IT人須持有的信息安全觀:無事故不等于安全

作者: 來源:未知 2012-05-02 12:32:40 閱讀 我要評論 直達商品

上一期,我們就IT人應持有的安全觀這一話題采訪了國內著名信息安全專家,曾主導豐益集團(金龍魚)、奔馳汽車等國際知名企業信息防泄密體系建設等項目的IP-guard產品總監黃凱,他提出了IT人必須持有的安全有至少有4點,并詳細分析了第一點“信息安全是一種生產要素[林海娜1]”。本期將深入分析第二點:還未發生安全事故不等于足夠安全,對此,IP-guard黃凱表示更愿意稱它為一次“安全領域的共同思考”。

在深入闡述觀點之前,黃凱首先講述了一個對他的安全觀念影響很深的一個法則——海因里希法則:

當一個企業有300個隱患或違章,必然要發生29起輕傷或故障,在這29起輕傷事故或故障當中,有一起重傷、死亡或重大事故。這個法則是1941年美國的海因里希統計了55萬件機械事故之后,得出的重要數據結論。

對于不同的生產過程,不同類型的事故,上述比例關系不一定完全相同,黃凱說道,但這個統計規律說明了在進行同一項活動中,無數次意外事件,必然導致重大傷亡事故的發生。此法則適用于包括信息安全在內的任何安全領域,要防止重大安全事故的發生必須減少和消除無傷害事故,要重視事故的苗頭和未遂事故,否則終會釀成大禍。

71年后,我們身邊的世界仍然發生著眾多讓人震驚的信息泄露事故:2012年考研英語、政治試題大規模外泄;招行、工行、農行三大銀行內部人員竊取、販賣客戶信息造成受害人損失3000多萬元;英特爾前員工承認盜竊內部價值10億美元機密信息……

IP-guard黃凱還通過列舉2010年度Verizon數據調查報告中的數據,更加直觀地印證了大多影響重大的泄密事故在事發前都有跡可循:

搜集了一些數據可能會更加直觀地印證這些泄密事件的源頭,:

·85%的泄露事件并不十分困難的。

·只有4%的數據泄露需要困難的、昂貴的自我保護措施才能得以實現。

·高達87%的受害者在他們的日志文件里都有數據泄露的證據,但他們卻錯過了。

·在受害者中,有些是需要遵守PCI-DSS標準的,但79%的受害者在數據泄露發生之前,都沒能實現規則遵從。如果安全規則得到遵守,大多數的數據泄露都是可以避免的。

根據海因里希法則和上面的幾組數據,可以看出在企業安全事故中,那些難度高、概率小、危害大的事故僅占很小的一部分,而那些危害看似不大,難度小的泄密事件則居大頭。為什么會這樣?

IP-guard黃凱表示:“最后一組數據已經給了我們解釋——不遵守安全規則。” 而對于為何制定的安全策略得不到有力執行,相信不少人都會有體會,其中一個主要原因便是企業抱有一種僥幸心理,認為眼下沒有發生安全事件,或者沒有造成較大危害,就是安全。殊不知表明的風平浪靜跟真正的安全根本是兩個概念。作為企業IT管理人員,尤其是做信息安全管理的人員,要明確的知道:無安全事故不等于足夠的安全。

成于防護,敗于疏漏

“現實生活中,我們經常可以看到因為某一方面疏于防護而導致泄密的例子。”IP-guard黃凱舉例道,大家都熟知的維基泄密事件,經美國軍方調查,文件的泄露者是曾在伊拉克服役的美軍情報分析員布拉德利•曼寧,作案工具就是移動存儲設備。他從軍方網絡下載大量機密文件,并刻錄在一張標為“Lady Gaga”的CD中,之后他將機密文件傳輸給“維基解密”網站,而導致數十萬份有關伊拉克和阿富汗戰爭的軍事文件被公開。

而實際上,如果企業疏于安全防范而發生泄密事件,對自身的損失可能更大。LG曾控告前員工偷取和泄露PDP等離子顯示屏的機密技術并泄密,導致LG電子損失高達14億美元。因此,對企業來說,看似無關緊要的漏洞,隨時可以毀滅一切,有時候可能是一個小小的 U盤就毀滅了幾百萬投資的努力,有時候可能是一封郵件導致上億研發成果被侵占。

因此,安全是成功發展的穩定保障,真正的安全需要大家一起創造,管理層給予安全足夠的重視和投資,IT管理者和普通員工意識到防護的重要性同時嚴格執行策略。全民皆兵,進行機密信息防護!

