谈起信息泄露防护，合作伙伴亦或客户中的不少朋友都会用买保险来打比方：“部署信息泄露防护，就好比买保险，图个安心。”，不知各位看官中会有几多同感。

这个比方粗看之下似乎很棒，然而细想，实则有诸多不妥。

信息泄露防护和购买保险从理论角度讲，都是对风险的处置，在讲这两者的不同前，不妨先说说[……]

查看更多

法在囧途

上篇说到个人信息乱象环生，原因之一是国内相关法律缺失，监管不力。那么是什么造成了法律的缺失，造成了个人保护法潜水了九年，结果浮出水面却只是一个推荐性标准？一个说法是个人信息种类和范围难界定。从概念上讲，一切与公司个人相关的资讯都应属于个人信息，但立法只能将部分信息纳入保护范围。另一个说法是是受制于当前 “部门拼盘制”的立法模式。立法一般由相关国家部委来推动，但囿于部门本身的利益，事关公众利益的个人信息保护法自然就被搁浅，即所谓的“公田不治”。

以上两者应该都存在，个人认为首先不应该拿“概念难界定”这样的理由来当挡箭牌，无限期拖延立法进度，真正有心为公众做事的人不会九年之后尚以这样的说辞来回应。概念界定何时定？九年之后又九年？其次立法部门应放下本身的利益，以广大公民的利益为重。其实话说回来立法者及其亲朋未必不是受害者，没有感受过个人信息被泄露的苦恼。

[……]

查看更多

最近公安部在全国二十多个省全面打击个人信息泄露犯罪，淋漓演绎了一场天网恢恢，疏而不漏的好剧，一举端掉数百个非法机构。消息传来，大快人心。当那些黑色组织没完没了地向我们这些受害者发送垃圾短信，或以精确得出奇的推销电话进行骚扰时，应该会想到这一天总会到来，出来混早晚是要还的。据这次壮举的成果，个人信息买卖这趟水其实挺深，个中关系相当复杂，基本上而言已经形成了一条相对完整的黑色产业链，而源头竟然就是当局相关机构，令人咋舌。

[……]

查看更多

当一个企业有300个隐患或违章，必然要发生29起轻伤或故障，在这29起轻伤事故或故障当中，有一起重伤、死亡或重大事故。–海因里希法则

1941年美国的海因里西统计了55万件机械事故，其中死亡、重伤事故1666件，轻伤48334件，其余则为无伤害事故。从而得出一个重要结论，即在机械事故中，死亡、重伤、轻伤和无伤害事故的比例为1：29：300，国际上把这一法则叫事故法则。

再来将这个数据与Verizon 2010年度数据泄露调查报告给出的数据做一下对比。

• 85％的泄露事件并不十分困难的。
• 只有4％的数据泄露需要困难的、昂贵的自我保护措施才能得以实现。
• 高达87％的受害者在他们的日志文件里都有数据泄露的证据，但他们却错过了。
• 在受害者中，有些是需要遵守PCI-DSS标准的，但79％的受害者在数据泄露发生之前，都没能实现规则遵从。如果安全规则得到遵守，大多数的数据泄露都是可以避免的。

通过以上两组数据，我们看出在企业安全事故中，那些难度高、概率小、危害大的事故仅仅占很小的一部分，而那些危害轻微，难度小的部分则居大头。为什么会这样？上面的数据已经为我们给出了解释：不遵守安全规则。而对于为何制定的安全策略得不到有力执行，相信大家每个人都有独特而深刻的体会。其中一个主要原因便是企业抱有一种侥幸心理，以为眼下没发生安全事件、没造成危害，就是安全。因此满足于眼前的风平浪静，殊不知表面的无事与真正的安全根本是两个概念。作为企业IT管理人员，尤其是做安全管理的人员，要明确的知道：无事不与安全同。

[……]

查看更多

人生活在世界上，必然会有自己的价值观、世界观、人生观等等，这些将决定他的生活层次与状态，做信息安全也是一样的道理。在与客户的接触过程中，不少人曾向我问及对安全的一些看法，那下面就跟大家一起谈谈我的安全观。

[……]

查看更多