1、精選優質文檔-傾情為你奉上集團董事會辦公室梁學慧提供信息安全小故事溫水煮青蛙：青蛙能逃離沸水，卻會死于溫水文火 如果將青蛙放在很燙的熱水里，青蛙會馬上感受到高溫并跳出來。但要是將青蛙放在溫水中，青蛙就不會有太激烈的反應，水溫逐漸升高，等到青蛙意識到危險的時候，它已經沒有力氣跳出去了。這個故事告訴我們，身處危險之中卻渾然不知，是非常可怕的事情。對企業來說，造成危機的許多誘因可能潛伏在日常的經營管理當中，如果麻痹大意，缺乏危機意識和足夠重視，導致小事情帶來“連鎖反應”、“滾雪球效應”、“惡性循環”，最終將會演變成摧毀企業的危機。信息安全需要居安思危，通過風險評估，及時發現隱患和威脅，早作預防，并且

2、養成良好的安全意識和操作習慣，避免變成 “溫水中的青蛙”。 死狗原理：沒人會去踢一只死狗 “沒人會去踢一只死狗”是一句處事名言，每當名人、政要 或是某人平步青云而遭受非議甚至惡意誹謗時，都會有人用這句話來勸解或寬慰。不合理的批評往往是一種被掩飾的贊美，只有一事無成的小人物才不會引起別人的注意，更不會遭到嚴厲的批評。 對信息安全來說，威脅和風險往往和高價值的信息資產聯系在一起，安全保護工作，也就應該重點放在高價值的信息資產上。什么是高價值信息資產？風險評估告訴我們就是業務活動所依賴的信息系統，無論軟件、硬件、數據、服務還是人。如果想“無為而治”，除非所見的只是毫無價值的“死狗”。 冰山理論：露出

3、水面的僅僅是冰山一角 一座浮于海面的冰山，露在水面以上的只是其十分之一，而另外90%是看不見的。當一艘巨輪撞到冰山的時候，很可能會遭受和泰坦尼克一樣的厄運。無獨有偶，國際航空界也有一個著名的海恩法則：“每一起嚴重的航空事故背后，必然有近30起輕微事故和300 多起未遂事故先兆，以及10000多起事故隱患”，要想消除一起嚴重的事故，就必須像發現并回避藏在水面以下的冰山那樣，把這10000 多起事故隱患控制住并消滅在萌芽狀態。真正可怕的，并不是眼前發生的事故，而是更多潛伏未知的隱患和威脅。信息安全工作的重點，不能僅僅放在對各種事故的應急處理上，更應該及早發現隱患和威脅，積極預防，防患于未然。當然，

4、面對已經暴露出的問題，也應該深入分析和徹底解決，真正做到 “三不放過”：當事人未受到教育不放過；根本原因未查明不放過； 整改措施為落實不放過。 破窗效應：破窗會帶來更大的麻煩 建筑物的一扇窗戶破了，如果無人理會，很快這里其他的窗戶也會破掉。破窗似乎在告訴大家：主人并不在意窗戶是否破損，這里的管理混亂，人們被動消極。其實，任何一種不良現象的存在都在傳遞一種信息，這種信息會導致不良現象的無限擴展，如果對那些看來是偶然的、個別的、輕微的過錯不聞不問、反應遲鈍或糾正不力，就會縱容更多人去“打爛更多的窗戶玻璃”，要知道，“千里之堤，潰于蟻穴”。相反有個所謂的“熱爐效應”：用爐火取暖，誰都不敢去碰爐子一下

5、。 公司的管理制度是破窗呢？還是熱爐？規定要有門禁，可屢屢發現陌生人尾隨進入；規定要安裝發病毒軟件，可總有人電腦中病毒；規定口令要安全，但弱口令、空口令比比皆是。如果大家都熟視無睹，如果領導也不以為然，也許有一天，您的重要財務就會失竊，您的網絡就會癱瘓，您的敏感信息就會泄露。執行不到位，再好的制度和措施也都是一紙空文。 墨菲定律：掉落的面包總是涂有黃油的一面著地 當你用早餐時，一片涂了黃油的面包突然從手上掉下，它將如何著地？是的，一定是抹了黃油的那面著地。“如果某種事情可能出錯，他就會出錯。”這就是著名的墨菲定律。對此，通常會有兩種截然不同的態度：一種很消極，認為既然差錯難免，事故遲早會發生，

6、那就索性放任，聽天由命；另一種是積極的態度，認為既然問題可能存在，那就不能存有僥幸心理，應該時刻警覺，小心提防，別讓面包從手里落地豈不更好？ 病毒發生并非天天都有，但不要以為今天平安無事，不安裝防病毒軟件就理所當然；門禁系統失靈，雖然今天沒有陌生人進入，但你能保證明天或者后天不會？大量案例告訴我們，僥幸心理和麻痹大意是導致信息安全事故發生的主要原因。盡管有一些事故發生的概率很小，但在一次活動中仍可能發生，因此不能忽視，必須堅持預防為主的原則。 名醫啟示：名醫起死回生，神醫防微杜漸 扁鵲是公認的名醫，其實他還有兩個哥哥，醫術比扁鵲還好。一次魏文帝問起此事，扁鵲解釋說：我的兩位兄長才是真正的神醫。

