?在文章開頭，先給大家講個(gè)小故事。有一戶人家做了新房子，但廚房沒有安排好，燒火的土灶煙囪砌得太直，而且土灶旁邊堆著一大堆柴草 。一天，這家主人請(qǐng)客，有位客人看到主人家廚房的這些情況，就對(duì)主人說：你家的廚房應(yīng)該整頓一下 。主人問道：為什么呢？ 客人說：你家煙囪砌得太直，柴草放得離火太近，你應(yīng)將煙囪改砌得彎曲一些，柴草也要搬遠(yuǎn)一些，不然的話，容易發(fā)生火災(zāi) 。主人聽了，笑了笑，不以為然，沒放在心上，不久也就把這事忘到腦后去了。后來，這家人家果然失了火，左鄰右舍立即趕來，大家一起奮力撲救，大火終于被撲滅，除了將廚房里的東西燒了一小半外，總算沒釀成大禍。于是主人宴請(qǐng)四鄰，以酬謝他們救火的功勞，但是并沒有請(qǐng)當(dāng)初建議他將木材移走，煙囪改曲的人。有人對(duì)主人說：“如果當(dāng)初聽了那位先生的話，今天也不用準(zhǔn)備宴席，而且沒有火災(zāi)的損失，現(xiàn)在論功行賞，原先給你建議的人沒有被感恩，而救火的人卻是座上客，真是很奇怪的事呢！”主人頓時(shí)醒悟。

