感悟信息安全之道課件

1、感悟信息安全之道感悟信息安全之道溫水煮青蛙如果把一只青蛙扔進一鍋滾燙的水中，它會立刻拼命從水里跳出來逃生；而如果把青蛙放進一鍋冷水中，然后慢慢加熱鍋里的水，青蛙就會一直呆在水里直到最終被燙死。信息安全需要居安思危，通過風(fēng)險評估，及時發(fā)現(xiàn)隱患和威脅，早作預(yù)防，并且養(yǎng)成良好的安全意識和操作習(xí)慣，避免變成“溫水中的青蛙”溫水煮青蛙如果把一只青蛙扔進一鍋滾燙的水中，它會立刻拼命從水死狗原理沒人會去踢一只死狗美國曾有一位年輕人，出身寒微，依靠自己的努力，在30歲時就當(dāng)上了全美有名的芝加哥大學(xué)的校長。這時各種攻擊像雨點般落到了他的頭上，有人對他的父親說：“看到報紙對你兒子的批評了嗎？真是令人震驚?！倍?/p>

2、親卻平靜地說：“我看見了，真是尖酸刻薄。但是記住，沒有人會踢一只死狗的。”對信息安全來說，威脅和風(fēng)險往往和高價值的信息資產(chǎn)聯(lián)系在一起，安全保護工作，也就應(yīng)該重點放在高價值的信息資產(chǎn)上，什么是高價值信息資產(chǎn)？通過風(fēng)險評估，您知道，它是您業(yè)務(wù)依賴的信息系統(tǒng)，無論軟件、硬件、服務(wù)還是人。如果您想“無為而治”，除非您所見的只是毫無價值的“死狗”。死狗原理沒人會去踢一只死狗美國曾有一位年輕人，出身寒微，冰山理論：露出水面的僅僅是冰山一角著名的冰山理論：一座浮于海面的冰山，露在水面以上的只是其十分之一，而另外90是看不見的。當(dāng)一艘巨輪撞到冰山的時候，很可能遭遇泰坦尼克一樣。要想消除一起嚴重的事故，就必須像

3、發(fā)現(xiàn)并回避藏在水面以下的冰山那樣，把事故隱患控制住并消滅在萌芽狀態(tài)。信息安全工作的重點，不能僅僅放在對各種事故的應(yīng)急處理上，更應(yīng)該及早發(fā)現(xiàn)隱患和威脅，積極預(yù)防，防患于未然。當(dāng)然，面對已經(jīng)暴露出的問題，也應(yīng)該深入徹底解決，真正做到“三不放過”：當(dāng)事人未受到教育不放過；根本原因未查明不放過；整改措施未落實不放過。冰山理論：露出水面的僅僅是冰山一角著名的冰山理論：一座浮破窗效應(yīng)：破窗會帶來更大的麻煩如果有人打壞了一幢建筑物的窗戶玻璃，而這扇窗戶又得不到及時的維修，別人就可能受到某些暗示性的縱容去打爛更多的窗戶。久而久之，這些破窗戶就給人造成一種無序的感覺您公司的管理制度是破窗呢？還是熱爐？規(guī)定要有可

4、屢屢發(fā)現(xiàn)陌生人尾隨進入；規(guī)定要安裝防病毒軟件，可總有人電腦中病毒；規(guī)定口令要安全，但弱口令，空口令比比皆是。如果大家都熟視無睹，如果領(lǐng)導(dǎo)也不以為然，也許有一天，您的重要財物就會失竊，您的網(wǎng)絡(luò)就會癱瘓，您的敏感信息就會泄漏。執(zhí)行不到位，再好的制度和措施也都是一紙空文。破窗效應(yīng)：破窗會帶來更大的麻煩如果有人打壞了一幢建筑物的墨菲定律：掉落的面包總是涂有黃油的一面著地當(dāng)你用早餐時，一片涂了黃油的面包突然從手上掉下，它將如何著地？是的，一是抹了黃油的那面著地?！叭绻撤N事情可能出錯，它就會出錯?！边@就是著名的墨菲定律。對此，通常會有兩種截然沒的態(tài)度：一種很消極，認為既然差錯難免，事故遲早會發(fā)生，那就索

