1、精選優(yōu)質(zhì)文檔-傾情為你奉上集團(tuán)董事會(huì)辦公室梁學(xué)慧提供信息安全小故事溫水煮青蛙：青蛙能逃離沸水，卻會(huì)死于溫水文火 如果將青蛙放在很燙的熱水里，青蛙會(huì)馬上感受到高溫并跳出來(lái)。但要是將青蛙放在溫水中，青蛙就不會(huì)有太激烈的反應(yīng)，水溫逐漸升高，等到青蛙意識(shí)到危險(xiǎn)的時(shí)候，它已經(jīng)沒(méi)有力氣跳出去了。這個(gè)故事告訴我們，身處危險(xiǎn)之中卻渾然不知，是非常可怕的事情。對(duì)企業(yè)來(lái)說(shuō)，造成危機(jī)的許多誘因可能潛伏在日常的經(jīng)營(yíng)管理當(dāng)中，如果麻痹大意，缺乏危機(jī)意識(shí)和足夠重視，導(dǎo)致小事情帶來(lái)“連鎖反應(yīng)”、“滾雪球效應(yīng)”、“惡性循環(huán)”，最終將會(huì)演變成摧毀企業(yè)的危機(jī)。信息安全需要居安思危，通過(guò)風(fēng)險(xiǎn)評(píng)估，及時(shí)發(fā)現(xiàn)隱患和威脅，早作預(yù)防，并且

2、養(yǎng)成良好的安全意識(shí)和操作習(xí)慣，避免變成 “溫水中的青蛙”。 死狗原理：沒(méi)人會(huì)去踢一只死狗 “沒(méi)人會(huì)去踢一只死狗”是一句處事名言，每當(dāng)名人、政要 或是某人平步青云而遭受非議甚至惡意誹謗時(shí)，都會(huì)有人用這句話(huà)來(lái)勸解或?qū)捨俊２缓侠淼呐u(píng)往往是一種被掩飾的贊美，只有一事無(wú)成的小人物才不會(huì)引起別人的注意，更不會(huì)遭到嚴(yán)厲的批評(píng)。 對(duì)信息安全來(lái)說(shuō)，威脅和風(fēng)險(xiǎn)往往和高價(jià)值的信息資產(chǎn)聯(lián)系在一起，安全保護(hù)工作，也就應(yīng)該重點(diǎn)放在高價(jià)值的信息資產(chǎn)上。什么是高價(jià)值信息資產(chǎn)？風(fēng)險(xiǎn)評(píng)估告訴我們就是業(yè)務(wù)活動(dòng)所依賴(lài)的信息系統(tǒng)，無(wú)論軟件、硬件、數(shù)據(jù)、服務(wù)還是人。如果想“無(wú)為而治”，除非所見(jiàn)的只是毫無(wú)價(jià)值的“死狗”。 冰山理論：露出

3、水面的僅僅是冰山一角 一座浮于海面的冰山，露在水面以上的只是其十分之一，而另外90%是看不見(jiàn)的。當(dāng)一艘巨輪撞到冰山的時(shí)候，很可能會(huì)遭受和泰坦尼克一樣的厄運(yùn)。無(wú)獨(dú)有偶，國(guó)際航空界也有一個(gè)著名的海恩法則：“每一起嚴(yán)重的航空事故背后，必然有近30起輕微事故和300 多起未遂事故先兆，以及10000多起事故隱患”，要想消除一起嚴(yán)重的事故，就必須像發(fā)現(xiàn)并回避藏在水面以下的冰山那樣，把這10000 多起事故隱患控制住并消滅在萌芽狀態(tài)。真正可怕的，并不是眼前發(fā)生的事故，而是更多潛伏未知的隱患和威脅。信息安全工作的重點(diǎn)，不能僅僅放在對(duì)各種事故的應(yīng)急處理上，更應(yīng)該及早發(fā)現(xiàn)隱患和威脅，積極預(yù)防，防患于未然。當(dāng)然，