實時備戰,庶可保全

那企業應該采取怎樣的措施以保證信息安全呢?IP-guard黃凱認為,以下2點皆是企業安全防護之必須。

一、定期評估風險,全面警惕。

企業應該定崗、定人、定期對內部風險進行全面評估,實時掌握潛在風險。根據IT Policy Compliance Group2011調查,企業進行風險評估的頻率會對企業的風險系數產生直接影響,風險評估較為頻繁的企業,如每周到每兩個月之間一次,其業務風險就會較低;而每季度一次或者間隔更長的企業,面臨的風險則相對較高。因此,IP-guard黃凱建議,企業應多進行風險評估,降低企業風險系數,時間間隔一個月內為佳。

另外評估的全面性非常重要,許多企業在評估風險時,會人為地設定某區域為絕對安全,或者安全與否無所謂,因此留下風險評估的盲區,為企業的整體安全埋下隱患。在安全問題上,往往是企業認為“無所謂”的地方,成為入侵者的入口。如果企業在一處疏忽,則很可能造成整體防護措施的失效,就正如二戰中法國用以防御德意入侵的馬其諾防線,被敵方出其不意,攻其不備,等到想要力挽狂瀾時,只能望洋興嘆了。


  推薦閱讀

  30X光變長焦 索尼HX100促銷僅3099元

【陜西行情】 索尼HX100(資料 報價 圖片 論壇)擁有1620萬像素的成像能力,以及30倍光變27mm廣角鏡頭。今天筆者在市場上了解到,商家對索尼HX100最新售價是3099元,喜歡的長焦朋友不妨聯系商家。 點擊圖片查看索尼HX1>>>詳細閱讀


本文標題:IT人須持有的信息安全觀:無事故不等于安全

地址:http://www.sdlzkt.com/a/kandian/20120502/56472.html

樂購科技部分新聞及文章轉載自互聯網,供讀者交流和學習,若有涉及作者版權等問題請及時與我們聯系,以便更正、刪除或按規定辦理。感謝所有提供資訊的網站,歡迎各類媒體與樂購科技進行文章共享合作。

網友點評
我的評論: 人參與評論
驗證碼: 匿名回答
網友評論(點擊查看更多條評論)
友情提示: 登錄后發表評論,可以直接從評論中的用戶名進入您的個人空間,讓更多網友認識您。
自媒體專欄

評論

熱度

主站蜘蛛池模板: 国产成人无码免费看片软件| 亚洲国产成人精品无码区在线网站| 成人免费无毒在线观看网站| 成人无遮挡毛片免费看| 国产成人高清精品免费软件| 亚洲高清成人欧美动作片| 欧美日韩国产成人精品| 国产成人涩涩涩视频在线观看| 久久久国产成人精品| 成人av电影网站| www国产成人免费观看视频| 成人免费视频小说| 欧美成人精品一区二三区在线观看 | 成人中文字幕在线| 中文国产成人久久精品小说| 在线成人播放毛片| 欧美成人精品第一区二区三区| 国产成人无码AⅤ片在线观看| 日韩av无码成人精品国产| 亚洲国产成人久久一区二区三区| 国产成人精品视频午夜| 成人性生交大片免费看| 欧美成人亚洲欧美成人| 久久国产精品成人片免费| 在线免费成人网| 国产成人综合欧美精品久久| 成人永久福利在线观看不卡| 6080yy成人午夜电影| 精品无码成人片一区二区| 久久久久亚洲av成人网人人软件| 免费的成人a视频在线观看| 国产成人精品123区免费视频| 成人精品一区二区激情| 久久久久亚洲av成人网人人软件 | 成人福利在线视频| 日韩国产成人精品视频人| 无码成人AAAAA毛片| 欧美成人午夜精品免费福利| 黄色成人在线网站 | 午夜成人免费视频| 亚洲欧美成人影院|