当一个企业有300个隐患或违章,必然要发生29起轻伤或故障,在这29起轻伤事故或故障当中,有一起重伤、死亡或重大事故。–海因里希法则
1941年美国的海因里西统计了55万件机械事故,其中死亡、重伤事故1666件,轻伤48334件,其余则为无伤害事故。从而得出一个重要结论,即在机械事故中,死亡、重伤、轻伤和无伤害事故的比例为1:29:300,国际上把这一法则叫事故法则。
再来将这个数据与Verizon 2010年度数据泄露调查报告给出的数据做一下对比。
- 85%的泄露事件并不十分困难的。
- 只有4%的数据泄露需要困难的、昂贵的自我保护措施才能得以实现。
- 高达87%的受害者在他们的日志文件里都有数据泄露的证据,但他们却错过了。
- 在受害者中,有些是需要遵守PCI-DSS标准的,但79%的受害者在数据泄露发生之前,都没能实现规则遵从。如果安全规则得到遵守,大多数的数据泄露都是可以避免的。
通过以上两组数据,我们看出在企业安全事故中,那些难度高、概率小、危害大的事故仅仅占很小的一部分,而那些危害轻微,难度小的部分则居大头。为什么会这样?上面的数据已经为我们给出了解释:不遵守安全规则。而对于为何制定的安全策略得不到有力执行,相信大家每个人都有独特而深刻的体会。其中一个主要原因便是企业抱有一种侥幸心理,以为眼下没发生安全事件、没造成危害,就是安全。因此满足于眼前的风平浪静,殊不知表面的无事与真正的安全根本是两个概念。作为企业IT管理人员,尤其是做安全管理的人员,要明确的知道:无事不与安全同。
成于忧患,败于安逸
其实在我们生活当中,类似的例子实在不少。比如我们常常会有这样一种体验,走在在路上,不期然地鞋里进了一粒细石,于是脚底感到了沙石轻轻的硌,我们一边想将其抖落出来,一边又觉得一粒小小的石子不会产生多大的疼痛,大可不必因此止步弯腰,于是走一步,感受一次,虽然不是特别强烈的刺激,但是这一次又一次轻轻的硌,却终于让我们疲累不堪。在历史上,因贪图安逸而导致灭亡的事例可谓不胜枚举,最为典型的如欧阳修《伶官传序》中所描述的唐庄宗李存勖,在其实现父亲遗志后,便开始过着骄逸的生活,冤杀大将,宠幸伶人,完全没有注意国家的安全势态每况遇下,最终为叛军所杀。忧劳兴国,逸豫亡身,商业又何尝不是如此。人们往往能识破别人的欺骗,却逃不过自己谎言。当我们无视潜在的威胁,沉浸于当下的平静与安乐时,危险就会趁机加速向我们靠近。
如有可能,即成必然
而另外一个让人感觉很怪异而又不得不正视的安全事实是:只要事情有变坏的可能,不管这种可能性有多小,它总会发生,这就是赫赫有名墨菲定律。美国的一名工程师爱德华•墨参加了美国空军于 1949年进行的一个测定人类对加速度的承受极限的MX981实验。其中有一个实验项目是将16个火箭加速度计悬空装置在受试者上方,当时有两种方法可以将加速度计固定在支架上,而不可思议的是,竟然有人有条不紊地将16个加速度计全部装在错误的位置,于是墨菲作出了这一著名的论断。虽然墨菲定律最初只是一位工程师的即兴发挥,但是最后人们发现墨菲定律的适用范围非常非常广泛,它提示了一种独特的社会及自然现象。那么对于企业信息安全而言,就是只要企业中存在安全漏洞,则必然会转化成为安全事故,只是时间早晚的问题。
实时备战,庶可保全
那企业应该采取怎样的措施以保证信息安全呢?个人认为,以下两点是必须具备的。
一、定期评估风险,全面警惕。
企业应该定岗定人定期对企业进行全面的风险评估,实时掌握潜在的风险。根据IT Policy Compliance Group2011调查,企业进行风险评估的频率会对企业的风险系数产生直接影响,风险评估较为频繁的企业,如每周到每两个月之间一次,其业务风险就会较低;而每季度一次或者间隔更长的企业,面临的风险则相对较高。因此,企业应多进行风险评估,降低企业风险系数,时间间隔一个月内为佳。
另外评估的全面性非常重要,许多企业在评估风险时,会人为地设定某区域为绝对安全,或者安全与否无所谓,因此留下风险评估的盲区,为企业的整体安全埋下隐患。在安全问题上,不存在所谓与无所谓的分界,企业认为无所谓的地方,往往就是入侵者的入口。如果企业在一处疏忽,则很可能造成整体防护措施的失效,就正如二战中法国用以防御德意入侵的马其诺防线,被敌方出其不意,攻其不备,等到想要力挽狂澜时,只能望洋兴叹了。
二、加强防护措施,确保防御系统持续有效。
在风险评估后,企业要针对评估结果,进行针对性的防护措施部署,保证保护力度足够应对相应的风险。不能因为某部分风险相对较低,便完全不作防护,让其完全处于露空的状态,企业不应该幻想小风险就不会导致大事故的发生。信息安全,其实很像是买保险,没有发生事故时,似乎是自己吓自己,杞人忧天;而事故发生后才明白防护的重要性。养兵千日,用在一时,防护措施的作用不在于时刻都在防御各种攻击,而在于攻击来临的时候,它能够应时而动,足够给力,保卫企业安全。这就像和平年代,各个国家都要进行军事建设一样,为的是某天威胁临近时,可随时上战场。
企业进行信息化安全建设切不可安于眼前的无事,因为谁也无法预料事故会在什么时候,从什么地方降临。谨小慎微,及时做好防御工作才能保证信息安全。