4、面對(duì)已經(jīng)暴露出的問(wèn)題，也應(yīng)該深入分析和徹底解決，真正做到 “三不放過(guò)”：當(dāng)事人未受到教育不放過(guò)；根本原因未查明不放過(guò)； 整改措施為落實(shí)不放過(guò)。 破窗效應(yīng)：破窗會(huì)帶來(lái)更大的麻煩 建筑物的一扇窗戶(hù)破了，如果無(wú)人理會(huì)，很快這里其他的窗戶(hù)也會(huì)破掉。破窗似乎在告訴大家：主人并不在意窗戶(hù)是否破損，這里的管理混亂，人們被動(dòng)消極。其實(shí)，任何一種不良現(xiàn)象的存在都在傳遞一種信息，這種信息會(huì)導(dǎo)致不良現(xiàn)象的無(wú)限擴(kuò)展，如果對(duì)那些看來(lái)是偶然的、個(gè)別的、輕微的過(guò)錯(cuò)不聞不問(wèn)、反應(yīng)遲鈍或糾正不力，就會(huì)縱容更多人去“打爛更多的窗戶(hù)玻璃”，要知道，“千里之堤，潰于蟻穴”。相反有個(gè)所謂的“熱爐效應(yīng)”：用爐火取暖，誰(shuí)都不敢去碰爐子一下

5、。 公司的管理制度是破窗呢？還是熱爐？規(guī)定要有門(mén)禁，可屢屢發(fā)現(xiàn)陌生人尾隨進(jìn)入；規(guī)定要安裝發(fā)病毒軟件，可總有人電腦中病毒；規(guī)定口令要安全，但弱口令、空口令比比皆是。如果大家都熟視無(wú)睹，如果領(lǐng)導(dǎo)也不以為然，也許有一天，您的重要財(cái)務(wù)就會(huì)失竊，您的網(wǎng)絡(luò)就會(huì)癱瘓，您的敏感信息就會(huì)泄露。執(zhí)行不到位，再好的制度和措施也都是一紙空文。 墨菲定律：掉落的面包總是涂有黃油的一面著地 當(dāng)你用早餐時(shí)，一片涂了黃油的面包突然從手上掉下，它將如何著地？是的，一定是抹了黃油的那面著地。“如果某種事情可能出錯(cuò)，他就會(huì)出錯(cuò)。”這就是著名的墨菲定律。對(duì)此，通常會(huì)有兩種截然不同的態(tài)度：一種很消極，認(rèn)為既然差錯(cuò)難免，事故遲早會(huì)發(fā)生，

6、那就索性放任，聽(tīng)天由命；另一種是積極的態(tài)度，認(rèn)為既然問(wèn)題可能存在，那就不能存有僥幸心理，應(yīng)該時(shí)刻警覺(jué)，小心提防，別讓面包從手里落地豈不更好？ 病毒發(fā)生并非天天都有，但不要以為今天平安無(wú)事，不安裝防病毒軟件就理所當(dāng)然；門(mén)禁系統(tǒng)失靈，雖然今天沒(méi)有陌生人進(jìn)入，但你能保證明天或者后天不會(huì)？大量案例告訴我們，僥幸心理和麻痹大意是導(dǎo)致信息安全事故發(fā)生的主要原因。盡管有一些事故發(fā)生的概率很小，但在一次活動(dòng)中仍可能發(fā)生，因此不能忽視，必須堅(jiān)持預(yù)防為主的原則。 名醫(yī)啟示：名醫(yī)起死回生，神醫(yī)防微杜漸 扁鵲是公認(rèn)的名醫(yī)，其實(shí)他還有兩個(gè)哥哥，醫(yī)術(shù)比扁鵲還好。一次魏文帝問(wèn)起此事，扁鵲解釋說(shuō)：我的兩位兄長(zhǎng)才是真正的神醫(yī)。

