《信息安全小故事》

1、信息安全小故事2011年信息技术制度宣导材料之一温水煮青蛙：u青蛙能逃离沸水，却会死于温水文火青蛙能逃离沸水，却会死于温水文火 如果将青蛙放在很烫的热水里，青蛙会马上感受到高温并跳出来。但要是将青蛙放在温水中，青蛙就不会有太激烈的反应，水温逐渐升高，等到青蛙意识到危险的时候，它已经没有力气跳出去了。这个故事告诉我们，身处危险之中却浑然然不知，是非常可怕的事情。对企业来说，造成危机的许多诱因早已潜伏在日常的经营管理当中，只是由于管理者麻痹大意，缺乏危机意识和足够重视，导致小事情带来“连锁反应”、“滚雪球效应”、“恶性循环”，最终演变成摧毁企业的危机。 信息安全需要居安思危，通过风险评估，及时发现

2、隐患和威胁，早作预防，并且养成良好的安全意识和操作习惯，避免变成“温水中的青蛙”。死狗原理：u没人会去踢一只死狗没人会去踢一只死狗 “没人会去踢一只死狗”是一句处事名言，每当名人、政要或是谁平步青云而遭受非议甚至恶意诽谤时，都会有人用这句话来劝解或宽慰。不合理的批评往往是一种被掩饰的赞美，只有一事无成的小人物才不会引起别人的注意，更不会遭到严厉的批评。 对信息安全来说，威胁和风险往往和高价值的信息资产联系在一起，安全保护工作，也就应该重点放在高价值的信息资产上。什么是高价值信息资产？通过风险评估，您知道，他是您业务活动所依赖的信息系统，无论软件、硬件、数据、服务还是人。如果您想“无为而治”，除

3、非您所见的只是毫无价值的“死狗”。冰山理论：u露出水面的仅仅是冰山一角露出水面的仅仅是冰山一角 一座浮于海面的冰山，露在水面以上的只是其十分之一，而另外90%是看不见的。当一艘巨轮撞到冰山的时候，很可能会遭受和泰坦尼克一样的厄运。无独有偶，国际航空界也有一个著名的海恩法则：“每一起严重的航空事故背后，必然有近30起轻微事故和300多起未遂事故先兆，以及10000多起事故隐患”，要想消除一起严重的事故，就必须像发现并回避藏在水面以下的冰山那样，把这10000多起事故隐患控制住并消灭在萌芽状态。真正可怕的，并不是眼前发生的事故，而是更多潜伏未知的隐患和威胁。 信息安全工作的重点，不能仅仅放在对各种

4、事故的应急处理上，更应该及早发现隐患和威胁，积极预防，防患于未然。当然，面对已经暴露出的问题，也应该深入分析和彻底解决，真正做到“三不放过”：当事人未受到教育不放过；根本原因未查明不放过；整改措施为落实不放过。破窗效应：u破窗会带来更大的麻烦破窗会带来更大的麻烦 建筑物的一扇窗户破了，如果无人理会，很快这里其他的窗户也会破掉。破窗似乎在告诉大家：主人并不在意窗户是否破损，这里的管理混乱，人们被动消极。其实，任何一种不良现象的存在都在传递一种信息，这种信息会导致不良现象的无限扩展，如果对那些看来是偶然的、个别的、轻微的过错不闻不问、反应迟钝或纠正不力，就会纵容更多人去“打烂更多的窗户玻璃”，要知

5、道，“千里之堤，溃于蚁穴”。相反有个所谓的“热炉效应”：用炉火取暖，谁都不敢去碰炉子一下。 您公司的管理制度是破窗呢？还是热炉？规定要有门禁，可屡屡发现陌生人尾随进入；规定要安装发病毒软件，可总有人电脑中病毒；规定口令要安全，但弱口令、空口令比比皆是。如果大家都熟视无睹，如果领导也不以为然，也许有一天，您的重要财务就会失窃，您的网络就会瘫痪，您的敏感信息就会泄露。执行不到位，再好的制度和措施也都是一纸空文。墨菲定律：u掉落的面包总是涂有黄油的一面着地掉落的面包总是涂有黄油的一面着地 当你用早餐时，一片涂了黄油的面包突然从手上掉下，它将如何着地？是的，一定是抹了黄油的那面着地。“如果某种事情可能

6、出错，他就会出错。”这就是著名的墨菲定律。对此，通常会有两种截然不同的态度：一种很消极，认为既然差错难免，事故迟早会发生，那就索性放任，听天由命；另一种是积极的态度，认为既然问题可能存在，那就不能存有侥幸心理，应该时刻警觉，小心提防，别让面包从手里落地岂不更好？ 病毒发生并非天天都有，但不要以为今天平安无事，不安装防病毒软件就理所当然；门禁系统失灵，虽然今天没有陌生人进入，但你能保证明天或者后天不会？大量案例告诉我们，侥幸心理和麻痹大意是导致信息安全事故发生的主要原因。尽管有一些事故发生的概率很小，但在一次活动中仍可能发生，因此不能忽视，必须坚持预防为主的原则。名医启示：u名医起死回生，神医防

