IT人須持有的信息安全觀（三）：預防比補救更省成本

　　為了更生動地描述要表達的觀點，IP-guard黃凱首先引用了大家熟知的“曲突徙薪”故事。有一戶人 家做了新房子 ，但廚房沒有安排好，燒火的土灶煙囪砌得太直，而且土灶旁邊堆著一大堆柴草 。朋友勸他將煙囪改砌得彎曲一些，柴草也要搬遠一些，不然的話，容易發生火災 。主人不以為然，后來，這家人家果然失了火，幸虧鄰居幫忙將火撲滅，除了將廚房里的東西燒了一小半外，總算沒釀成大禍。

　　故事中的新房子主人，不聽朋友勸告，明知有危險，卻不懂得防患于未然，結果釀成惡果。房子主人若是預先采取防范措施，只是彎煙囪移柴草，而發生火災后卻導致一小半廚房被毀壞。IP-guard黃凱說：“從成本的角度看，后者明顯比前者代價大。其實做信息安全亦如此，事前預防相對事后補救，更省成本。”對此觀點，他進行了詳細分析。

　　“預防”的財道

　　“第一點，事前預防，處于問題或危機的萌芽階段，控制難度小，因此花費低。如果等到事故發生后再去補救，成本將會大大增加。

　　IP-guard黃凱分析到，由于事故造成的損失已經無法挽回，泄露出去的信息就如潑出去的水，勢難收回。英特爾前員工將商業機密泄露給競爭對手ARM，造成損失近10億美元。除了金錢上的損失外，事后彌補也無法挽回消費者對品牌的信用度。為此，IP-guard黃凱列舉了如京東商城、當當網等被曝用戶信息泄露之后，大量的用戶轉投亞馬遜等競爭對手， CSDN用戶信息泄露事件導致大量用戶對這一技術網站失去信心等例子。

　　同時，在盡力阻止事態擴大的過程中，為了盡量降低負面影響，企業必然會盡力進行各種彌補措施。20世紀80年代爆發的儲蓄貸款危機給美國銀行業造成了巨大損失，直接導致1300多家商業銀行和1400多家儲貸協會破產，約占美國同期商業銀行和儲貸協會總數的14%。同時，為應對危機，美國政府付出了高昂的救助成本，累計支出1800多億美元用于清理破產機構。

　　第二點，事前預防，采用的是先發制人的策略，主動性強，而事后補救則被動得多。在占據主動的情勢下，企業可以更從容、更全面、更深入地思考面臨的問題。相反如果在事故突發，人心慌亂的情況下，企業極有可能囿于對危機的焦慮之中，無法冷靜地分析全局，結果錯上加錯，使局面愈加惡化。“信息安全防護是一種戰爭--網絡戰爭，無論是國家還是企業，都已經身處于這場無硝煙的戰爭之中，中國人常說“不打無準備之仗”，凡事豫則立，不豫則廢，”IP-guard黃凱強調道。

　　預防有道

　　那么如何做好充分的準備呢？IP-guard黃凱認為，最重要的就是要對企業進行全面的風險評估，只有清楚地了解問題，才能有的放矢地解決問題。

　　評估需要通過三大過程。第一，通過內部問卷調研、人員訪談等方式，了解清楚企業各部門資產的情況，各級別人員關心的范圍，從而確定關鍵信息資產以及安全需求。第二，識別這些關鍵信息所面臨的威脅，并建立威脅和系統脆弱性列表，進行詳細的對比，評估系統脆弱性即防范威脅的能力。第三，在脆弱性存在的前提下，評估風險發生的可能性和所產生的影響，從而確定風險的級別。

　　評估之后，則確定風險處理措施。根據不同部門的涉密程度以及所面臨的風險級別，部署輕重有別的防護系統。對此，黃凱強調到，切忌選擇性地忽視某些區域。雖然國內企業信息防泄露技術的發展已經日臻成熟，但還有不少企業的防泄露措施依然只集中于重點部門。非重點部門也可能接觸到機密信息，如果缺乏有效的管控措施，信息很可能就無聲無息的流出企業。

　　在采訪的最后，IP-guard黃凱總結道，做信息安全，無論是從成本，還是安全的角度看，提前預防都賦予了企業更多的時間與更從容的姿勢去應對，有準備永遠是勝利的關鍵。

服務器租用/服務器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質保障！--億恩科技[ENKJ.COM]