7、 我大哥治病，是在病情發(fā)作之前。他所在的地方人們身體健康，根本不生病，所以他的名氣無(wú)法傳出去，只有我們家的人才知道。我二哥治病，是在病情初起之時(shí)。他所在的地方人們患上輕微的小病很快就痊愈，所以他的名氣只在本鄉(xiāng)傳播。我扁鵲治病，是在病情嚴(yán)重的時(shí)候。一般人都見(jiàn)我經(jīng)脈穿針?lè)叛⑵つw上敷藥等大手術(shù)，以為我醫(yī)術(shù)高明，名氣因此響遍全國(guó)。 信息安全不應(yīng)該只停留在查殺病毒、入侵檢測(cè)、信息泄漏等應(yīng)急事件處理上，這樣只會(huì)成為焦頭爛額的“救火隊(duì)員”，而更應(yīng)該具有前瞻性，在日常工作中防患于未然，將安全工作做到“隱形”。您在信息安全上更需要神醫(yī)？還是名醫(yī)？ 籃子理論：別把所有雞蛋放在一個(gè)籃子里 籃子理論首先是作為一個(gè)金

8、融投資理念被提出，用以降低投資風(fēng)險(xiǎn)，但它具有更廣泛的適用性，可以用在其他風(fēng)險(xiǎn)管理領(lǐng)域。舉個(gè)簡(jiǎn)單例子，“9.11”事件中，上千家公司和機(jī)構(gòu)的重要數(shù)據(jù)隨著世貿(mào)大廈一同葬身火海，有的公司就此消失，但有些公司卻能在第二天就恢復(fù)業(yè)務(wù)，這完全在于有沒(méi)有把雞蛋放在不同籃子的區(qū)別。 對(duì)企業(yè)來(lái)說(shuō)，做好數(shù)據(jù)備份是確保業(yè)務(wù)連續(xù)的重要手段。除了信息和數(shù)據(jù)，相關(guān)的人員、設(shè)備、服務(wù)等，都需要基于冗余和備份的思想，將其納入到統(tǒng)一的業(yè)務(wù)連續(xù)性管理當(dāng)中。 KISS原則： Keep It Simple, Stupid! “Keep It Simple, Stupid!”直接翻譯過(guò)來(lái)就是“保持簡(jiǎn)單、傻瓜！”KISS原則可以用在很多

9、方面，程序設(shè)計(jì)KISS，系統(tǒng)架構(gòu)KISS，企業(yè)管理更要KISS。很顯然，越是復(fù)雜的事情越容易導(dǎo)致效能低下和資源浪費(fèi)。解決問(wèn)題應(yīng)把握主流，抓住根本，不要人為地復(fù)雜化。當(dāng)然，把事情變復(fù)雜很簡(jiǎn)單，把事情變簡(jiǎn)單卻很復(fù)雜，要看如何去把握了。 KISS也是適用于信息安全的一項(xiàng)原則。盡量保持系統(tǒng)簡(jiǎn)單， 從而實(shí)現(xiàn)穩(wěn)定、高效和安全；盡量保持環(huán)境簡(jiǎn)潔，從而實(shí)現(xiàn)有序、可控和安全；盡量保持管理制度的簡(jiǎn)明，從而實(shí)現(xiàn)明確、可行和安全。 木桶原理：木桶的容量取決于最短的那根木板用木桶來(lái)裝水，如果組成木桶的木板參差不齊，那么它能盛水的容量不是由最長(zhǎng)的板子來(lái)決定，而是由木桶中最短的板子決定的，因此這又被稱(chēng)作“短板效應(yīng)”。如果事

