《信息安全小故事》PPT课件

1、信息安全小故事,2011年信息技术制度宣导材料之一,温水煮青蛙：,青蛙能逃离沸水，却会死于温水文火 如果将青蛙放在很烫的热水里，青蛙会马上感受到高温并跳出来。但要是将青蛙放在温水中，青蛙就不会有太激烈的反应，水温逐渐升高，等到青蛙意识到危险的时候，它已经没有力气跳出去了。这个故事告诉我们，身处危险之中却浑然然不知，是非常可怕的事情。对企业来说，造成危机的许多诱因早已潜伏在日常的经营管理当中，只是由于管理者麻痹大意，缺乏危机意识和足够重视，导致小事情带来“连锁反应”、“滚雪球效应”、“恶性循环”，最终演变成摧毁企业的危机。 信息安全需要居安思危，通过风险评估，及时发现隐患和威胁，早作预防，并且养成良好的安全意识和操作习惯，避免变成“温水中的青蛙”。,死狗原理：,没人会去踢一只死狗 “没人会去踢一只死狗”是一句处事名言，每当名人、政要或是谁平步青云而遭受非议甚至恶意诽谤时，都会有人用这句话来劝解或宽慰。不合理的批评往往是一种被掩饰的赞美，只有一事无成的小人物才不会引起别人的注意，更不会遭到严厉的批评。 对信息安全来说，威胁和风险往往和高价值的信息资产联系在一起，安全保护工作，也就应该重点放

2、在高价值的信息资产上。什么是高价值信息资产？通过风险评估，您知道，他是您业务活动所依赖的信息系统，无论软件、硬件、数据、服务还是人。如果您想“无为而治”，除非您所见的只是毫无价值的“死狗”。,冰山理论：,露出水面的仅仅是冰山一角 一座浮于海面的冰山，露在水面以上的只是其十分之一，而另外90%是看不见的。当一艘巨轮撞到冰山的时候，很可能会遭受和泰坦尼克一样的厄运。无独有偶，国际航空界也有一个著名的海恩法则：“每一起严重的航空事故背后，必然有近30起轻微事故和300多起未遂事故先兆，以及10000多起事故隐患”，要想消除一起严重的事故，就必须像发现并回避藏在水面以下的冰山那样，把这10000多起事故隐患控制住并消灭在萌芽状态。真正可怕的，并不是眼前发生的事故，而是更多潜伏未知的隐患和威胁。 信息安全工作的重点，不能仅仅放在对各种事故的应急处理上，更应该及早发现隐患和威胁，积极预防，防患于未然。当然，面对已经暴露出的问题，也应该深入分析和彻底解决，真正做到“三不放过”：当事人未受到教育不放过；根本原因未查明不放过；整改措施为落实不放过。,破窗效应：,破窗会带来更大的麻烦 建筑物的一扇窗户破了

3、，如果无人理会，很快这里其他的窗户也会破掉。破窗似乎在告诉大家：主人并不在意窗户是否破损，这里的管理混乱，人们被动消极。其实，任何一种不良现象的存在都在传递一种信息，这种信息会导致不良现象的无限扩展，如果对那些看来是偶然的、个别的、轻微的过错不闻不问、反应迟钝或纠正不力，就会纵容更多人去“打烂更多的窗户玻璃”，要知道，“千里之堤，溃于蚁穴”。相反有个所谓的“热炉效应”：用炉火取暖，谁都不敢去碰炉子一下。 您公司的管理制度是破窗呢？还是热炉？规定要有门禁，可屡屡发现陌生人尾随进入；规定要安装发病毒软件，可总有人电脑中病毒；规定口令要安全，但弱口令、空口令比比皆是。如果大家都熟视无睹，如果领导也不以为然，也许有一天，您的重要财务就会失窃，您的网络就会瘫痪，您的敏感信息就会泄露。执行不到位，再好的制度和措施也都是一纸空文。,墨菲定律：,掉落的面包总是涂有黄油的一面着地 当你用早餐时，一片涂了黄油的面包突然从手上掉下，它将如何着地？是的，一定是抹了黄油的那面着地。“如果某种事情可能出错，他就会出错。”这就是著名的墨菲定律。对此，通常会有两种截然不同的态度：一种很消极，认为既然差错难免，事故迟早

4、会发生，那就索性放任，听天由命；另一种是积极的态度，认为既然问题可能存在，那就不能存有侥幸心理，应该时刻警觉，小心提防，别让面包从手里落地岂不更好？ 病毒发生并非天天都有，但不要以为今天平安无事，不安装防病毒软件就理所当然；门禁系统失灵，虽然今天没有陌生人进入，但你能保证明天或者后天不会？大量案例告诉我们，侥幸心理和麻痹大意是导致信息安全事故发生的主要原因。尽管有一些事故发生的概率很小，但在一次活动中仍可能发生，因此不能忽视，必须坚持预防为主的原则。,名医启示：,名医起死回生，神医防微杜渐 扁鹊是公认的名医，其实他还有两个哥哥，医术比扁鹊还好。一次魏文帝问起此事，扁鹊解释说：我的两位兄长才是真正的神医。我大哥治病，是在病情发作之前。他所在的地方人们身体健康，根本不生病，所以他的名气无法传出去，只有我们家的人才知道。我二哥治病，是在病情初起之时。他所在的地方人们患上轻微的小病很快就痊愈，所以他的名气只在本乡传播。我扁鹊治病，是在病情严重的时候。一般人都见我经脉穿针放血、皮肤上敷药等大手术，以为我医术高明，名气因此响遍全国。 信息安全不应该只停留在查杀病毒、入侵检测、信息泄漏等应急事件处理

