在前面两期中，信息安全专家IP-guard产品总监黄凯向我们阐述了他提出的IT人必须持有的四点安全观中的两点“信息安全是一种生产要素”和“无安全事故不等于足够安全”。那么本期IP-guard黄凯将继续分析安全观第三点——预防比补救更省成本。

　　为了更生动地描述要表达的观点，IP-guard黄凯首先引用了大家熟知的“曲突徙薪”故事。有一户人家做了新房子，但厨房没有安排好，烧火的土灶烟囱砌得太直，而且土灶旁边堆着一大堆柴草 。朋友劝他将烟囱改砌得弯曲一些，柴草也要搬远一些，不然的话，容易发生火灾 。主人不以为然，后来，这家人家果然失了火，幸亏邻居帮忙将火扑灭，除了将厨房里的东西烧了一小半外，总算没酿成大祸。

　　故事中的新房子主人，不听朋友劝告，明知有危险，却不懂得防患于未然，结果酿成恶果。房子主人若是预先采取防范措施，只是弯烟囱移柴草，而发生火灾后却导致一小半厨房被毁坏。IP-guard黄凯说：“从成本的角度看，后者明显比前者代价大。其实做信息安全亦如此，事前预防相对事后补救，更省成本。”对此观点，他进行了详细分析。

　　“预防”的财道

　　“第一点，事前预防，处于问题或危机的萌芽阶段，控制难度小，因此花费低。如果等到事故发生后再去补救，成本将会大大增加。

　　IP-guard黄凯分析到，由于事故造成的损失已经无法挽回，泄露出去的信息就如泼出去的水，势难收回。英特尔前员工将商业机密泄露给竞争对手ARM，造成损失近10亿美元。除了金钱上的损失外，事后弥补也无法挽回消费者对品牌的信用度。为此，IP-guard黄凯列举了如京东商城、当当网等被曝用户信息泄露之后，大量的用户转投亚马逊等竞争对手， CSDN用户信息泄露事件导致大量用户对这一技术网站失去信心等例子。

　　同时，在尽力阻止事态扩大的过程中，为了尽量降低负面影响，企业必然会尽力进行各种弥补措施。20世纪80年代爆发的储蓄贷款危机给美国银行业造成了巨大损失，直接导致1300多家商业银行和1400多家储贷协会破产，约占美国同期商业银行和储贷协会总数的14%。同时，为应对危机，美国政府付出了高昂的救助成本，累计支出1800多亿美元用于清理破产机构。

　　第二点，事前预防，采用的是先发制人的策略，主动性强，而事后补救则被动得多。在占据主动的情势下，企业可以更从容、更全面、更深入地思考面临的问题。相反如果在事故突发，人心慌乱的情况下，企业极有可能囿于对危机的焦虑之中，无法冷静地分析全局，结果错上加错，使局面愈加恶化。“信息安全防护是一种战争——网络战争，无论是国家还是企业，都已经身处于这场无硝烟的战争之中，中国人常说“不打无准备之仗”，凡事豫则立，不豫则废，”IP-guard黄凯强调道。

　　预防有道

　　那么如何做好充分的准备呢?IP-guard黄凯认为，最重要的就是要对企业进行全面的风险评估，只有清楚地了解问题，才能有的放矢地解决问题。

　　评估需要通过三大过程。第一，通过内部问卷调研、人员访谈等方式，了解清楚企业各部门资产的情况，各级别人员关心的范围，从而确定关键信息资产以及安全需求。第二，识别这些关键信息所面临的威胁，并建立威胁和系统脆弱性列表，进行详细的对比，评估系统脆弱性即防范威胁的能力。第三，在脆弱性存在的前提下，评估风险发生的可能性和所产生的影响，从而确定风险的级别。

　　评估之后，则确定风险处理措施。根据不同部门的涉密程度以及所面临的风险级别，部署轻重有别的防护系统。对此，黄凯强调到，切忌选择性地忽视某些区域。虽然国内企业信息防泄露技术的发展已经日臻成熟，但还有不少企业的防泄露措施依然只集中于重点部门。非重点部门也可能接触到机密信息，如果缺乏有效的管控措施，信息很可能就无声无息的流出企业。

　　在采访的最后，IP-guard黄凯总结道，做信息安全，无论是从成本，还是安全的角度看，提前预防都赋予了企业更多的时间与更从容的姿势去应对，有准备永远是胜利的关键。

(责任编辑：)