10、物發(fā)展過(guò)程中存在“短板”，其整體發(fā)展程度就會(huì)受到影響，往往劣勢(shì)決定優(yōu)勢(shì)，劣勢(shì)決定生死，很多時(shí)候，一件事情就會(huì)毀了所有的努力。 信息安全涉及非常多的方面，無(wú)論哪個(gè)方面薄弱，都會(huì)對(duì)整體的安全帶來(lái)隱患。如果只重視技術(shù)，不惜巨資采購(gòu)設(shè)備和實(shí)施技術(shù)控制，卻輕視管理，忽視安全制度建設(shè)和員工安全意識(shí)，真正的安全也難以實(shí)現(xiàn)。即使部署了最新的防火墻和入侵檢測(cè)系統(tǒng)，實(shí)施了嚴(yán)格的網(wǎng)絡(luò)接入控制，可有人隨便拿一個(gè)U盤(pán)，直接插在沒(méi)有鎖屏的服務(wù)器上，一個(gè)公司的核心數(shù)據(jù)也許就泄漏出去了。 飛輪效應(yīng)：旋轉(zhuǎn)的飛輪依賴(lài)持之以恒的推動(dòng) 為了使靜止的飛輪轉(zhuǎn)動(dòng)起來(lái)，一開(kāi)始必須使很大的力氣，但隨著飛輪轉(zhuǎn)動(dòng)得越來(lái)越快，達(dá)到某個(gè)臨界點(diǎn)后，其重

11、量和沖力就會(huì)成為推動(dòng)力的一部分，這時(shí)候，只需持續(xù)的輕輕用力，飛輪會(huì)一直快速轉(zhuǎn)動(dòng)。 信息安全是動(dòng)態(tài)持續(xù)的發(fā)展過(guò)程，也許起步階段（建設(shè)期）很困難，畢竟需要改變一些固有的東西，特別是人的意識(shí)和習(xí)慣，但只要堅(jiān)持下去，使得信息安全各項(xiàng)制度執(zhí)行和控制檢查進(jìn)入良性循環(huán)，依靠完善的制度、安全的環(huán)境、良好的意識(shí)，加上持續(xù)的支持和維護(hù)，信息安全這只飛輪就可以穩(wěn)定地旋轉(zhuǎn)下去。一個(gè)公司是只把信息安全當(dāng)作一個(gè)項(xiàng)目？還是想讓信息安全成為公司管理的常態(tài)？這完全取決于怎樣去用力。 獨(dú)眼鹿寓言：自以為安全的地方往往是最危險(xiǎn)的 一只獨(dú)眼鹿正在河邊吃草，她用一只眼睛看著陸地，留意著獵人，另一側(cè)瞎了的眼睛則對(duì)著河流，因?yàn)樗龔奈匆?jiàn)過(guò)獵

12、人從河里出現(xiàn)，恰巧有個(gè)獵人乘船從河上經(jīng)過(guò)，一箭就射倒了她。 相對(duì)于“外部”，人們對(duì)“內(nèi)部”有著天生的安全感，因而更容易疏于防范。實(shí)際上根據(jù)權(quán)威調(diào)查，信息安全威脅幾乎90%都出 自于企業(yè)內(nèi)部。當(dāng)您以為防范外部黑客入侵是避免信息泄漏的關(guān)鍵時(shí)，殊不知內(nèi)部員工一次毫無(wú)障礙的資料拷貝就輕而易舉地將防線(xiàn)化解。企業(yè)應(yīng)該通過(guò)訪(fǎng)問(wèn)控制、職責(zé)分離、監(jiān)督檢查、安全意識(shí)宣貫等措施，從根本上減少內(nèi)部威脅。 懶螞蟻效應(yīng)：任何組織都存在不可或缺的懶螞蟻 在一個(gè)蟻群中，在辛勤忙碌的工蟻背后，總有一定數(shù)量的懶螞蟻，它們“無(wú)所事事”，“游手好閑”。這些從不干具體事務(wù)、看似好吃懶做的螞蟻，實(shí)際上擔(dān)負(fù)著開(kāi)辟食源、危險(xiǎn)預(yù)警、組織分工等特殊使命。懶螞蟻把大部分時(shí)間都花在了“偵查”和“研究” 上。它們能觀察到組織的薄弱之處，防衛(wèi)預(yù)警，擁有讓蟻群在困難時(shí)刻仍然存活的本領(lǐng)，保持對(duì)新食物的探索狀態(tài)。一旦蟻群遭遇危 機(jī)，懶螞蟻就會(huì)挺身而出，指揮全體螞蟻尋找出路、渡過(guò)難關(guān)。 不要以為信息安全是可有可無(wú)的工作，盡管它似乎不會(huì)為企業(yè)創(chuàng)