上一期,我們就IT人應(yīng)持有的安全觀這一話題采訪了國(guó)內(nèi)著名信息安全專家,曾主導(dǎo)豐益集團(tuán)(金龍魚(yú))、奔馳汽車(chē)等國(guó)際知名企業(yè)信息防泄密體系建設(shè)等項(xiàng)目的IP-guard產(chǎn)品總監(jiān)黃凱,他提出了IT人必須持有的安全有至少有4點(diǎn),并詳細(xì)分析了第一點(diǎn)“信息安全是一種生產(chǎn)要素[林海娜1]”。本期將深入分析第二點(diǎn):還未發(fā)生安全事故不等于足夠安全,對(duì)此,IP-guard黃凱表示更愿意稱它為一次“安全領(lǐng)域的共同思考”。
在深入闡述觀點(diǎn)之前,黃凱首先講述了一個(gè)對(duì)他的安全觀念影響很深的一個(gè)法則——海因里希法則:
當(dāng)一個(gè)企業(yè)有300個(gè)隱患或違章,必然要發(fā)生29起輕傷或故障,在這29起輕傷事故或故障當(dāng)中,有一起重傷、死亡或重大事故。這個(gè)法則是1941年美國(guó)的海因里希統(tǒng)計(jì)了55萬(wàn)件機(jī)械事故之后,得出的重要數(shù)據(jù)結(jié)論。
對(duì)于不同的生產(chǎn)過(guò)程,不同類(lèi)型的事故,上述比例關(guān)系不一定完全相同,黃凱說(shuō)道,但這個(gè)統(tǒng)計(jì)規(guī)律說(shuō)明了在進(jìn)行同一項(xiàng)活動(dòng)中,無(wú)數(shù)次意外事件,必然導(dǎo)致重大傷亡事故的發(fā)生。此法則適用于包括信息安全在內(nèi)的任何安全領(lǐng)域,要防止重大安全事故的發(fā)生必須減少和消除無(wú)傷害事故,要重視事故的苗頭和未遂事故,否則終會(huì)釀成大禍。
71年后,我們身邊的世界仍然發(fā)生著眾多讓人震驚的信息泄露事故:2012年考研英語(yǔ)、政治試題大規(guī)模外泄;招行、工行、農(nóng)行三大銀行內(nèi)部人員竊取、販賣(mài)客戶信息造成受害人損失3000多萬(wàn)元;英特爾前員工承認(rèn)盜竊內(nèi)部?jī)r(jià)值10億美元機(jī)密信息……
IP-guard黃凱還通過(guò)列舉2010年度Verizon數(shù)據(jù)調(diào)查報(bào)告中的數(shù)據(jù),更加直觀地印證了大多影響重大的泄密事故在事發(fā)前都有跡可循:
搜集了一些數(shù)據(jù)可能會(huì)更加直觀地印證這些泄密事件的源頭,:
·85%的泄露事件并不十分困難的。
·只有4%的數(shù)據(jù)泄露需要困難的、昂貴的自我保護(hù)措施才能得以實(shí)現(xiàn)。
·高達(dá)87%的受害者在他們的日志文件里都有數(shù)據(jù)泄露的證據(jù),但他們卻錯(cuò)過(guò)了。
·在受害者中,有些是需要遵守PCI-DSS標(biāo)準(zhǔn)的,但79%的受害者在數(shù)據(jù)泄露發(fā)生之前,都沒(méi)能實(shí)現(xiàn)規(guī)則遵從。如果安全規(guī)則得到遵守,大多數(shù)的數(shù)據(jù)泄露都是可以避免的。
根據(jù)海因里希法則和上面的幾組數(shù)據(jù),可以看出在企業(yè)安全事故中,那些難度高、概率小、危害大的事故僅占很小的一部分,而那些危害看似不大,難度小的泄密事件則居大頭。為什么會(huì)這樣?
