安全观之我见(二):无事不与安全同51CTO博客 - 乐橙lc8

安全观之我见(二):无事不与安全同51CTO博客

2019年02月28日14时48分32秒 | 作者: 怜南 | 标签: 安全,企业,危险 | 浏览: 1929

当一个企业有300个危险或违章,必定要发作29起轻伤或毛病,在这29起轻伤事端或毛病傍边,有一同重伤、逝世或重大事端。海因里希规律              

1941年美国的海因里西计算了55万件机械事端,其间逝世、重伤事端1666件,轻伤48334件,其他则为无伤害事端。然后得出一个重要定论,即在机械事端中,逝世、重伤、轻伤和无伤害事端的份额为1:29:300,国际上把这一规律叫事端规律。 再来将这个数据与Verizon 2010年度数据走漏查询报告给出的数据做一下比照。   1、85%的走漏作业并不好不容易的。 2、只需4%的数据走漏需求困难的、贵重的自我维护办法才干得以完成。 3、高达87%的受害者在他们的日志文件里都有数据走漏的依据,但他们却错过了。 4、在受害者中,有些是需求恪守PCI-DSS规范的,但79%的受害者在数据走漏发作之前,都没能完成规矩遵照。假如安全规矩得到恪守,大多数的数据走漏都是可以防止的。   经过以上两组数据,咱们看出在企业安全事端中,那些难度高、概率小、损害大的事端仅仅占很小的一部分,而那些损害细微,难度小的部分则居大头。为什么会这样?上面的数据现已为咱们给出了解说:不恪守安全规矩。而关于为何拟定的安全策略得不到有力履行,信任咱们每个人都有共同而深入的领会。其间一个主要原因就是企业抱有一种侥幸心理,以为眼下没发作安全作业、没形成损害,就是安全。因而满足于眼前的惊涛骇浪,殊不知外表的无事与真实的安全根本是两个概念。作为企业IT办理人员,尤其是做安全办理的人员,要清晰的知道:无事不与安全同。   成于忧患,败于闲适   其真实咱们日子傍边,相似的比方真实不少。比方咱们常常会有这样一种体会,走在在路上,不期然地鞋里进了一粒细石,所以脚底感到了沙石悄悄的硌,咱们一边想将其抖落出来,一边又觉得一粒小小的石子不会发作多大的痛苦,大可不必因而停步折腰,所以走一步,感触一次,尽管不是特别激烈的影响,可是这一次又一次悄悄的硌,却总算让咱们疲累不堪。在历史上,因贪图闲适而导致消亡的案例可谓不乏其人,最为典型的如欧阳修《伶官传序》中所描绘的唐庄宗李存勖,在其完成父亲遗志后,便开端过着骄逸的日子,冤杀大将,宠幸伶人,彻底没有留意国家的安全势态每况遇下,终究为叛军所杀。忧劳兴国,逸豫亡身,商业又何曾不是如此。人们往往能识破他人的诈骗,却逃不过自己谎话。当咱们无视潜在的要挟,沉浸于当下的安静与安泰时,危险就会趁机加快向咱们接近。   如有或许,即成必定   而别的一个让人感觉很奇怪而又不得不正视的安全事实是:只需作业有变坏的或许,不论这种或许性有多小,它总会发作,这就是大名鼎鼎墨菲规律。美国的一名工程师爱德华·墨参加了美国空军于 1949年进行的一个测定人类对加快度的接受极限的MX981试验。其间有一个试验项目是将16个火箭加快度计悬空设备在受试者上方,其时有两种办法可以将加快度计固定在支架上,而难以想象的是,居然有人有条有理地将16个加快度计悉数装在过错的方位,所以墨菲作出了这一闻名的结论。尽管墨菲规律开始仅仅一位工程师的即兴发挥,可是最终人们发现墨菲规律的适用范围十分十分广泛,它提示了一种共同的社会及自然现象。那么关于企业信息安全而言,就是只需企业中存在安全漏洞,则必定会转化成为安全事端,仅仅时间迟早的问题。   实时备战,庶可保全   那企业应该采纳怎样的办法以确保信息安全呢?个人以为,以下两点是有必要具有的。   一、定时评价危险,全面警觉。   企业应该定岗定人定时对企业进行全面的危险评价,实时把握潜在的危险。依据IT Policy Compliance Group2011查询,企业进行危险评价的频率会对企业的危险系数发作直接影响,危险评价较为频频的企业,如每周到每两个月之间一次,其事务危险就会较低;而每季度一次或许距离更长的企业,面对的危险则相对较高。因而,企业应多进行危险评价,下降企业危险系数,时间距离一个月内为佳。   别的评价的全面性十分重要,许多企业在评价危险时,会人为地设定某区域为肯定安全,或许安全与否无所谓,因而留下危险评价的盲区,为企业的全体安全埋下危险。在安全问题上,不存在所谓与无所谓的分界,企业以为无所谓的当地,往往就是***者的进口。假如企业在一处忽略,则很或许形成全体防护办法的失效,就正如二战中法国用以防护德意***的马其诺防地,被敌方出乎意料,趁火打劫,比及想要力挽狂澜时,只能无可奈何了。   二、加强防护办法,确保防护体系继续有用。   在危险评价后,企业要针对评价成果,进行针对性的防护办法布置,确保维护力度满足应对相应的危险。不能由于某部分危险相对较低,便彻底不作防护,让其彻底处于露空的状况,企业不应该梦想小危险就不会导致大事端的发作。信息安全,其实很像是买稳妥,没有发作事端时,似乎是自己吓自己,杞人忧天;而事端发作后才理解防护的重要性。养兵千日,用在一时,防护办法的效果不在于时间都在防护各种***,而在于***来临的时分,它可以应时而动,满足给力,捍卫企业安全。这就像平和时代,各个国家都要进行军事建造相同,为的是某天要挟接近时,可随时上战场。   企业进行信息化安全建造切不可安于眼前的无事,由于谁也无法意料事端会在什么时分,从什么当地来临。谨言慎行,及时做好防护作业才干确保信息安全。
版权声明
本文来源于网络,版权归原作者所有,其内容与观点不代表乐橙lc8立场。转载文章仅为传播更有价值的信息,如采编人员采编有误或者版权原因,请与我们联系,我们核实后立即修改或删除。

猜您喜欢的文章