在文章开头，先给大家讲个小故事。有一户人家做了新房子，但厨房没有安排好，烧火的土灶烟囱砌得太直，而且土灶旁边堆着一大堆柴草 。一天，这家主人请客，有位客人看到主人家厨房的这些情况，就对主人说：你家的厨房应该整顿一下 。主人问道：为什么呢？ 客人说：你家烟囱砌得太直，柴草放得离火太近，你应将烟囱改砌得弯曲一些，柴草也要搬远一些，不然的话，容易发生火灾 。主人听了，笑了笑，不以为然，没放在心上，不久也就把这事忘到脑后去了。后来，这家人家果然失了火，左邻右舍立即赶来，大家一起奋力扑救，大火终于被扑灭，除了将厨房里的东西烧了一小半外，总算没酿成大祸。于是主人宴请四邻，以酬谢他们救火的功劳，但是并没有请当初建议他将木材移走，烟囱改曲的人。有人对主人说：“如果当初听了那位先生的话，今天也不用准备宴席，而且没有火灾的损失，现在论功行赏，原先给你建议的人没有被感恩，而救火的人却是座上客，真是很奇怪的事呢！”主人顿时醒悟。

故事中的新房子主人不听朋友良劝，结果酿成火灾，邻居帮忙帮忙灭了火，他感激不已，却忘了当初提醒他预防火灾的朋友。现实中很多企业做信息安全也有类似的情形，总是忽略事先预防，结果酿成悲剧，才亡羊补牢，但付出的代价比当初预防所需的要多得多。对于企业信息安全建设来说，预防比事后补救效果更显著，所需的成本也更少。

防与救的博弈

既然是预防，必是处于危机的萌芽阶段，因此控制难度小，花费较低。而等到小问题堆积、发酵、直至爆发的时候，其控制难度已增长无数倍，势不能挡。从导致的后果来看，首先，造成的损失已无法挽回，泄露出去的信息就如泼出去的水，正所谓覆水收回。英特尔前员工将商业机密泄露给竞争对手ARM，造成损失近10亿美元。据统计美国因信息泄露造成的商业损失高达每年1000亿美元，名列《财富》（Fortune）全球1000强的大公司，平均每年因信息泄露导致的损失总数高达450亿美元。

其次，为了尽量降低负面影响，企业必然会尽力弥补，也就不得不再次投入大量人力物力。20世纪80年代爆发的储蓄贷款危机给美国银行业造成了巨大损失，直接导致1300多家商业银行和1400多家储贷协会破产，约占美国同期商业银行和储贷协会总数的14%。同时，为应对危机，美国政府付出了高昂的救助成本，累计支出1800多亿美元用于清理破产机构。

除此之外，信息安全事件会降低品牌信用度，导致企业产生无法算计的损失。信息泄露会使用户对企业保护消费者利益的能力产生怀疑，进而选择改门换户，或者暂时调整消费模式。以购物而言，A商城账号泄漏，就换到B商城，还是不行，就会选择实体店，直至品牌信任度恢复到原来的水平。

第二点，事前预防，先发制人，主动性强，事后补救则被动得多。在占据主动的情势下，企业可以更从容、更全面、更深入地思考面临的问题。相反如果在事故突发，人心慌乱的情况下，企业极有可能囿于对危机的焦虑之中，无法全身事外，冷静地分析全局，结果错上加错，使局面愈加恶化。信息安全防护是一种战争—网络战争，无论是国家还是企业，都已经身处于这场无硝烟的战争之中，中国人常说“不打无准备之仗”，凡事豫则立，不豫则废。

防之道

如何才能做到防范有道，我相信这是困惑许多企业的问题，在这里我结合自己在过去十多年参与的信息安全项目经验，简单谈谈。要做到防范有道，最重要的就是要对企业进行全面的风险评估，只有清楚地了解问题，才能有的放矢地解决问题。

评估需要通过三大过程。

第一，通过内部问卷调研、人员访谈等方式，了解清楚企业各部门资产的情况，哪些资产是真正需要保护的。

第二，识别这些关键信息所面临的威胁，并检查信息系统的脆弱性，并确定系统抵抗威胁的能力。如果将信息比作一个人，那威胁就是他的敌人，而脆弱性则是到他的缺陷，如无力的拳头等。

第三，评估风险发生的可能性和所产生的影响，还是以人为例，可能性就是被敌人伤害到的机率，产生的影响是说如果被敌人伤到，会带来多大的后果。

评估之后接着是确定风险处理措施。根据不同部门的涉密程度以及所面临的风险级别，部署轻重有别的防护系统。需要强调的一点是，切忌选择性地忽视某些区域。目前虽然国内企业信息防泄露技术的发展已经日臻成熟，但还有不少企业的防泄露措施依然只集中于所谓的核心部门。但实际上非核心部门也可能接触到机密信息，如果缺乏有效的管控措施，信息很可能就无声无息的流失了。

无论是成本，还是从安全的角度看，提前预防都赋予了企业更多的时间与更从容的姿势去应对问题。套用一句俗语，胜利永远是留给有准备的人，希望企业在信息安全方面越做越好。