7、 我大哥治病，是在病情發作之前。他所在的地方人們身體健康，根本不生病，所以他的名氣無法傳出去，只有我們家的人才知道。我二哥治病，是在病情初起之時。他所在的地方人們患上輕微的小病很快就痊愈，所以他的名氣只在本鄉傳播。我扁鵲治病，是在病情嚴重的時候。一般人都見我經脈穿針放血、皮膚上敷藥等大手術，以為我醫術高明，名氣因此響遍全國。 信息安全不應該只停留在查殺病毒、入侵檢測、信息泄漏等應急事件處理上，這樣只會成為焦頭爛額的“救火隊員”，而更應該具有前瞻性，在日常工作中防患于未然，將安全工作做到“隱形”。您在信息安全上更需要神醫？還是名醫？ 籃子理論：別把所有雞蛋放在一個籃子里 籃子理論首先是作為一個金

8、融投資理念被提出，用以降低投資風險，但它具有更廣泛的適用性，可以用在其他風險管理領域。舉個簡單例子，“9.11”事件中，上千家公司和機構的重要數據隨著世貿大廈一同葬身火海，有的公司就此消失，但有些公司卻能在第二天就恢復業務，這完全在于有沒有把雞蛋放在不同籃子的區別。 對企業來說，做好數據備份是確保業務連續的重要手段。除了信息和數據，相關的人員、設備、服務等，都需要基于冗余和備份的思想，將其納入到統一的業務連續性管理當中。 KISS原則： Keep It Simple, Stupid! “Keep It Simple, Stupid!”直接翻譯過來就是“保持簡單、傻瓜！”KISS原則可以用在很多

9、方面，程序設計KISS，系統架構KISS，企業管理更要KISS。很顯然，越是復雜的事情越容易導致效能低下和資源浪費。解決問題應把握主流，抓住根本，不要人為地復雜化。當然，把事情變復雜很簡單，把事情變簡單卻很復雜，要看如何去把握了。 KISS也是適用于信息安全的一項原則。盡量保持系統簡單， 從而實現穩定、高效和安全；盡量保持環境簡潔，從而實現有序、可控和安全；盡量保持管理制度的簡明，從而實現明確、可行和安全。 木桶原理：木桶的容量取決于最短的那根木板用木桶來裝水，如果組成木桶的木板參差不齊，那么它能盛水的容量不是由最長的板子來決定，而是由木桶中最短的板子決定的，因此這又被稱作“短板效應”。如果事

10、物發展過程中存在“短板”，其整體發展程度就會受到影響，往往劣勢決定優勢，劣勢決定生死，很多時候，一件事情就會毀了所有的努力。 信息安全涉及非常多的方面，無論哪個方面薄弱，都會對整體的安全帶來隱患。如果只重視技術，不惜巨資采購設備和實施技術控制，卻輕視管理，忽視安全制度建設和員工安全意識，真正的安全也難以實現。即使部署了最新的防火墻和入侵檢測系統，實施了嚴格的網絡接入控制，可有人隨便拿一個U盤，直接插在沒有鎖屏的服務器上，一個公司的核心數據也許就泄漏出去了。 飛輪效應：旋轉的飛輪依賴持之以恒的推動 為了使靜止的飛輪轉動起來，一開始必須使很大的力氣，但隨著飛輪轉動得越來越快，達到某個臨界點后，其重

11、量和沖力就會成為推動力的一部分，這時候，只需持續的輕輕用力，飛輪會一直快速轉動。 信息安全是動態持續的發展過程，也許起步階段（建設期）很困難，畢竟需要改變一些固有的東西，特別是人的意識和習慣，但只要堅持下去，使得信息安全各項制度執行和控制檢查進入良性循環，依靠完善的制度、安全的環境、良好的意識，加上持續的支持和維護，信息安全這只飛輪就可以穩定地旋轉下去。一個公司是只把信息安全當作一個項目？還是想讓信息安全成為公司管理的常態？這完全取決于怎樣去用力。 獨眼鹿寓言：自以為安全的地方往往是最危險的 一只獨眼鹿正在河邊吃草，她用一只眼睛看著陸地，留意著獵人，另一側瞎了的眼睛則對著河流，因為她從未見過獵

12、人從河里出現，恰巧有個獵人乘船從河上經過，一箭就射倒了她。 相對于“外部”，人們對“內部”有著天生的安全感，因而更容易疏于防范。實際上根據權威調查，信息安全威脅幾乎90%都出 自于企業內部。當您以為防范外部黑客入侵是避免信息泄漏的關鍵時，殊不知內部員工一次毫無障礙的資料拷貝就輕而易舉地將防線化解。企業應該通過訪問控制、職責分離、監督檢查、安全意識宣貫等措施，從根本上減少內部威脅。 懶螞蟻效應：任何組織都存在不可或缺的懶螞蟻 在一個蟻群中，在辛勤忙碌的工蟻背后，總有一定數量的懶螞蟻，它們“無所事事”，“游手好閑”。這些從不干具體事務、看似好吃懶做的螞蟻，實際上擔負著開辟食源、危險預警、組織分工等特殊使命。懶螞蟻把大部分時間都花在了“偵查”和“研究” 上。它們能觀察到組織的薄弱之處，防衛預警，擁有讓蟻群在困難時刻仍然存活的本領，保持對新食物的探索狀態。一旦蟻群遭遇危 機，懶螞蟻就會挺身而出，指揮全體螞蟻尋找出路、渡過難關。 不要以為信息安全是可有可無的工作，盡管它似乎不會為企業創