5、性放任，聽天由命；另一種是積極的態(tài)度，認為既然問題可能存在，那就不能存有僥幸心理，應(yīng)該時刻警覺，小心提防，別讓面包從手里落 地豈不更好？病毒發(fā)生并非天天都有，但不要以為今天平安無事，不安裝防病毒軟件就理所當(dāng)然；門禁系統(tǒng)失靈，雖然今天沒有陌生人進入，但你能保證明天或者后天不會？大量案例告訴我們，僥幸心理和麻痹大意是導(dǎo)致信息安全事故發(fā)生的主要原因。盡管有些事故發(fā)生的概率很小，但在一次活動中仍可能發(fā)生，因此不能忽視，必須堅持預(yù)防為主的原則。墨菲定律：掉落的面包總是涂有黃油的一面著地當(dāng)你用早餐時，一名醫(yī)啟示：名醫(yī)起死回生，神醫(yī)防微杜漸扁鵲是公認的名醫(yī)，其實他還有兩個哥哥，醫(yī)術(shù)比扁鵲還好。一次魏文帝問起

6、此事，扁鵲解釋說：我的兩位兄長才是真正的神醫(yī)。我大哥最擅長的是預(yù)防人們生病，讓人們保持健康。所以一般人不知道他會治病，只有家里的人知道。而二哥則擅長在人們剛剛開始感到不舒服的時候，就把病給他們徹底治好了。所以一般人以為他只能治治小毛病，只有家鄉(xiāng)的人才知道他。我則擅長治那些非常嚴重的病人。一般人一看到我又是開刀，又是放血，能夠把快死的人都給治好了，所以就會認為我的醫(yī)術(shù)最高明，自然也就揚名四海了。信息安全不應(yīng)該只停留在查殺病毒、入侵檢測、信息泄漏等應(yīng)急事件處理上，這樣只會成為焦頭爛額的“救火隊員”，而更應(yīng)該具有前瞻性，在日常工作中防患于未然，將安全工作做到“隱形”。對企業(yè)的管理者來說，您在信息安全

7、上更需要神醫(yī)？還是名醫(yī)？名醫(yī)啟示：名醫(yī)起死回生，神醫(yī)防微杜漸扁鵲是公認的名醫(yī)，其實籃子理論：別把所有雞蛋放在一個籃子里籃子理論首先是作為一個金融投資理念被提出，用以降低投資風(fēng)險，但它具有更廣泛的適用性，可以用在其它風(fēng)險管理領(lǐng)域中。舉個簡單例子，“9.11”事件中，上千家公司和機構(gòu)的重要數(shù)據(jù)隨著世貿(mào)大廈一同葬身火海，有的公司就此消失，但還有此公司卻能在第二天就恢復(fù)業(yè)務(wù)，這天于有沒有把雞蛋放在不同籃子的區(qū)別（因為有些公司做了完全的異地災(zāi)備，而另一些沒有）。對企業(yè)來說，做好數(shù)據(jù)備份是確保業(yè)務(wù)連續(xù)的重要手段。除了信息和數(shù)據(jù)，相關(guān)的人員、設(shè)備、服務(wù)等，都需要基于冗余和備份的思想，將其納入到統(tǒng)一的業(yè)務(wù)連續(xù)

8、性管理當(dāng)中。籃子理論：別把所有雞蛋放在一個籃子里籃子理論首先是作為一個KISS原則：“Keep It Simple, Stupid!”直接翻譯過來就是“保持簡單、傻瓜！”KISS原則可以用在很多方面，程度設(shè)計ISS，系統(tǒng)架構(gòu)KISS，企業(yè)管理更要KISS。很顯然，越是復(fù)雜的事情越容易效能低下和資源浪費。解決問題應(yīng)把握主流，抓住根本，不要人為地復(fù)雜化。當(dāng)然把事情變復(fù)雜很簡單，把事情變簡單卻很復(fù)雜，就看如何去把握了。KISS也是適用于信息安全的一項原則。盡量保持系統(tǒng)簡單，從而實現(xiàn)穩(wěn)定、高效和安全；盡量保持管理制度的簡明，從而實現(xiàn)明確、可行和安全。KISS原則：“Keep It Simple, St

