“第一點(diǎn)，事前預(yù)防，處于問題或危機(jī)的萌芽階段，控制難度小，因此花費(fèi)低。如果等到事故發(fā)生后再去補(bǔ)救，成本將會大大增加。

黃凱分析到，由于事故造成的損失已經(jīng)無法挽回，泄露出去的信息就如潑出去的水，勢難收回。英特爾前員工將商業(yè)機(jī)密泄露給競爭對手 ARM，造成損失近10億美元。除了金錢上的損失外，事后彌補(bǔ)也無法挽回消費(fèi)者對品牌的信用度。為此，IP-guard黃凱列舉了如京東商城、當(dāng)當(dāng)網(wǎng)等被曝用戶信息泄露之后，大量的用戶轉(zhuǎn)投亞馬遜等競爭對手， CSDN用戶信息泄露事件導(dǎo)致大量用戶對這一技術(shù)網(wǎng)站失去信心等例子。

同時，在盡力阻止事態(tài)擴(kuò)大的過程中，為了盡量降低負(fù)面影響，企業(yè)必然會盡力進(jìn)行各種彌補(bǔ)措施。20世紀(jì)80年代爆發(fā)的儲蓄貸款危機(jī)給美國銀行業(yè)造成了巨大損失，直接導(dǎo)致1300多家商業(yè)銀行和1400多家儲貸協(xié)會破產(chǎn)，約占美國同期商業(yè)銀行和儲貸協(xié)會總數(shù)的14%。同時，為應(yīng)對危機(jī)，美國政府付出了高昂的救助成本，累計支出1800多億美元用于清理破產(chǎn)機(jī)構(gòu)。

第二點(diǎn)，事前預(yù)防，采用的是先發(fā)制人的策略，主動性強(qiáng)，而事后補(bǔ)救則被動得多。在占據(jù)主動的情勢下，企業(yè)可以更從容、更全面、更深入地思考面臨的問題。相反如果在事故突發(fā)，人心慌亂的情況下，企業(yè)極有可能囿于對危機(jī)的焦慮之中，無法冷靜地分析全局，結(jié)果錯上加錯，使局面愈加惡化。“信息安全防護(hù)是一種戰(zhàn)爭——網(wǎng)絡(luò)戰(zhàn)爭，無論是國家還是企業(yè)，都已經(jīng)身處于這場無硝煙的戰(zhàn)爭之中，中國人常說“不打無準(zhǔn)備之仗”，凡事豫則立，不豫則廢，”IP-guard 黃凱強(qiáng)調(diào)道。

預(yù)防有道

那么如何做好充分的準(zhǔn)備呢?黃凱認(rèn)為，最重要的就是要對企業(yè)進(jìn)行全面的風(fēng)險評估，只有清楚地了解問題，才能有的放矢地解決問題。

評估需要通過三大過程。第一，通過內(nèi)部問卷調(diào)研、人員訪談等方式，了解清楚企業(yè)各部門資產(chǎn)的情況，各級別人員關(guān)心的范圍，從而確定關(guān)鍵信息資產(chǎn)以及安全需求。第二，識別這些關(guān)鍵信息所面臨的威脅，并建立威脅和系統(tǒng)脆弱性列表，進(jìn)行詳細(xì)的對比，評估系統(tǒng)脆弱性即防范威脅的能力。第三，在脆弱性存在的前提下，評估風(fēng)險發(fā)生的可能性和所產(chǎn)生的影響，從而確定風(fēng)險的級別。

評估之后，則確定風(fēng)險處理措施。根據(jù)不同部門的涉密程度以及所面臨的風(fēng)險級別，部署輕重有別的防護(hù)系統(tǒng)。對此，黃凱強(qiáng)調(diào)到，切忌選擇性地忽視某些區(qū)域。雖然國內(nèi)企業(yè)信息防泄露技術(shù)的發(fā)展已經(jīng)日臻成熟，但還有不少企業(yè)的防泄露措施依然只集中于重點(diǎn)部門。非重點(diǎn)部門也可能接觸到機(jī)密信息，如果缺乏有效的管控措施，信息很可能就無聲無息的流出企業(yè)。

在采訪的最后，黃凱總結(jié)道，做信息安全，無論是從成本，還是安全的角度看，提前預(yù)防都賦予了企業(yè)更多的時間與更從容的姿勢去應(yīng)對，有準(zhǔn)備永遠(yuǎn)是勝利的關(guān)鍵。