文档介绍:信息安全小故事 2011 年信息技术制度宣导材料之一温水煮青蛙: ?青蛙能逃离沸水,却会死于温水文火如果将青蛙放在很烫的热水里,青蛙会马上感受到高温并跳出来。但要是将青蛙放在温水中,青蛙就不会有太激烈的反应,水温逐渐升高,等到青蛙意识到危险的时候,它已经没有力气跳出去了。这个故事告诉我们,身处危险之中却浑然然不知,是非常可怕的事情。对企业来说,造成危机的许多诱因早已潜伏在日常的经营管理当中,只是由于管理者麻痹大意,缺乏危机意识和足够重视, 导致小事情带来“连锁反应”、“滚雪球效应”、“恶性循环”, 最终演变成摧毁企业的危机。信息安全需要居安思危,通过风险评估,及时发现隐患和威胁,早作预防,并且养成良好的安全意识和操作习惯,避免变成“温水中的青蛙”。死狗原理: ?没人会去踢一只死狗“没人会去踢一只死狗”是一句处事名言,每当名人、政要或是谁平步青云而遭受非议甚至恶意诽谤时,都会有人用这句话来劝解或宽慰。不合理的批评往往是一种被掩饰的赞美,只有一事无成的小人物才不会引起别人的注意,更不会遭到严厉的批评。对信息安全来说,威胁和风险往往和高价值的信息资产联系在一起,安全保护工作,也就应该重点放在高价值的信息资产上。什么是高价值信息资产?通过风险评估,您知道,他是您业务活动所依赖的信息系统,无论软件、硬件、数据、服务还是人。如果您想“无为而治”,除非您所见的只是毫无价值的“死狗”。冰山理论: ?露出水面的仅仅是冰山一角一座浮于海面的冰山,露在水面以上的只是其十分之一,而另外 90% 是看不见的。当一艘巨轮撞到冰山的时候,很可能会遭受和泰坦尼克一样的厄运。无独有偶,国际航空界也有一个著名的海恩法则: “每一起严重的航空事故背后,必然有近 30起轻微事故和 300 多起未遂事故先兆,以及 10000 多起事故隐患”,要想消除一起严重的事故,就必须像发现并回避藏在水面以下的冰山那样,把这 10000 多起事故隐患控制住并消灭在萌芽状态。真正可怕的,并不是眼前发生的事故,而是更多潜伏未知的隐患和威胁。信息安全工作的重点,不能仅仅放在对各种事故的应急处理上,更应该及早发现隐患和威胁,积极预防,防患于未然。当然, 面对已经暴露出的问题,也应该深入分析和彻底解决,真正做到“三不放过”:当事人未受到教育不放过;根本原因未查明不放过;整改措施为落实不放过。破窗效应: ?破窗会带来更大的麻烦建筑物的一扇窗户破了,如果无人理会,很快这里其他的窗户也会破掉。破窗似乎在告诉大家:主人并不在意窗户是否破损, 这里的管理混乱,人们被动消极。其实,任何一种不良现象的存在都在传递一种信息,这种信息会导致不良现象的无限扩展,如果对那些看来是偶然的、个别的、轻微的过错不闻不问、反应迟钝或纠正不力,就会纵容更多人去“打烂更多的窗户玻璃”,要知道, “千里之堤,溃于蚁穴”。相反有个所谓的“热炉效应”:用炉火取暖,谁都不敢去碰炉子一下。您公司的管理制度是破窗呢?还是热炉?规定要有门禁,可屡屡发现陌生人尾随进入;规定要安装发病毒软件,可总有人电脑中病毒;规定口令要安全,但弱口令、空口令比比皆是。如果大家都熟视无睹,如果领导也不以为然,也许有一天,您的重要财务就会失窃,您的网络就会瘫痪,您的敏感信息就会泄露。执行不到位, 再好的制度和措施也都是一纸空文。墨菲定律: ?掉落的面包总是涂有黄油的一面着地当你用早餐时,一片涂了黄油的面包突然从手上掉下,它将如何着地?是的,一定是抹了黄油的那面着地。“如果某种事情可能出错,他就会出错。”这就是著名的墨菲定律。对此,通常会有两种截然不同的态度:一种很消极,认为既然差错难免,事故迟早会发生,那就索性放任,听天由命;另一种是积极的态度,认为既然问题可能存在,那就不能存有侥幸心理,应该时刻警觉,小心提防,别让面包从手里落地岂不更好? 病毒发生并非天天都有,但不要以为今天平安无事,不安装防病毒软件就理所当然;门禁系统失灵,虽然今天没有陌生人进入, 但你能保证明天或者后天不会?大量案例告诉我们,侥幸心理和麻痹大意是导致信息安全事故发生的主要原因。尽管有一些事故发生的概率很小,但在一次活动中仍可能发生,因此不能忽视,必须坚持预防为主的原则。名医启示: ?名医起死回生,神医防微杜渐扁鹊是公认的名医,其实他还有两个哥哥,医术比扁鹊还好。一次魏文帝问起此事,扁鹊解释说:我的两位兄长才是真正的神医。我大哥治病,是在病情发作之前。他所在的地方人们身体健康,根本不生病,所以他的名气无法传出去,只有我们家的人才知道。我二哥治病,是在病情初起之时。他所在的地方人们患上轻微的小病很快就痊愈,所以他的名气只在本乡传播。我扁鹊治病,是在病情严重的时候。一般人都见我经脉穿针放血、皮肤上敷药等大手术, 以为我医术高明,名气因此响遍全国。信息安全不应该只停留在查杀病毒、入侵检测、信息泄