故事中的新房子主人不聽朋友良勸，結(jié)果釀成火災(zāi)，鄰居幫忙幫忙滅了火，他感激不已，卻忘了當(dāng)初提醒他預(yù)防火災(zāi)的朋友。現(xiàn)實(shí)中很多企業(yè)做信息安全也有類似的情形，總是忽略事先預(yù)防，結(jié)果釀成悲劇，才亡羊補(bǔ)牢，但付出的代價(jià)比當(dāng)初預(yù)防所需的要多得多。對(duì)于企業(yè)信息安全建設(shè)來說，預(yù)防比事后補(bǔ)救效果更顯著，所需的成本也更少。 防與救的博弈 既然是預(yù)防，必是處于危機(jī)的萌芽階段，因此控制難度小，花費(fèi)較低。而等到小問題堆積、發(fā)酵、直至爆發(fā)的時(shí)候，其控制難度已增長(zhǎng)無數(shù)倍，勢(shì)不能擋。從導(dǎo)致的后果來看，首先，造成的損失已無法挽回，泄露出去的信息就如潑出去的水，正所謂覆水收回。英特爾前員工將商業(yè)機(jī)密泄露給競(jìng)爭(zhēng)對(duì)手ARM，造成損失近10億美元。據(jù)統(tǒng)計(jì)美國因信息泄露造成的商業(yè)損失高達(dá)每年1000億美元，名列《財(cái)富》（Fortune）全球1000強(qiáng)的大公司，平均每年因信息泄露導(dǎo)致的損失總數(shù)高達(dá)450億美元。 其次，為了盡量降低負(fù)面影響，企業(yè)必然會(huì)盡力彌補(bǔ)，也就不得不再次投入大量人力物力。20世紀(jì)80年代爆發(fā)的儲(chǔ)蓄貸款危機(jī)給美國銀行業(yè)造成了巨大損失，直接導(dǎo)致1300多家商業(yè)銀行和1400多家儲(chǔ)貸協(xié)會(huì)破產(chǎn)，約占美國同期商業(yè)銀行和儲(chǔ)貸協(xié)會(huì)總數(shù)的14%。同時(shí)，為應(yīng)對(duì)危機(jī)，美國政府付出了高昂的救助成本，累計(jì)支出1800多億美元用于清理破產(chǎn)機(jī)構(gòu)。 除此之外，信息安全事件會(huì)降低品牌信用度，導(dǎo)致企業(yè)產(chǎn)生無法算計(jì)的損失。信息泄露會(huì)使用戶對(duì)企業(yè)保護(hù)消費(fèi)者利益的能力產(chǎn)生懷疑，進(jìn)而選擇改門換戶，或者暫時(shí)調(diào)整消費(fèi)模式。以購物而言，A商城賬號(hào)泄漏，就換到B商城，還是不行，就會(huì)選擇實(shí)體店，直至品牌信任度恢復(fù)到原來的水平。 第二點(diǎn)，事前預(yù)防，先發(fā)制人，主動(dòng)性強(qiáng)，事后補(bǔ)救則被動(dòng)得多。在占據(jù)主動(dòng)的情勢(shì)下，企業(yè)可以更從容、更全面、更深入地思考面臨的問題。相反如果在事故突發(fā)，人心慌亂的情況下，企業(yè)極有可能囿于對(duì)危機(jī)的焦慮之中，無法全身事外，冷靜地分析全局，結(jié)果錯(cuò)上加錯(cuò)，使局面愈加惡化。信息安全防護(hù)是一種戰(zhàn)爭(zhēng)---網(wǎng)絡(luò)戰(zhàn)爭(zhēng)，無論是國家還是企業(yè)，都已經(jīng)身處于這場(chǎng)無硝煙的戰(zhàn)爭(zhēng)之中，中國人常說“不打無準(zhǔn)備之仗”，凡事豫則立，不豫則廢。 防之道 如何才能做到防范有道，我相信這是困惑許多企業(yè)的問題，在這里我結(jié)合自己在過去十多年參與的信息安全項(xiàng)目經(jīng)驗(yàn)，簡(jiǎn)單談?wù)劇Ｒ龅椒婪队械?#xff0c;最重要的就是要對(duì)企業(yè)進(jìn)行全面的風(fēng)險(xiǎn)評(píng)估，只有清楚地了解問題，才能有的放矢地解決問題。 評(píng)估需要通過三大過程。 第一，通過內(nèi)部問卷調(diào)研、人員訪談等方式，了解清楚企業(yè)各部門資產(chǎn)的情況，哪些資產(chǎn)是真正需要保護(hù)的。 第二，識(shí)別這些關(guān)鍵信息所面臨的威脅，并檢查信息系統(tǒng)的脆弱性，并確定系統(tǒng)抵抗威脅的能力。如果將信息比作一個(gè)人，那威脅就是他的敵人，而脆弱性則是到他的缺陷，如無力的拳頭等。 第三，評(píng)估風(fēng)險(xiǎn)發(fā)生的可能性和所產(chǎn)生的影響，還是以人為例，可能性就是被敵人傷害到的機(jī)率，產(chǎn)生的影響是說如果被敵人傷到，會(huì)帶來多大的后果。 評(píng)估之后接著是確定風(fēng)險(xiǎn)處理措施。根據(jù)不同部門的涉密程度以及所面臨的風(fēng)險(xiǎn)級(jí)別，部署輕重有別的防護(hù)系統(tǒng)。需要強(qiáng)調(diào)的一點(diǎn)是，切忌選擇性地忽視某些區(qū)域。目前雖然國內(nèi)企業(yè)信息防泄露技術(shù)的發(fā)展已經(jīng)日臻成熟，但還有不少企業(yè)的防泄露措施依然只集中于所謂的核心部門。但實(shí)際上非核心部門也可能接觸到機(jī)密信息，如果缺乏有效的管控措施，信息很可能就無聲無息的流失了。 無論是成本，還是從安全的角度看，提前預(yù)防都賦予了企業(yè)更多的時(shí)間與更從容的姿勢(shì)去應(yīng)對(duì)問題。套用一句俗語，勝利永遠(yuǎn)是留給有準(zhǔn)備的人，希望企業(yè)在信息安全方面越做越好。

?

轉(zhuǎn)載于:https://blog.51cto.com/techk/880731

總結(jié)

以上是生活随笔為你收集整理的安全观之我见（三）：省银之道在预防的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。