9、u木桶原理：木桶容量取決于最短的那根木板用木桶來裝水，如果組成木桶的木板參差不齊，那么它能盛水的容量不是由最長的板子來決定，而是由木桶中最短的板子決定的，因此這又被稱作“短板效應(yīng)”。如果事物發(fā)展過程中存在“短板”，其整體發(fā)展程度就會受到影響，往往劣勢決定優(yōu)勢，劣勢決定生死，很多時候，通常一件事情就會毀了所有的努力。信息安全牽涉非常多的方面，無論哪個方面薄弱，都會對整體的安全帶來隱患。如果只重視技術(shù)，不惜巨資采購設(shè)備和實施技術(shù)控制，卻輕視管理，安全制度建設(shè)和員工安全意識，真正的安全也難以實現(xiàn)。您知道嗎？當(dāng)您部署了最新的防火墻和入侵檢測系統(tǒng)，實施了嚴格的網(wǎng)絡(luò)接入控制，可有人隨便拿一下U盤，直接插在

10、沒有鎖屏的服務(wù)器上，您的核心數(shù)據(jù)也許就泄漏出去了。木桶原理：木桶容量取決于最短的那根木板用木桶來裝水，如果組飛輪效應(yīng)：旋轉(zhuǎn)的飛輪依賴持之以恒的推動為了使靜止的飛輪轉(zhuǎn)動起來，一開始必須從事使很大的力氣，但隨著飛輪轉(zhuǎn)動得越來越快，達到某個臨界點后，其重量和沖力就會成為推動力的一部分，這時候，只需持續(xù)地輕輕用力，飛輪會一直快速轉(zhuǎn)動。信息安全是動態(tài)持續(xù)的發(fā)展過程，也許起步階段（建設(shè)期）很困難，畢竟需要改變一些固有的東西，特別是人的意識和習(xí)慣，很只要堅持下去，使得信息安全各項制度執(zhí)行和控制檢查進入良性循環(huán)，依靠完善的制度、安全的環(huán)境、良好的意識，加上持續(xù)的支持和維護，信息安全這只飛輪就可以穩(wěn)定地旋轉(zhuǎn)下去

11、。您是只把信息安全當(dāng)作一個項目？還是想讓信息安全成為公司管理的常態(tài)？這完全取決于您怎樣去用力。飛輪效應(yīng)：旋轉(zhuǎn)的飛輪依賴持之以恒的推動為了使靜止的飛輪轉(zhuǎn)動獨眼鹿寓言：自以為安全的地方往往是最危險的一只獨眼鹿正在河邊吃草，她用一只眼睛看著陸地，留意著獵人，另一側(cè)瞎了的眼睛則對著河流，因為她從未見過獵人從河里出現(xiàn)，恰巧有個獵人乘船從河上經(jīng)過，一箭就射倒了她。相對于“外部”，人們對于“內(nèi)部”有著天生的安全感，因而更容易疏于防范。實際上根據(jù)權(quán)威調(diào)查，信息安全威脅幾乎90%都出自于企業(yè)內(nèi)部。當(dāng)您認為防范外部黑客入侵是避免信息泄漏的關(guān)鍵時，殊不知內(nèi)部員工一次毫無障礙的資料拷貝就輕而易舉地將防線化解。企業(yè)應(yīng)該

12、通過訪問控制、職責(zé)分離、監(jiān)督檢查、安全意識宣貫等措施，從根本上減少內(nèi)部威脅。獨眼鹿寓言：自以為安全的地方往往是最危險的一只獨眼鹿正在河懶螞蟻效應(yīng)：任何組織都存在不可或缺的懶螞蟻在一個蟻群中，在辛勤忙碌的工螞蟻背后，總有一定數(shù)量的懶蟻，它們“無所事事”，“游手好閑”。這些從不干具體事務(wù)、看似好吃懶做的螞蟻，實際上擔(dān)負著開辟食源、危險預(yù)警、組織分工等特殊使命。懶螞蟻把大部分時間都花在了“偵察”和“研究”上。它們能觀察到組織的薄弱之處，防衛(wèi)預(yù)警，擁有讓蟻群在困難時刻仍然存活的本領(lǐng)，保持對新食物的探索狀態(tài)。一旦蟻群遭遇危機，懶螞蟻就會挺身而出，指揮全體螞蟻尋找出路、渡過難關(guān)。不要以為信息安全是可有可無的工作，盡管它似乎不會為企業(yè)創(chuàng)造直接的效益。您是當(dāng)發(fā)生了重大事故時才想起了信息安全