在前面三期中，國內著名信息安全專家，IP-guard(www.ip-guard.net)產品總監(jiān)黃凱向我們闡述了他提出的IT人必須持有的四點安全觀中的前三點“信息安全是一種生產要素”、“無安全事故不等于足夠安全”以及“預防比補救更省成本”。那么本期IP-guard黃凱將繼續(xù)分析安全觀最后一點---安全無止境，防護要適度。

安全之繭

在我們談到安全的時候，我們都很明白其目的是保障企業(yè)業(yè)務的持續(xù)發(fā)展，保護企業(yè)的利益，這也是企業(yè)做信息安全的意義。隨著內部智力資產對企業(yè)愈加重要，加之信息泄露事件頻發(fā)，企業(yè)逐漸意識到信息安全的重要性，大家紛紛加強安全預算，部署安全系統(tǒng)。企業(yè)對信息安全的重視度提高了，但是從采取的防護措施來看，大家對信息安全的理解顯然還不夠全面與深入。

“目前企業(yè)的信息安全有一種為安全為安全的傾向。不少企業(yè)將安全等同于“0”安全事故;還有些企業(yè)誤以為只要部署了防護措施就可以高枕無憂，當出現(xiàn)新威脅卻束手無策。這是大多數(shù)企業(yè)面臨的困局”，IP-guard黃凱說道。

對于信息安全，IP-guard黃凱認為，安全無絕對，這包含兩方面的含義。一方面，安全是一個相對的要求，企業(yè)不需要一味追求絕對的安全;另一方面，安全還是個動態(tài)過程，需要根據(jù)變化而不斷改變。對此，黃凱結合ISO27001的內容進行深入闡述。

第一，安全必須考慮成本，如果防護成本比風險發(fā)生造成損失還要大，反而得不償失。ISO 27001中提到，風險評估要考慮喪失資產的保密性、完整性和可用性所造成的后果的情況下，評估安全失效可能造成的對組織的影響;要根據(jù)主要的威脅和脆弱性、對資產的影響以及當前所實驗的控制措施，評價安全失效發(fā)生的現(xiàn)實可能性;要估計風險的級別，然后確定風險是否可接受。“要牢記一點，安全以企業(yè)發(fā)展為前提，切勿步入為安全而安全的誤區(qū)。”。IP-guard黃凱強調道。

第二，企業(yè)所面臨的內外部環(huán)境在不斷變化，如新的安全威脅，企業(yè)規(guī)模增大、架構調整、人員變動等，因此，沒有一勞永逸的安全解決方案，企業(yè)的信息安全管理需要根據(jù)變化不斷調整。

為擺脫安全困局，現(xiàn)在企業(yè)需要轉變對安全的思考模式，以一種更加積極的態(tài)度，更加長遠的眼光來看待它，然后根據(jù)公司的發(fā)展戰(zhàn)略以及業(yè)務的實際需求，制定合理的信息安全計劃。

“被”安全到“要”安全

那么企業(yè)到底應以一種怎樣的方式去建設信息安全?IP-guard黃凱說到，“企業(yè)必須從一個被動的接受者向一個主動出去者轉變。”

首先要對公司的信息系統(tǒng)進行全面的風險評估，包括信息資產的脆弱性，可能面臨的威脅，風險發(fā)生的后果等，然后根據(jù)評估結果，制定起碼是中長期的信息安全計劃，比如一至三年。在這個時間段中，也要定期進行安全評估，以隨時調整控制策略，持續(xù)對防護的有效性進行改善。比如經過評估發(fā)現(xiàn)在近兩月里面，職員跳槽頻繁，并且有些人員有訪問機密信息的權限，但并沒有對這部分人員加強安全防護，那么接下來就應該調整公司的防護策略，有側重性地針對敏感人群加強安全控制。

其次根據(jù)評估結果，根據(jù)資產價值與威脅等級針對性部署輕重有別的防護措施。如可以將信息資產按重要性劃分為普通、秘密、機密三個級別，普通級別可只運用審計對所有文檔操作進行記錄，以確保外泄行為發(fā)生時可有跡可循;對秘密級別文檔可能要加上權限控制，以降低文檔被有意無意外發(fā)的機率;而對于機密文檔就要對其進行強制加密，以最大程度地保證其安全，即使外泄也不能正常打開。又如將威脅按其不同性質進行分類，有些服務如FTP，如果存在風險，而對組織又不是不可或缺，則可直接規(guī)避;有些風險即使發(fā)生，造成的損失也很小，甚至比防護的成本還要低，則可選擇接受;對于不可接受的風險，企業(yè)應該盡一切可能將其降至最低，防止其發(fā)生。在處理風險時，企業(yè)需要根據(jù)面臨的安全風險及安全需求進行輕重有別的防護，選擇平衡安全、效率與成本的解決方案。而這也是 IP-guard所提倡的信息防泄密理念。IP-guard綜合運用審計、權限控制、加密等防泄密技術，幫助企業(yè)構建起防護力度輕重不一、立體化的信息防泄密體系。

近幾年我國信息安全領域事故頻發(fā)，給個人、企業(yè)和社會都造成了不小的影響，國家也高度重視，對信息犯罪進行嚴厲的打擊，但對于企業(yè)來說，如何做好信息安全建設尚存在很多不足，安全之路長路漫漫。最后IP-guard黃凱建議道，“沒有絕對的安全，只有絕對的評估。只有不斷地進行安全檢查，及時發(fā)現(xiàn)問題并解決，才是長久的安全之道”。