|
在前面兩期中��,國內(nèi)著名信息安全專家�����,IP-guard(www.ip-guard.net )產(chǎn)品總監(jiān)黃凱向我們闡述了他提出的IT人必須持有的四點(diǎn)安全觀中的兩點(diǎn)“信息安全是一種生產(chǎn)要素”和“無安全事故不等于足夠安全”。那么本期IP-guard黃凱將繼續(xù)分析安全觀第三點(diǎn)--預(yù)防比補(bǔ)救更省成本�。
為了更生動(dòng)地描述要表達(dá)的觀點(diǎn),IP-guard黃凱首先引用了大家熟知的“曲突徙薪”故事�。有一戶人 家做了新房子 ,但廚房沒有安排好��,燒火的土灶煙囪砌得太直���,而且土灶旁邊堆著一大堆柴草 ��。朋友勸他將煙囪改砌得彎曲一些���,柴草也要搬遠(yuǎn)一些�����,不然的話�,容易發(fā)生火災(zāi) ���。主人不以為然�����,后來�����,這家人家果然失了火����,幸虧鄰居幫忙將火撲滅�,除了將廚房里的東西燒了一小半外,總算沒釀成大禍�。
故事中的新房子主人����,不聽朋友勸告����,明知有危險(xiǎn),卻不懂得防患于未然���,結(jié)果釀成惡果��。房子主人若是預(yù)先采取防范措施,只是彎煙囪移柴草�,而發(fā)生火災(zāi)后卻導(dǎo)致一小半廚房被毀壞。IP-guard黃凱說:“從成本的角度看���,后者明顯比前者代價(jià)大���。其實(shí)做信息安全亦如此,事前預(yù)防相對(duì)事后補(bǔ)救�����,更省成本��。”對(duì)此觀點(diǎn),他進(jìn)行了詳細(xì)分析���。
“預(yù)防”的財(cái)?shù)?/p>
“第一點(diǎn)���,事前預(yù)防,處于問題或危機(jī)的萌芽階段�����,控制難度小��,因此花費(fèi)低���。如果等到事故發(fā)生后再去補(bǔ)救���,成本將會(huì)大大增加。
IP-guard黃凱分析到��,由于事故造成的損失已經(jīng)無法挽回�����,泄露出去的信息就如潑出去的水��,勢(shì)難收回。英特爾前員工將商業(yè)機(jī)密泄露給競(jìng)爭(zhēng)對(duì)手ARM����,造成損失近10億美元。除了金錢上的損失外����,事后彌補(bǔ)也無法挽回消費(fèi)者對(duì)品牌的信用度。為此�����,IP-guard黃凱列舉了如京東商城�、當(dāng)當(dāng)網(wǎng)等被曝用戶信息泄露之后,大量的用戶轉(zhuǎn)投亞馬遜等競(jìng)爭(zhēng)對(duì)手��, CSDN用戶信息泄露事件導(dǎo)致大量用戶對(duì)這一技術(shù)網(wǎng)站失去信心等例子����。
同時(shí)���,在盡力阻止事態(tài)擴(kuò)大的過程中���,為了盡量降低負(fù)面影響�����,企業(yè)必然會(huì)盡力進(jìn)行各種彌補(bǔ)措施���。20世紀(jì)80年代爆發(fā)的儲(chǔ)蓄貸款危機(jī)給美國銀行業(yè)造成了巨大損失,直接導(dǎo)致1300多家商業(yè)銀行和1400多家儲(chǔ)貸協(xié)會(huì)破產(chǎn)�,約占美國同期商業(yè)銀行和儲(chǔ)貸協(xié)會(huì)總數(shù)的14%。同時(shí)�����,為應(yīng)對(duì)危機(jī)���,美國政府付出了高昂的救助成本��,累計(jì)支出1800多億美元用于清理破產(chǎn)機(jī)構(gòu)��。
第二點(diǎn)�����,事前預(yù)防�����,采用的是先發(fā)制人的策略�����,主動(dòng)性強(qiáng)�,而事后補(bǔ)救則被動(dòng)得多。在占據(jù)主動(dòng)的情勢(shì)下�����,企業(yè)可以更從容��、更全面��、更深入地思考面臨的問題��。相反如果在事故突發(fā)�����,人心慌亂的情況下����,企業(yè)極有可能囿于對(duì)危機(jī)的焦慮之中�����,無法冷靜地分析全局,結(jié)果錯(cuò)上加錯(cuò)�,使局面愈加惡化。“信息安全防護(hù)是一種戰(zhàn)爭(zhēng)--網(wǎng)絡(luò)戰(zhàn)爭(zhēng)�����,無論是國家還是企業(yè)�,都已經(jīng)身處于這場(chǎng)無硝煙的戰(zhàn)爭(zhēng)之中,中國人常說“不打無準(zhǔn)備之仗”��,凡事豫則立����,不豫則廢,”IP-guard黃凱強(qiáng)調(diào)道�����。
預(yù)防有道
那么如何做好充分的準(zhǔn)備呢�?IP-guard黃凱認(rèn)為,最重要的就是要對(duì)企業(yè)進(jìn)行全面的風(fēng)險(xiǎn)評(píng)估���,只有清楚地了解問題�,才能有的放矢地解決問題。
評(píng)估需要通過三大過程��。第一��,通過內(nèi)部問卷調(diào)研���、人員訪談等方式�����,了解清楚企業(yè)各部門資產(chǎn)的情況���,各級(jí)別人員關(guān)心的范圍,從而確定關(guān)鍵信息資產(chǎn)以及安全需求�����。第二����,識(shí)別這些關(guān)鍵信息所面臨的威脅,并建立威脅和系統(tǒng)脆弱性列表�����,進(jìn)行詳細(xì)的對(duì)比���,評(píng)估系統(tǒng)脆弱性即防范威脅的能力��。第三�,在脆弱性存在的前提下�,評(píng)估風(fēng)險(xiǎn)發(fā)生的可能性和所產(chǎn)生的影響,從而確定風(fēng)險(xiǎn)的級(jí)別�。
評(píng)估之后,則確定風(fēng)險(xiǎn)處理措施��。根據(jù)不同部門的涉密程度以及所面臨的風(fēng)險(xiǎn)級(jí)別�����,部署輕重有別的防護(hù)系統(tǒng)����。對(duì)此,黃凱強(qiáng)調(diào)到�����,切忌選擇性地忽視某些區(qū)域。雖然國內(nèi)企業(yè)信息防泄露技術(shù)的發(fā)展已經(jīng)日臻成熟��,但還有不少企業(yè)的防泄露措施依然只集中于重點(diǎn)部門���。非重點(diǎn)部門也可能接觸到機(jī)密信息�,如果缺乏有效的管控措施��,信息很可能就無聲無息的流出企業(yè)��。
在采訪的最后�,IP-guard黃凱總結(jié)道,做信息安全��,無論是從成本�����,還是安全的角度看��,提前預(yù)防都賦予了企業(yè)更多的時(shí)間與更從容的姿勢(shì)去應(yīng)對(duì)���,有準(zhǔn)備永遠(yuǎn)是勝利的關(guān)鍵��。
本文出自:億恩科技【www.allwellnessguide.com】
服務(wù)器租用/服務(wù)器托管中國五強(qiáng)���!虛擬主機(jī)域名注冊(cè)頂級(jí)提供商����!15年品質(zhì)保障�����!--億恩科技[ENKJ.COM]
|
香港服務(wù)器租用
美國服務(wù)器租用
電信骨干機(jī)房
聯(lián)通骨干機(jī)房
0371-60135900
