在前面三期中，国内著名信息安全专家，IP-guard（www.ip-guard.net）产品总监黄凯向我们阐述了他提出的IT人必须持有的四点安全观中的前三点“信息安全是一种生产要素”、“无安全事故不等于足够安全”以及“预防比补救更省成本”。那么本期IP-guard黄凯将继续分析安全观最后一点—安全无止境，防护要适度。

　　安全之茧

　　在我们谈到安全的时候，我们都很明白其目的是保障企业业务的持续发展，保护企业的利益，这也是企业做信息安全的意义。随着内部智力资产对企业愈加重要，加之信息泄露事件频发，企业逐渐意识到信息安全的重要性，大家纷纷加强安全预算，部署安全系统。企业对信息安全的重视度提高了，但是从采取的防护措施来看，大家对信息安全的理解显然还不够全面与深入。

　　“目前企业的信息安全有一种为安全为安全的倾向。不少企业将安全等同于“0”安全事故；还有些企业误以为只要部署了防护措施就可以高枕无忧，当出现新威胁却束手无策。这是大多数企业面临的困局”，IP-guard黄凯说道。

　　对于信息安全，IP-guard黄凯认为，安全无绝对，这包含两方面的含义。一方面，安全是一个相对的要求，企业不需要一味追求绝对的安全；另一方面，安全还是个动态过程，需要根据变化而不断改变。对此，黄凯结合ISO27001的内容进行深入阐述。

　　第一，安全必须考虑成本，如果防护成本比风险发生造成损失还要大，反而得不偿失。ISO 27001中提到，风险评估要考虑丧失资产的保密性、完整性和可用性所造成的后果的情况下，评估安全失效可能造成的对组织的影响；要根据主要的威胁和脆弱性、对资产的影响以及当前所实验的控制措施，评价安全失效发生的现实可能性；要估计风险的级别，然后确定风险是否可接受。“要牢记一点，安全以企业发展为前提，切勿步入为安全而安全的误区。”。IP-guard黄凯强调道。

　　第二，企业所面临的内外部环境在不断变化，如新的安全威胁，企业规模增大、架构调整、人员变动等，因此，没有一劳永逸的安全解决方案，企业的信息安全管理需要根据变化不断调整。

　　为摆脱安全困局，现在企业需要转变对安全的思考模式，以一种更加积极的态度，更加长远的眼光来看待它，然后根据公司的发展战略以及业务的实际需求，制定合理的信息安全计划。

　　“被”安全到“要”安全

　　那么企业到底应以一种怎样的方式去建设信息安全？IP-guard黄凯说到，“企业必须从一个被动的接受者向一个主动出去者转变。”

　　首先要对公司的信息系统进行全面的风险评估，包括信息资产的脆弱性，可能面临的威胁，风险发生的后果等，然后根据评估结果，制定起码是中长期的信息安全计划，比如一至三年。在这个时间段中，也要定期进行安全评估，以随时调整控制策略，持续对防护的有效性进行改善。比如经过评估发现在近两月里面，职员跳槽频繁，并且有些人员有访问机密信息的权限，但并没有对这部分人员加强安全防护，那么接下来就应该调整公司的防护策略，有侧重性地针对敏感人群加强安全控制。

　　其次根据评估结果，根据资产价值与威胁等级针对性部署轻重有别的防护措施。如可以将信息资产按重要性划分为普通、秘密、机密三个级别，普通级别可只运用审计对所有文档操作进行记录，以确保外泄行为发生时可有迹可循；对秘密级别文档可能要加上权限控制，以降低文档被有意无意外发的机率；而对于机密文档就要对其进行强制加密，以最大程度地保证其安全，即使外泄也不能正常打开。又如将威胁按其不同性质进行分类，有些服务如FTP，如果存在风险，而对组织又不是不可或缺，则可直接规避；有些风险即使发生，造成的损失也很小，甚至比防护的成本还要低，则可选择接受；对于不可接受的风险，企业应该尽一切可能将其降至最低，防止其发生。在处理风险时，企业需要根据面临的安全风险及安全需求进行轻重有别的防护，选择平衡安全、效率与成本的解决方案。而这也是IP-guard所提倡的信息防泄密理念。IP-guard综合运用审计、权限控制、加密等防泄密技术，帮助企业构建起防护力度轻重不一、立体化的信息防泄密体系。

　　近几年我国信息安全领域事故频发，给个人、企业和社会都造成了不小的影响，国家也高度重视，对信息犯罪进行严厉的打击，但对于企业来说，如何做好信息安全建设尚存在很多不足，安全之路长路漫漫。最后IP-guard黄凯建议道，“没有绝对的安全，只有绝对的评估。只有不断地进行安全检查，及时发现问题并解决，才是长久的安全之道”。