安全观之我见(三):省银之道在预防

在文章开头,先给大家讲个小故事。有一户人家做了新房子,但厨房没有安排好,烧火的土灶烟囱砌得太直,而且土灶旁边堆着一大堆柴草 。一天,这家主人请客,有位客人看到主人家厨房的这些情况,就对主人说:你家的厨房应该整顿一下 。主人问道:为什么呢? 客人说:你家烟囱砌得太直,柴草放得离火太近,你应将烟囱改砌得弯曲一些,柴草也要搬远一些,不然的话,容易发生火灾 。主人听了,笑了笑,不以为然,没放在心上,不久也就把这事忘到脑后去了。后来,这家人家果然失了火,左邻右舍立即赶来,大家一起奋力扑救,大火终于被扑灭,除了将厨房里的东西烧了一小半外,总算没酿成大祸。于是主人宴请四邻,以酬谢他们救火的功劳,但是并没有请当初建议他将木材移走,烟囱改曲的人。有人对主人说:“如果当初听了那位先生的话,今天也不用准备宴席,而且没有火灾的损失,现在论功行赏,原先给你建议的人没有被感恩,而救火的人却是座上客,真是很奇怪的事呢!”主人顿时醒悟。

故事中的新房子主人不听朋友良劝,结果酿成火灾,邻居帮忙帮忙灭了火,他感激不已,却忘了当初提醒他预防火灾的朋友。现实中很多企业做信息安全也有类似的情形,总是忽略事先预防,结果酿成悲剧,才亡羊补牢,但付出的代价比当初预防所需的要多得多。对于企业信息安全建设来说,预防比事后补救效果更显著,所需的成本也更少。

防与救的博弈

既然是预防,必是处于危机的萌芽阶段,因此控制难度小,花费较低。而等到小问题堆积、发酵、直至爆发的时候,其控制难度已增长无数倍,势不能挡。从导致的后果来看,首先,造成的损失已无法挽回,泄露出去的信息就如泼出去的水,正所谓覆水收回。英特尔前员工将商业机密泄露给竞争对手ARM,造成损失近10亿美元。据统计美国因信息泄露造成的商业损失高达每年1000亿美元,名列《财富》(Fortune)全球1000强的大公司,平均每年因信息泄露导致的损失总数高达450亿美元。

其次,为了尽量降低负面影响,企业必然会尽力弥补,也就不得不再次投入大量人力物力。20世纪80年代爆发的储蓄贷款危机给美国银行业造成了巨大损失,直接导致1300多家商业银行和1400多家储贷协会破产,约占美国同期商业银行和储贷协会总数的14%。同时,为应对危机,美国政府付出了高昂的救助成本,累计支出1800多亿美元用于清理破产机构。

除此之外,信息安全事件会降低品牌信用度,导致企业产生无法算计的损失。信息泄露会使用户对企业保护消费者利益的能力产生怀疑,进而选择改门换户,或者暂时调整消费模式。以购物而言,A商城账号泄漏,就换到B商城,还是不行,就会选择实体店,直至品牌信任度恢复到原来的水平。

第二点,事前预防,先发制人,主动性强,事后补救则被动得多。在占据主动的情势下,企业可以更从容、更全面、更深入地思考面临的问题。相反如果在事故突发,人心慌乱的情况下,企业极有可能囿于对危机的焦虑之中,无法全身事外,冷静地分析全局,结果错上加错,使局面愈加恶化。信息安全防护是一种战争—网络战争,无论是国家还是企业,都已经身处于这场无硝烟的战争之中,中国人常说“不打无准备之仗”,凡事豫则立,不豫则废。

 

防之道

如何才能做到防范有道,我相信这是困惑许多企业的问题,在这里我结合自己在过去十多年参与的信息安全项目经验,简单谈谈。要做到防范有道,最重要的就是要对企业进行全面的风险评估,只有清楚地了解问题,才能有的放矢地解决问题。

评估需要通过三大过程。

第一,通过内部问卷调研、人员访谈等方式,了解清楚企业各部门资产的情况,哪些资产是真正需要保护的。

第二,识别这些关键信息所面临的威胁,并检查信息系统的脆弱性,并确定系统抵抗威胁的能力。如果将信息比作一个人,那威胁就是他的敌人,而脆弱性则是到他的缺陷,如无力的拳头等。

第三,评估风险发生的可能性和所产生的影响,还是以人为例,可能性就是被敌人伤害到的机率,产生的影响是说如果被敌人伤到,会带来多大的后果。

评估之后接着是确定风险处理措施。根据不同部门的涉密程度以及所面临的风险级别,部署轻重有别的防护系统。需要强调的一点是,切忌选择性地忽视某些区域。目前虽然国内企业信息防泄露技术的发展已经日臻成熟,但还有不少企业的防泄露措施依然只集中于所谓的核心部门。但实际上非核心部门也可能接触到机密信息,如果缺乏有效的管控措施,信息很可能就无声无息的流失了。

无论是成本,还是从安全的角度看,提前预防都赋予了企业更多的时间与更从容的姿势去应对问题。套用一句俗语,胜利永远是留给有准备的人,希望企业在信息安全方面越做越好。

发表回复

您的电子邮箱地址不会被公开。 必填项已用*标注