5、上，这样只会成为焦头烂额的“救火队员”，而更应该具有前瞻性，在日常工作中防患于未然，将安全工作做到“隐形”。对企业的管理者来说，您在信息安全上更需要神医？还是名医？,篮子理论：,别把所有鸡蛋放在一个篮子里 篮子理论首先是作为一个金融投资理念被提出，用以降低投资风险，但它具有更广泛的适用性，可以用在其他风险管理领域。举个简单例子，“9.11”事件中，上千家公司和机构的重要数据随着世贸大厦一同葬身火海，有的公司就此消失，但还有些公司却能在第二天就恢复业务，这完全在于有没有把鸡蛋放在不同篮子的区别（因为有些公司做了完全的你异地灾备，而另一些没有）。 对企业来说，做好数据备份是确保业务连续的重要手段。除了信息和数据，相关的人员、设备、服务等，都需要基于冗余和备份的思想，将其纳入到统一的业务连续性管理当中。,KISS原则：,Keep It Simple, Stupid! “Keep It Simple, Stupid!”直接翻译过来就是“保持简单、傻瓜！”KISS原则可以用在很多方面，程序设计KISS，系统架构KISS，企业管理更要KISS。很显然，越是复杂的事情越容易导致效能低下和资源浪费。解

6、决问题应把握主流，抓住根本，不要人为地复杂化。当然，把事情变复杂很简单，把事情变简单却很复杂，就看如何去把握了。 KISS也是适用于信息安全的一项原则。尽量保持系统简单，从而实现稳定、高效和安全；尽量保持环境简洁，从而实现有序、可控和安全；尽量保持管理制度的简明，从而实现明确、可行和安全。,木桶原理：,木桶的容量取决于最短的那根木版 用木桶来装水，如果组成木桶的木板参差不齐，那么它能成水的容量不是由最长的板子来决定，而是由木桶中最短的班子决定的，因此这又被称作“短板效应”。如果事物发展过程中存在“短板”，其整体发展程度就会受到影响，往往劣势决定优势，劣势决定生死，很多时候，通常一件事情就会毁了所有的努力。 信息安全涉及非常多的方面，无论哪个方面薄弱，都会对整体的安全带来隐患。如果只重视技术，不惜巨资采购设备和实施技术控制，却轻视管理，忽视安全制度建设和员工安全意识，真正的安全也难以实现。您知道吗？当您部署了最新的防火墙和入侵检测系统，实施了严格的网络接入控制，可有人随便拿一个U盘，直接插在没有锁屏的服务器上，您的核心数据也许就泄漏出去了。,飞轮效应：,旋转的飞轮依赖持之以恒的推动 为了

7、使静止的飞轮转动起来，一开始必须使很大的力气，但随着飞轮转动得越来越快，达到某个临界点后，其重量和冲力就会成为推动力的一部分，这时候，只需持续的轻轻用力，飞轮会一直快速转动。 信息安全是动态持续的发展过程，也许起步阶段（建设期）很困难，毕竟需要改变一些固有的东西，特别是人的意识和习惯，但只要坚持下去，使得信息安全各项制度执行和控制检查进入良性循环，依靠完善的制度、安全的环境、良好的意识，加上持续的支持和维护，信息安全这只飞轮就可以稳定的旋转下去。您是只把信息安全当作一个项目？还是想让信息安全成为公司管理的常态？这完全取决于您怎样去用力。,独眼鹿寓言：,自以为安全的地方往往是最危险的 一只独眼鹿正在河边吃草，她用一只眼睛看着陆地，留意着猎人，另一侧瞎了的眼睛则对着河流，因为她从未见过猎人从河里出现，恰巧有个猎人乘船从河上经过，一箭就射倒了她。 相对于“外部”，人们对“内部”有着天生的安全感，因而更容易疏于防范。实际上根据权威调查，信息安全威胁几乎90%都出自于企业内部。当您以为防范外部黑客入侵是避免信息泄漏的关键时，殊不知内部员工一次毫无障碍的资料拷贝就轻而易举地将防线化解。企业应该通过访问控制、职责分离、监督检查、安全意识宣贯等措施，从根本上减少内部威胁。,懒蚂蚁效应：,任何组织都存在不可或缺的懒蚂蚁 在一个蚁群中，在辛勤忙碌的工蚁背后，总有一定数量的懒蚂蚁，它们“无所事事”，“游手好闲”。这些从不干具体事务、看似好吃懒做的蚂蚁，实际上担负着开辟食源、危险预警、组织分工等特殊使命。懒蚂蚁把大部分时间都花在了“侦查”和“研究”上。它们能观察到组织的薄弱之处，防卫预警，拥有让蚁群在困难时刻仍然存活的本领，保持对新食物的探索状态。一旦蚁群遭遇危机，懒蚂蚁就会挺身而出，指挥全体蚂蚁寻找出路、渡过难关。 不要以为信息安全是可有可无的工作，尽管它似乎不会为企业创造直接的效益。您是当发生了重大事故时才想起了信息安全？还是一直就对此有所投入而避免重大事故的发生？对现代企业来说，信息安全已经渗透到企业的方方面面，从商业机密和客户数据的保护，到风险管理和业务连续性的保障，再到企业形象和客户信心的维护，信息安全已经上升到企业的战略层面，成为关系企业命脉的重要组成部分。懒蚂蚁其实并不懒，只是分工不同，表现形式不同，幕后英雄虽无名，却成就了辉煌。,

《《信息安全小故事》PPT课件》由会员shaoy****1971分享，可在线阅读，更多相关《《信息安全小故事》PPT课件》请在金锄头文库上搜索。