一、信息安全观

    网络监控和网络安全专家认为：“信息安全是一种生产要素，还未发生安全事故不等于足够内网安全”。

    二、海因里希法则

    在深入阐述观点之前，先给大家介绍一个法则——海因里希法则：

    当一个企业有300个隐患或违章，必然要发生29起轻伤或故障，在这29起轻伤事故或故障当中，有一起重伤、死亡或重大事故。这个法则是1941年美国的海因里希统计了55万件机械事故之后，得出的重要数据结论。

    对于不同的生产过程，不同类型的事故，上述比例关系不一定完全相同，但这个统计规律说明了在进行同一项活动中，无数次意外事件，必然导致重大伤亡事故的发生。此法则适用于包括信息安全在内的任何安全领域，要防止重大安全事故的发生必须减少和消除无伤害事故，要重视事故的苗头和未遂事故，否则终会酿成大祸。

    71年后，我们身边的世界仍然发生着众多让人震惊的信息泄露事故：2012年考研英语、政治试题大规模外泄；招行、工行、农行三大银行内部人员窃取、贩卖客户信息造成受害人损失3000多万元；英特尔前员工承认盗窃内部价值10亿美元机密信息……

    Verizon数据调查报告中的数据，更加直观地印证了大多影响重大的数据泄密事故在事发前都有迹可循：

    搜集了一些数据可能会更加直观地印证这些数据泄密事件的源头：

    1、85％的数据泄露事件并不十分困难的。
    2、只有4％的数据泄露需要困难的、昂贵的自我保护措施才能得以实现。
    3、高达87％的受害者在他们的日志文件里都有数据泄露的证据，但他们却错过了。
    4、在受害者中，有些是需要遵守PCI-DSS标准的，但79％的受害者在数据泄露发生之前，都没能实现规则遵从。如果安全规则得到遵守，大多数的数据泄露都是可以避免的。

    根据海因里希法则和上面的几组数据，可以看出在企业信息安全事故中，那些难度高、概率小、危害大的事故仅占很小的一部分，而那些危害看似不大，难度小的数据泄露事件则居大头。为什么会这样？

    因为不遵守安全规则！而对于为何制定的信息安全策略得不到有力执行，相信不少人都会有体会，其中一个主要原因便是企业抱有一种侥幸心理，认为眼下没有发生信息安全事件，或者没有造成较大危害，就是信息安全。殊不知表明的风平浪静跟真正的信息安全根本是两个概念。作为企业IT管理人员，尤其是做信息安全管理的人员，要明确的知道：无安全事故不等于足够的信息安全。

    三、实时备战庶可保全

    那企业应该采取怎样的措施以保证信息安全呢？

    1、定期评估风险，全面警惕。

    企业应该定岗、定人、定期对内部风险进行全面评估，实时掌握潜在风险。根据IT Policy Compliance Group2011调查，企业进行风险评估的频率会对企业的风险系数产生直接影响，风险评估较为频繁的企业，如每周到每两个月之间一次，其业务风险就会较低；而每季度一次或者间隔更长的企业，面临的风险则相对较高。因此，企业应多进行风险评估，降低企业风险系数，时间间隔一个月内为佳。

    另外评估的全面性非常重要，许多企业在评估风险时，会人为地设定某区域为绝对信息安全，或者信息安全与否无所谓，因此留下风险评估的盲区，为企业的整体安全埋下隐患。在信息安全问题上，往往是企业认为“无所谓”的地方，成为入侵者的入口。如果企业在一处疏忽，则很可能造成整体防护措施的失效，就正如二战中法国用以防御德意入侵的马其诺防线，被敌方出其不意，攻其不备，等到想要力挽狂澜时，只能望洋兴叹了。

    2、加强防护措施，确保防御系统持续有效。

    在风险评估后，企业要根据评估结果，部署防护措施，不能因为某部分风险程度相对较低，便置之不理，让其暴露在空白防护状态。信息安全，就如买保险，无事故发生之时，我们看不到保险的作用，事故发生之后才明白预先防护的重要性。“养兵千日，用在一时”，防护措施的作用不在于时刻都在防御攻击，而在于当攻击来临之时，它也能从容应对。

    企业进行信息安全防护切不可安于目前无事的现状，莫以概率低而忽视信息安全防护，因为信息安全隐患随时可能被引爆，谨小慎微，及时做好防御工作才能保证信息安全。