IP-guard黃凱表示:“最后一組數(shù)據(jù)已經(jīng)給了我們解釋——不遵守安全規(guī)則。” 而對(duì)于為何制定的安全策略得不到有力執(zhí)行,相信不少人都會(huì)有體會(huì),其中一個(gè)主要原因便是企業(yè)抱有一種僥幸心理,認(rèn)為眼下沒(méi)有發(fā)生安全事件,或者沒(méi)有造成較大危害,就是安全。殊不知表明的風(fēng)平浪靜跟真正的安全根本是兩個(gè)概念。作為企業(yè)IT管理人員,尤其是做信息安全管理的人員,要明確的知道:無(wú)安全事故不等于足夠的安全。
成于防護(hù),敗于疏漏
“現(xiàn)實(shí)生活中,我們經(jīng)常可以看到因?yàn)槟骋环矫媸栌诜雷o(hù)而導(dǎo)致泄密的例子。”IP-guard黃凱舉例道,大家都熟知的維基泄密事件,經(jīng)美國(guó)軍方調(diào)查,文件的泄露者是曾在伊拉克服役的美軍情報(bào)分析員布拉德利•曼寧,作案工具就是移動(dòng)存儲(chǔ)設(shè)備。他從軍方網(wǎng)絡(luò)下載大量機(jī)密文件,并刻錄在一張標(biāo)為“Lady Gaga”的CD中,之后他將機(jī)密文件傳輸給“維基解密”網(wǎng)站,而導(dǎo)致數(shù)十萬(wàn)份有關(guān)伊拉克和阿富汗戰(zhàn)爭(zhēng)的軍事文件被公開(kāi)。
而實(shí)際上,如果企業(yè)疏于安全防范而發(fā)生泄密事件,對(duì)自身的損失可能更大。LG曾控告前員工偷取和泄露PDP等離子顯示屏的機(jī)密技術(shù)并泄密,導(dǎo)致LG電子損失高達(dá)14億美元。因此,對(duì)企業(yè)來(lái)說(shuō),看似無(wú)關(guān)緊要的漏洞,隨時(shí)可以毀滅一切,有時(shí)候可能是一個(gè)小小的 U盤(pán)就毀滅了幾百萬(wàn)投資的努力,有時(shí)候可能是一封郵件導(dǎo)致上億研發(fā)成果被侵占。
因此,安全是成功發(fā)展的穩(wěn)定保障,真正的安全需要大家一起創(chuàng)造,管理層給予安全足夠的重視和投資,IT管理者和普通員工意識(shí)到防護(hù)的重要性同時(shí)嚴(yán)格執(zhí)行策略。全民皆兵,進(jìn)行機(jī)密信息防護(hù)!
實(shí)時(shí)備戰(zhàn),庶可保全
那企業(yè)應(yīng)該采取怎樣的措施以保證信息安全呢?IP-guard黃凱認(rèn)為,以下2點(diǎn)皆是企業(yè)安全防護(hù)之必須。
一、定期評(píng)估風(fēng)險(xiǎn),全面警惕。
企業(yè)應(yīng)該定崗、定人、定期對(duì)內(nèi)部風(fēng)險(xiǎn)進(jìn)行全面評(píng)估,實(shí)時(shí)掌握潛在風(fēng)險(xiǎn)。根據(jù)IT Policy Compliance Group2011調(diào)查,企業(yè)進(jìn)行風(fēng)險(xiǎn)評(píng)估的頻率會(huì)對(duì)企業(yè)的風(fēng)險(xiǎn)系數(shù)產(chǎn)生直接影響,風(fēng)險(xiǎn)評(píng)估較為頻繁的企業(yè),如每周到每?jī)蓚(gè)月之間一次,其業(yè)務(wù)風(fēng)險(xiǎn)就會(huì)較低;而每季度一次或者間隔更長(zhǎng)的企業(yè),面臨的風(fēng)險(xiǎn)則相對(duì)較高。因此,IP-guard黃凱建議,企業(yè)應(yīng)多進(jìn)行風(fēng)險(xiǎn)評(píng)估,降低企業(yè)風(fēng)險(xiǎn)系數(shù),時(shí)間間隔一個(gè)月內(nèi)為佳。
另外評(píng)估的全面性非常重要,許多企業(yè)在評(píng)估風(fēng)險(xiǎn)時(shí),會(huì)人為地設(shè)定某區(qū)域?yàn)榻^對(duì)安全,或者安全與否無(wú)所謂,因此留下風(fēng)險(xiǎn)評(píng)估的盲區(qū),為企業(yè)的整體安全埋下隱患。在安全問(wèn)題上,往往是企業(yè)認(rèn)為“無(wú)所謂”的地方,成為入侵者的入口。如果企業(yè)在一處疏忽,則很可能造成整體防護(hù)措施的失效,就正如二戰(zhàn)中法國(guó)用以防御德意入侵的馬其諾防線,被敵方出其不意,攻其不備,等到想要力挽狂瀾時(shí),只能望洋興嘆了。 推薦閱讀 30X光變長(zhǎng)焦 索尼HX100促銷(xiāo)僅3099元 【陜西行情】 索尼HX100(資料 報(bào)價(jià) 圖片 論壇)擁有1620萬(wàn)像素的成像能力,以及30倍光變27mm廣角鏡頭。今天筆者在市場(chǎng)上了解到,商家對(duì)索尼HX100最新售價(jià)是3099元,喜歡的長(zhǎng)焦朋友不妨聯(lián)系商家。 點(diǎn)擊圖片查看索尼HX1>>>詳細(xì)閱讀 本文標(biāo)題:IT人須持有的信息安全觀:無(wú)事故不等于安全 地址:http://www.sdlzkt.com/a/kandian/20120502/56472.html
網(wǎng)友點(diǎn)評(píng)
精彩導(dǎo)讀
科技快報(bào)
品牌展示