当一个企业有300个隐患或违章，必然要发生29起轻伤或故障，在这29起轻伤事故或故障当中，有一起重伤、死亡或重大事故。–海因里希法则

1941年美国的海因里西统计了55万件机械事故，其中死亡、重伤事故1666件，轻伤48334件，其余则为无伤害事故。从而得出一个重要结论，即在机械事故中，死亡、重伤、轻伤和无伤害事故的比例为1：29：300，国际上把这一法则叫事故法则。

再来将这个数据与Verizon 2010年度数据泄露调查报告给出的数据做一下对比。

• 85％的泄露事件并不十分困难的。
• 只有4％的数据泄露需要困难的、昂贵的自我保护措施才能得以实现。
• 高达87％的受害者在他们的日志文件里都有数据泄露的证据，但他们却错过了。
• 在受害者中，有些是需要遵守PCI-DSS标准的，但79％的受害者在数据泄露发生之前，都没能实现规则遵从。如果安全规则得到遵守，大多数的数据泄露都是可以避免的。

通过以上两组数据，我们看出在企业安全事故中，那些难度高、概率小、危害大的事故仅仅占很小的一部分，而那些危害轻微，难度小的部分则居大头。为什么会这样？上面的数据已经为我们给出了解释：不遵守安全规则。而对于为何制定的安全策略得不到有力执行，相信大家每个人都有独特而深刻的体会。其中一个主要原因便是企业抱有一种侥幸心理，以为眼下没发生安全事件、没造成危害，就是安全。因此满足于眼前的风平浪静，殊不知表面的无事与真正的安全根本是两个概念。作为企业IT管理人员，尤其是做安全管理的人员，要明确的知道：无事不与安全同。

成于忧患，败于安逸

其实在我们生活当中，类似的例子实在不少。比如我们常常会有这样一种体验，走在在路上，不期然地鞋里进了一粒细石，于是脚底感到了沙石轻轻的硌，我们一边想将其抖落出来，一边又觉得一粒小小的石子不会产生多大的疼痛，大可不必因此止步弯腰，于是走一步，感受一次，虽然不是特别强烈的刺激，但是这一次又一次轻轻的硌，却终于让我们疲累不堪。在历史上，因贪图安逸而导致灭亡的事例可谓不胜枚举，最为典型的如欧阳修《伶官传序》中所描述的唐庄宗李存勖，在其实现父亲遗志后，便开始过着骄逸的生活，冤杀大将，宠幸伶人，完全没有注意国家的安全势态每况遇下，最终为叛军所杀。忧劳兴国，逸豫亡身，商业又何尝不是如此。人们往往能识破别人的欺骗，却逃不过自己谎言。当我们无视潜在的威胁，沉浸于当下的平静与安乐时，危险就会趁机加速向我们靠近。

如有可能，即成必然

而另外一个让人感觉很怪异而又不得不正视的安全事实是：只要事情有变坏的可能，不管这种可能性有多小，它总会发生，这就是赫赫有名墨菲定律。美国的一名工程师爱德华•墨参加了美国空军于 1949年进行的一个测定人类对加速度的承受极限的MX981实验。其中有一个实验项目是将16个火箭加速度计悬空装置在受试者上方，当时有两种方法可以将加速度计固定在支架上，而不可思议的是，竟然有人有条不紊地将16个加速度计全部装在错误的位置，于是墨菲作出了这一著名的论断。虽然墨菲定律最初只是一位工程师的即兴发挥，但是最后人们发现墨菲定律的适用范围非常非常广泛，它提示了一种独特的社会及自然现象。那么对于企业信息安全而言，就是只要企业中存在安全漏洞，则必然会转化成为安全事故，只是时间早晚的问题。

实时备战，庶可保全

那企业应该采取怎样的措施以保证信息安全呢？个人认为，以下两点是必须具备的。

一、定期评估风险，全面警惕。

企业应该定岗定人定期对企业进行全面的风险评估，实时掌握潜在的风险。根据IT Policy Compliance Group2011调查，企业进行风险评估的频率会对企业的风险系数产生直接影响，风险评估较为频繁的企业，如每周到每两个月之间一次，其业务风险就会较低；而每季度一次或者间隔更长的企业，面临的风险则相对较高。因此，企业应多进行风险评估，降低企业风险系数，时间间隔一个月内为佳。

另外评估的全面性非常重要，许多企业在评估风险时，会人为地设定某区域为绝对安全，或者安全与否无所谓，因此留下风险评估的盲区，为企业的整体安全埋下隐患。在安全问题上，不存在所谓与无所谓的分界，企业认为无所谓的地方，往往就是入侵者的入口。如果企业在一处疏忽，则很可能造成整体防护措施的失效，就正如二战中法国用以防御德意入侵的马其诺防线，被敌方出其不意，攻其不备，等到想要力挽狂澜时，只能望洋兴叹了。

二、加强防护措施，确保防御系统持续有效。

在风险评估后，企业要针对评估结果，进行针对性的防护措施部署，保证保护力度足够应对相应的风险。不能因为某部分风险相对较低，便完全不作防护，让其完全处于露空的状态，企业不应该幻想小风险就不会导致大事故的发生。信息安全，其实很像是买保险，没有发生事故时，似乎是自己吓自己，杞人忧天；而事故发生后才明白防护的重要性。养兵千日，用在一时，防护措施的作用不在于时刻都在防御各种攻击，而在于攻击来临的时候，它能够应时而动，足够给力，保卫企业安全。这就像和平年代，各个国家都要进行军事建设一样，为的是某天威胁临近时，可随时上战场。

企业进行信息化安全建设切不可安于眼前的无事，因为谁也无法预料事故会在什么时候，从什么地方降临。谨小慎微，及时做好防御工作才能保证信息安全。