下 。主人问道:为什么呢? 客人说:你家烟囱砌得太直,柴草放得离火太近,你应将烟囱改砌得弯曲一些,柴草也要搬远一些,不然的话,容易发生火灾 。主人听了,笑了笑,不以为然,没放在心上,不久也就把这事忘到脑后去了。后来,这家人家果然失了火,左邻右舍立即赶来,大家一起奋力扑救,大火终于被扑灭,除了将厨房里的东西烧了一小半外,总算没酿成大祸。于是主人宴请四邻,以酬谢他们救火的功劳,但是并没有请当初建议他将木材移走,烟囱改曲的人。有人对主人说:“如果当初听了那位先生的话,今天也不用准备宴席,而且没有火灾的损失,现在论功行赏,原先给你建议的人没有被感恩,而救火的人却是座上客,真是很奇怪的事呢!”主人顿时醒悟。

故事中的新房子主人不听朋友良劝,结果酿成火灾,邻居帮忙帮忙灭了火,他感激不已,却忘了当初提醒他预防火灾的朋友。现实中很多企业做信息安全也有类似的情形,总是忽略事先预防,结果酿成悲剧,才亡羊补牢,但付出的代价比当初预防所需的要多得多。对于企业信息安全建设来说,预防比事后补救效果更显著,所需的成本也更少。
防与救的博弈
既然是预防,必是处于危机的萌芽阶段,因此控制难度小,花费较低。而等到小问题堆积、发酵、直至爆发的时候,其控制难度已增长无数倍,势不能挡。从导致的后果来看,首先,造成的损失已无法挽回,泄露出去的信息就如泼出去的水,正所谓覆水收回。英特尔前员工将商业机密泄露给竞争对手ARM,造成损失近10亿美元。据统计美国因信息泄露造成的商业损失高达每年1000亿美元,名列《财富》(Fortune)全球1000强的大公司,平均每年因信息泄露导致的损失总数高达450亿美元。
其次,为了尽量降低负面影响,企业必然会尽力弥补,也就不得不再次投入大量人力物力。20世纪80年代爆发的储蓄贷款危机给美国银行业造成了巨大损失,直接导致1300多家商业银行和1400多家储贷协会破产,约占美国同期商业银行和储贷协会总数的14%。同时,为应对危机,美国政府付出了高昂的救助成本,累计支出1800多亿美元用于清理破产机构。
除此之外,信息安全事件会降低品牌信用度,导致企业产生无法算计的损失。信息泄露会使用户对企业保护消费者利益的能力产生怀疑,进而选择改门换户,或者暂时调整消费模式。以购物而言,A商城账号泄漏,就换到B商城,还是不行,就会选择实体店,直至品牌信任度恢复到原来的水平。
第二点,事前预防,先发制人,主动性强,事后补救则被动得多。在占据主动的情势下,企业可以更从容、更全面、更深入地思考面临的问题。相反如果在事故突发,人心慌乱的情况下,企业极有可能囿于对危机的焦虑之中,无法全身事外,冷静地分析全局,结果错上加错,使局面愈加恶化。信息安全防护是一种战争---网络战争,无论是国家还是企业,都已经身处于这场无硝烟的战争之中,中国人常说“不打无准备之仗”,凡事豫则立,不豫则废。
防之道
如何才能做到防范有道,我相信这是困惑许多企业的问题,在这里我结合自己在过去十多年参与的信息安全项目经验,简单谈谈。要做到防范有道,最重要的就是要对企业进行全面的风险评估,只有清楚地了解问题,才能有的放矢地解决问题。
评估需要通过三大过程。
第一,通过内部问卷调研、人员访谈等方式,了解清楚企业各部门资产的情况,哪些资产是真正需要保护的。
第二,识别这些关键信息所面临的威胁,并检查信息系统的脆弱性,并确定系统抵抗威胁的能力。如果将信息比作一个人,那威胁就是他的敌人,而脆弱性则是到他的缺陷,如无力的拳头等。
第三,评估风险发生的可能性和所产生的影响,还是以人为例,可能性就是被敌人伤害到的机率,产生的影响是说如果被敌人伤到,会带来多大的后果。
评估之后接着是确定风险处理措施。根据不同部门的涉密程度以及所面临的风险级别,部署轻重有别的防护系统。需要强调的一点是,切忌选择性地忽视某些区域。目前虽然国内企业信息防泄露技术的发展已经日臻成熟,但还有不少企业的防泄露措施依然只集中于所谓的核心部门。但实际上非核心部门也可能接触到机密信息,如果缺乏有效的管控措施,信息很可能就无声无息的流失了。
无论是成本,还是从安全的角度看,提前预防都赋予了企业更多的时间与更从容的姿势去应对问题。套用一句俗语,胜利永远是留给有准备的人,希望企业在信息安全方面越做越好。

转载于:https://blog.51cto.com/techk/880731

安全观之我见(三):省银之道在预防相关推荐

  1. 科技论文新在哪里?-如何写好科技论文之我见(三)

    科技论文新在哪里? -----如何写好科技论文之我见(三) 闵应骅 全世界在计算机.通信.电力.电机等方面前10名的杂志有60-90%是IEEE出版的.可见,一般来说,IEEE杂志上发表的文章水平是比 ...

