成功人士之所以成功，關鍵之一在于其擁有正確的價值觀和信念，眼界決定世界。信息安全工作也是如此，安全人員所持有的觀念將影響實際的防護效果。上期，IP-guard產品總監黃凱提出了IT人必須持有的安全有至少有4點，并詳細分析了第一點“信息安全是一種生產要素”。本期將深入分析第二點：還未發生安全事故不等于足夠安全，對此，IP-guard黃凱表示更愿意稱它為一次“安全領域的共同思考”。

在深入闡述觀點之前，黃凱首先講述了一個對他的安全觀念影響很深的一個法則——海因里希法則：

當一個企業有300個隱患或違章，必然要發生29起輕傷或故障，在這29起輕傷事故或故障當中，有一起重傷、死亡或重大事故。這個法則是1941年美國的海因里希統計了55萬件機械事故之后，得出的重要數據結論。

對于不同的生產過程，不同類型的事故，上述比例關系不一定完全相同，黃凱說道，但這個統計規律說明了在進行同一項活動中，無數次意外事件，必然導致重大傷亡事故的發生。此法則適用于包括信息安全在內的任何安全領域，要防止重大安全事故的發生必須減少和消除無傷害事故，要重視事故的苗頭和未遂事故，否則終會釀成大禍。

71年后，我們身邊的世界仍然發生著眾多讓人震驚的信息泄露事故：2012年考研英語、政治試題大規模外泄;招行、工行、農行三大銀行內部人員竊取、販賣客戶信息造成受害人損失3000多萬元;英特爾前員工承認盜竊內部價值10億美元機密信息……

IP-guard黃凱還通過列舉2010年度Verizon數據調查報告中的數據，更加直觀地印證了大多影響重大的泄密事故在事發前都有跡可循：

搜集了一些數據可能會更加直觀地印證這些泄密事件的源頭，：

1.85%的泄露事件并不十分困難的。

2.只有4%的數據泄露需要困難的、昂貴的自我保護措施才能得以實現。

3.高達87%的受害者在他們的日志文件里都有數據泄露的證據，但他們卻錯過了。

4.在受害者中，有些是需要遵守PCI-DSS標準的，但79%的受害者在數據泄露發生之前，都沒能實現規則遵從。如果安全規則得到遵守，大多數的數據泄露都是可以避免的。

根據海因里希法則和上面的幾組數據，可以看出在企業安全事故中，那些難度高、概率小、危害大的事故僅占很小的一部分，而那些危害看似不大，難度小的泄密事件則居大頭。為什么會這樣?

IP-guard黃凱表示：“最后一組數據已經給了我們解釋——不遵守安全規則。” 而對于為何制定的安全策略得不到有力執行，相信不少人都會有體會，其中一個主要原因便是企業抱有一種僥幸心理，認為眼下沒有發生安全事件，或者沒有造成較大危害，就是安全。殊不知表明的風平浪靜跟真正的安全根本是兩個概念。作為企業IT管理人員，尤其是做信息安全管理的人員，要明確的知道：無安全事故不等于足夠的安全。

成于防護，敗于疏漏

“現實生活中，我們經常可以看到因為某一方面疏于防護而導致泄密的例子。”IP-guard黃凱舉例道，大家都熟知的維基泄密事件，經美國軍方調查，文件的泄露者是曾在伊拉克服役的美軍情報分析員布拉德利•曼寧，作案工具就是移動存儲設備。他從軍方網絡下載大量機密文件，并刻錄在一張標為“Lady Gaga”的CD中，之后他將機密文件傳輸給“維基解密”網站，而導致數十萬份有關伊拉克和阿富汗戰爭的軍事文件被公開。

而實際上，如果企業疏于安全防范而發生泄密事件，對自身的損失可能更大。LG曾控告前員工偷取和泄露PDP等離子顯示屏的機密技術并泄密，導致LG電子損失高達14億美元。因此，對企業來說，看似無關緊要的漏洞，隨時可以毀滅一切，有時候可能是一個小小的 U盤就毀滅了幾百萬投資的努力，有時候可能是一封郵件導致上億研發成果被侵占。

因此，安全是成功發展的穩定保障，真正的安全需要大家一起創造，管理層給予安全足夠的重視和投資，IT管理者和普通員工意識到防護的重要性同時嚴格執行策略。全民皆兵，進行機密信息防護!

實時備戰，庶可保全

那企業應該采取怎樣的措施以保證信息安全呢?IP-guard黃凱認為，以下2點皆是企業安全防護之必須。

一、定期評估風險，全面警惕。

企業應該定崗、定人、定期對內部風險進行全面評估，實時掌握潛在風險。根據IT Policy Compliance Group2011調查，企業進行風險評估的頻率會對企業的風險系數產生直接影響，風險評估較為頻繁的企業，如每周到每兩個月之間一次，其業務風險就會較低;而每季度一次或者間隔更長的企業，面臨的風險則相對較高。因此，IP-guard黃凱建議，企業應多進行風險評估，降低企業風險系數，時間間隔一個月內為佳。

另外評估的全面性非常重要，許多企業在評估風險時，會人為地設定某區域為絕對安全，或者安全與否無所謂，因此留下風險評估的盲區，為企業的整體安全埋下隱患。在安全問題上，往往是企業認為“無所謂”的地方，成為入侵者的入口。如果企業在一處疏忽，則很可能造成整體防護措施的失效，就正如二戰中法國用以防御德意入侵的馬其諾防線，被敵方出其不意，攻其不備，等到想要力挽狂瀾時，只能望洋興嘆了。

二、加強防護措施，確保防御系統持續有效。

在風險評估后，企業要根據評估結果，部署防護措施，不能因為某部分風險程度相對較低，便置之不理，讓其暴露在空白防護狀態。信息安全，就如買保險，無事故發生之時，我們看不到保險的作用，事故發生之后才明白預先防護的重要性。“養兵千日，用在一時”，防護措施的作用不在于時刻都在防御攻擊，而在于當攻擊來臨之時，它也能從容應對。

企業進行信息安全防護切不可安于目前無事的現狀，莫以概率低而忽視安全防護，因為安全隱患隨時可能被引爆，謹小慎微，及時做好防御工作才能保證信息安全。最后，IP-guard黃凱笑言：“好的IT管理人員，應該像棋手一樣思考，能夠全盤分析自己的風險，預計對手后幾步的走法，并依此來策劃自己的勝利路線，這樣才能在信息安全的博弈中，立于不敗之地。”