7、微杜渐名医起死回生，神医防微杜渐 扁鹊是公认的名医，其实他还有两个哥哥，医术比扁鹊还好。一次魏文帝问起此事，扁鹊解释说：我的两位兄长才是真正的神医。我大哥治病，是在病情发作之前。他所在的地方人们身体健康，根本不生病，所以他的名气无法传出去，只有我们家的人才知道。我二哥治病，是在病情初起之时。他所在的地方人们患上轻微的小病很快就痊愈，所以他的名气只在本乡传播。我扁鹊治病，是在病情严重的时候。一般人都见我经脉穿针放血、皮肤上敷药等大手术，以为我医术高明，名气因此响遍全国。 信息安全不应该只停留在查杀病毒、入侵检测、信息泄漏等应急事件处理上，这样只会成为焦头烂额的“救火队员”，而更应该具有前瞻性，在

8、日常工作中防患于未然，将安全工作做到“隐形”。对企业的管理者来说，您在信息安全上更需要神医？还是名医？篮子理论：u别把所有鸡蛋放在一个篮子里别把所有鸡蛋放在一个篮子里 篮子理论首先是作为一个金融投资理念被提出，用以降低投资风险，但它具有更广泛的适用性，可以用在其他风险管理领域。举个简单例子，“9.11”事件中，上千家公司和机构的重要数据随着世贸大厦一同葬身火海，有的公司就此消失，但还有些公司却能在第二天就恢复业务，这完全在于有没有把鸡蛋放在不同篮子的区别（因为有些公司做了完全的你异地灾备，而另一些没有）。 对企业来说，做好数据备份是确保业务连续的重要手段。除了信息和数据，相关的人员、设备、服务

9、等，都需要基于冗余和备份的思想，将其纳入到统一的业务连续性管理当中。KISS原则：uKeep It Simple, Stupid! “Keep It Simple, Stupid!”直接翻译过来就是“保持简单、傻瓜！”KISS原则可以用在很多方面，程序设计KISS，系统架构KISS，企业管理更要KISS。很显然，越是复杂的事情越容易导致效能低下和资源浪费。解决问题应把握主流，抓住根本，不要人为地复杂化。当然，把事情变复杂很简单，把事情变简单却很复杂，就看如何去把握了。 KISS也是适用于信息安全的一项原则。尽量保持系统简单，从而实现稳定、高效和安全；尽量保持环境简洁，从而实现有序、可控和安全；

10、尽量保持管理制度的简明，从而实现明确、可行和安全。木桶原理：u木桶的容量取决于最短的那根木版木桶的容量取决于最短的那根木版 用木桶来装水，如果组成木桶的木板参差不齐，那么它能成水的容量不是由最长的板子来决定，而是由木桶中最短的班子决定的，因此这又被称作“短板效应”。如果事物发展过程中存在“短板”，其整体发展程度就会受到影响，往往劣势决定优势，劣势决定生死，很多时候，通常一件事情就会毁了所有的努力。 信息安全涉及非常多的方面，无论哪个方面薄弱，都会对整体的安全带来隐患。如果只重视技术，不惜巨资采购设备和实施技术控制，却轻视管理，忽视安全制度建设和员工安全意识，真正的安全也难以实现。您知道吗？当您

11、部署了最新的防火墙和入侵检测系统，实施了严格的网络接入控制，可有人随便拿一个U盘，直接插在没有锁屏的服务器上，您的核心数据也许就泄漏出去了。飞轮效应：u旋转的飞轮依赖持之以恒的推动旋转的飞轮依赖持之以恒的推动 为了使静止的飞轮转动起来，一开始必须使很大的力气，但随着飞轮转动得越来越快，达到某个临界点后，其重量和冲力就会成为推动力的一部分，这时候，只需持续的轻轻用力，飞轮会一直快速转动。 信息安全是动态持续的发展过程，也许起步阶段（建设期）很困难，毕竟需要改变一些固有的东西，特别是人的意识和习惯，但只要坚持下去，使得信息安全各项制度执行和控制检查进入良性循环，依靠完善的制度、安全的环境、良好的意

12、识，加上持续的支持和维护，信息安全这只飞轮就可以稳定的旋转下去。您是只把信息安全当作一个项目？还是想让信息安全成为公司管理的常态？这完全取决于您怎样去用力。独眼鹿寓言：u自以为安全的地方往往是最危险的自以为安全的地方往往是最危险的 一只独眼鹿正在河边吃草，她用一只眼睛看着陆地，留意着猎人，另一侧瞎了的眼睛则对着河流，因为她从未见过猎人从河里出现，恰巧有个猎人乘船从河上经过，一箭就射倒了她。 相对于“外部”，人们对“内部”有着天生的安全感，因而更容易疏于防范。实际上根据权威调查，信息安全威胁几乎90%都出自于企业内部。当您以为防范外部黑客入侵是避免信息泄漏的关键时，殊不知内部员工一次毫无障碍的资

13、料拷贝就轻而易举地将防线化解。企业应该通过访问控制、职责分离、监督检查、安全意识宣贯等措施，从根本上减少内部威胁。懒蚂蚁效应：u任何组织都存在不可或缺的懒蚂蚁任何组织都存在不可或缺的懒蚂蚁 在一个蚁群中，在辛勤忙碌的工蚁背后，总有一定数量的懒蚂蚁，它们“无所事事”，“游手好闲”。这些从不干具体事务、看似好吃懒做的蚂蚁，实际上担负着开辟食源、危险预警、组织分工等特殊使命。懒蚂蚁把大部分时间都花在了“侦查”和“研究”上。它们能观察到组织的薄弱之处，防卫预警，拥有让蚁群在困难时刻仍然存活的本领，保持对新食物的探索状态。一旦蚁群遭遇危机，懒蚂蚁就会挺身而出，指挥全体蚂蚁寻找出路、渡过难关。 不要以为信息安全是可有可