成功人士之所以成功,关键之一在于其拥有正确的价值观和信念,眼界决定世界。信息安全工作也是如此,安全人员所持有的观念将影响实际的防护效果。上期,IP-guard产品总监黄凯提出了IT人必须持有的安全有至少有4点,并详细分析了第一点“信息安全是一种生产要素”。本期将深入分析第二点:还未发生安全事故不等于足够安全,对此,IP-guard黄凯表示更愿意称它为一次“安全领域的共同思考”。
在深入阐述观点之前,黄凯首先讲述了一个对他的安全观念影响很深的一个法则——海因里希法则:
当一个企业有300个隐患或违章,必然要发生29起轻伤或故障,在这29起轻伤事故或故障当中,有一起重伤、死亡或重大事故。这个法则是1941年美国的海因里希统计了55万件机械事故之后,得出的重要数据结论。
对于不同的生产过程,不同类型的事故,上述比例关系不一定完全相同,黄凯说道,但这个统计规律说明了在进行同一项活动中,无数次意外事件,必然导致重大伤亡事故的发生。此法则适用于包括信息安全在内的任何安全领域,要防止重大安全事故的发生必须减少和消除无伤害事故,要重视事故的苗头和未遂事故,否则终会酿成大祸。
71年后,我们身边的世界仍然发生着众多让人震惊的信息泄露事故:2012年考研英语、政治试题大规模外泄;招行、工行、农行三大银行内部人员窃取、贩卖客户信息造成受害人损失3000多万元;英特尔前员工承认盗窃内部价值10亿美元机密信息……
IP-guard黄凯还通过列举2010年度Verizon数据调查报告中的数据,更加直观地印证了大多影响重大的泄密事故在事发前都有迹可循:
搜集了一些数据可能会更加直观地印证这些泄密事件的源头,:
1.85%的泄露事件并不十分困难的。
2.只有4%的数据泄露需要困难的、昂贵的自我保护措施才能得以实现。
3.高达87%的受害者在他们的日志文件里都有数据泄露的证据,但他们却错过了。
4.在受害者中,有些是需要遵守PCI-DSS标准的,但79%的受害者在数据泄露发生之前,都没能实现规则遵从。如果安全规则得到遵守,大多数的数据泄露都是可以避免的。
根据海因里希法则和上面的几组数据,可以看出在企业安全事故中,那些难度高、概率小、危害大的事故仅占很小的一部分,而那些危害看似不大,难度小的泄密事件则居大头。为什么会这样?
IP-guard黄凯表示:“最后一组数据已经给了我们解释——不遵守安全规则。” 而对于为何制定的安全策略得不到有力执行,相信不少人都会有体会,其中一个主要原因便是企业抱有一种侥幸心理,认为眼下没有发生安全事件,或者没有造成较大危害,就是安全。殊不知表明的风平浪静跟真正的安全根本是两个概念。作为企业IT管理人员,尤其是做信息安全管理的人员,要明确的知道:无安全事故不等于足够的安全。
成于防护,败于疏漏
“现实生活中,我们经常可以看到因为某一方面疏于防护而导致泄密的例子。”IP-guard黄凯举例道,大家都熟知的维基泄密事件,经美国军方调查,文件的泄露者是曾在伊拉克服役的美军情报分析员布拉德利•曼宁,作案工具就是移动存储设备。他从军方网络下载大量机密文件,并刻录在一张标为“Lady Gaga”的CD中,之后他将机密文件传输给“维基解密”网站,而导致数十万份有关伊拉克和阿富汗战争的军事文件被公开。
而实际上,如果企业疏于安全防范而发生泄密事件,对自身的损失可能更大。LG曾控告前员工偷取和泄露PDP等离子显示屏的机密技术并泄密,导致LG电子损失高达14亿美元。因此,对企业来说,看似无关紧要的漏洞,随时可以毁灭一切,有时候可能是一个小小的 U盘就毁灭了几百万投资的努力,有时候可能是一封邮件导致上亿研发成果被侵占。
因此,安全是成功发展的稳定保障,真正的安全需要大家一起创造,管理层给予安全足够的重视和投资,IT管理者和普通员工意识到防护的重要性同时严格执行策略。全民皆兵,进行机密信息防护!
实时备战,庶可保全
那企业应该采取怎样的措施以保证信息安全呢?IP-guard黄凯认为,以下2点皆是企业安全防护之必须。
一、定期评估风险,全面警惕。
企业应该定岗、定人、定期对内部风险进行全面评估,实时掌握潜在风险。根据IT Policy Compliance Group2011调查,企业进行风险评估的频率会对企业的风险系数产生直接影响,风险评估较为频繁的企业,如每周到每两个月之间一次,其业务风险就会较低;而每季度一次或者间隔更长的企业,面临的风险则相对较高。因此,IP-guard黄凯建议,企业应多进行风险评估,降低企业风险系数,时间间隔一个月内为佳。
另外评估的全面性非常重要,许多企业在评估风险时,会人为地设定某区域为绝对安全,或者安全与否无所谓,因此留下风险评估的盲区,为企业的整体安全埋下隐患。在安全问题上,往往是企业认为“无所谓”的地方,成为入侵者的入口。如果企业在一处疏忽,则很可能造成整体防护措施的失效,就正如二战中法国用以防御德意入侵的马其诺防线,被敌方出其不意,攻其不备,等到想要力挽狂澜时,只能望洋兴叹了。
二、加强防护措施,确保防御系统持续有效。
在风险评估后,企业要根据评估结果,部署防护措施,不能因为某部分风险程度相对较低,便置之不理,让其暴露在空白防护状态。信息安全,就如买保险,无事故发生之时,我们看不到保险的作用,事故发生之后才明白预先防护的重要性。“养兵千日,用在一时”,防护措施的作用不在于时刻都在防御攻击,而在于当攻击来临之时,它也能从容应对。
企业进行信息安全防护切不可安于目前无事的现状,莫以概率低而忽视安全防护,因为安全隐患随时可能被引爆,谨小慎微,及时做好防御工作才能保证信息安全。最后,IP-guard黄凯笑言:“好的IT管理人员,应该像棋手一样思考,能够全盘分析自己的风险,预计对手后几步的走法,并依此来策划自己的胜利路线,这样才能在信息安全的博弈中,立于不败之地。”