  2. 三个不等_2道真题,讲透「基本不等式」的使用原则 | 真题精讲-11

    「不等式」和「最值」之间有着非常天然的强联系:基本不等式有3个非常明显的形式特征:知识点的用法比知识点本身更重要. 先发福利:这里有6场「高考数学」系列Live的讲义,全拿去,送给你--<高考数 ...

  3. 三万字、91道MySQL面试题(收藏版)

    数据库基础知识 1. 为什么要使用数据库 数据保存在内存 优点:存取速度快 缺点:数据不能永久保存 数据保存在文件 优点:数据永久保存 缺点:1)速度比内存操作慢,频繁的IO操作.2)查询数据不方便 ...

  4. 回忆录之初试三顾冒菜道

    3月25号晚上8点的飞机,从广东沿海地区出发,飞往魅力的四川成都.飞机上常遇上不稳定气流,不过一路平安到达10点多,在飞机上我爱上四川的西昌的苦荞茶. 成都机场很大,走了很久才走出来,等了一会才见到来 ...

  5. Android开发——手把手写APP(三)调用有道词典翻译API实现的翻译APP(详细备注解读)

    运行效果图 有道翻译的API http://fanyi.youdao.com/openapi.do?keyfrom=lewe518&key=70654389&type=data& ...

  6. 三分钟记住20道性能测试经典面试题

    1.什么是性能测试? 测试系统有没有性能问题 考虑时间,空间 服务端资源是否足够 响应时间是否超时 系统是否足够稳定 2.性能测试的应用领域有哪些? 能力验证:乙方向甲方交付项目时,声明项目的性能数据 ...

  7. 安全观之我见(二):无事不与安全同

    当一个企业有300个隐患或违章,必然要发生29起轻伤或故障,在这29起轻伤事故或故障当中,有一起重伤.死亡或重大事故.--海因里希法则 1941年美国的海因里西统计了55万件机械事故,其中死亡.重伤事 ...

  8. 2015生命之旅---第三站象山之行

    这次让大家等久了,上月底在朋友的鼓动下我又重拾开发了,在一家电梯公司做IT部经理,所以这段时间比较忙,在这家公司做事感觉有点力不从心了,但我相信慢慢会好起来的(毕竟快两年没碰过程序开发了).好了不闲扯 ...

  9. 招银科技在线笔试(2018.3.12)

    招银科技在线笔试分为两部分: 第一部分(专业技能/120min): 一.选择题30道: 主要包含计算机网络,代码阅读(C++和Java),Sql语句阅读和一道数字推理. 如:SRAM和DRAM,C结构 ...

最新文章

  1. 深入理解虚拟机之虚拟机字节码执行引擎
  2. Ubuntu 安装JDK8
  3. Oracle学习计划
  4. 廉价公开课 | 快到没朋友?程序员必会的yolo模型(附福利)
  5. 七、Python第七课——有关列表的二三事(切片、切片的遍历和复制)
  6. 前端笔记-Vue框架的基本认识
  7. 54. 二叉搜索树的第k大节点
  8. zookeeper的集群配置
  9. 【Okio】Okio 简单入门
  10. OpenCV中神经网络的应用
  11. 量化投资与信用风险机器学习建模
  12. ol xyz 加载天地图_OpenLayers 3 之 加载天地图
  13. 初识Postman工具
  14. TRACERT-NBTSTAT-AT-NETSH 命令及用法
  15. 关于GDPR,你需要了解的的5件事
  16. [Ubuntu 16.04] [Memos] install samba
  17. 日历插件(项目总结)(包括mobiscroll.js LCalendar 和Calendar这三个日历插件)
  18. 如果同步块内的线程抛出异常会发生什么?
  19. layui标签页切换并自动刷新
  20. cpu负载过高产生的原因及排查

热门文章

  1. energy计算机电脑,energy management
  2. elasticsearch最大节点数_ElasticSearch这些概念要明白
  3. 2020年下半年信息系统项目管理师章节占分比
  4. 《系统集成项目管理工程师》必背100个知识点-18项目管理计划的ITTO
  5. 2016年8月份学习总结,读书《书都不会读,你还想成功》
  6. 笔记-项目进度管理-精简
  7. Oracle11g服务详细介绍及哪些服务是必须开启的?
  8. SqlServer2014怎样还原数据库
  9. Eclipse中实现SpringBoot与Mybatis整合(图文教程带源码)
  10. Vue精确到小数点后两位