現(xiàn)在信息安全可以說是關(guān)系到企業(yè)命運(yùn)的大事，不管CIO愿意不愿意，他的一個(gè)重要職責(zé)就是要確保信息安全。如果企業(yè)的信息安全系統(tǒng)脆弱不堪，CIO必須對(duì)此負(fù)責(zé)。那么，CIO應(yīng)該制定什么措施來避免泄密事件發(fā)生。

保障信息安全有兩個(gè)支柱，一個(gè)是技術(shù)、一個(gè)是管理。而我們?nèi)粘Ｌ峒靶畔�安全時(shí)，多是在技術(shù)相關(guān)的領(lǐng)域。但正如“木桶原理”所示，安全系數(shù)是由最弱的那個(gè)環(huán)節(jié)決定的。因此，CIO在保護(hù)信息安全時(shí)，也應(yīng)該從上述二個(gè)方面全面考量，而不能只偏重其中的某一個(gè)部分。

據(jù)IDC一份調(diào)查統(tǒng)計(jì)表明，全球差不多有80%的企業(yè)存在著信息安全或信息風(fēng)險(xiǎn)問題，在所有被調(diào)查的公司中，進(jìn)行常規(guī)性安全檢查的公司還不到一半，只有30%的公司具有跟蹤用戶訪問的能力，30%的公司使用加密技術(shù)。而且調(diào)查還說這些信息安全問題大都來自于企業(yè)內(nèi)部，而其中處于信息泄密高風(fēng)險(xiǎn)的很大一部分都是來自于信息安全管理不善所致。

想要應(yīng)付信息安全威脅，就要先認(rèn)識(shí)到什么是“信息安全威脅”。企業(yè)需要面對(duì)各種各樣的信息危險(xiǎn)，這種危險(xiǎn)可能是惡意的，也可能是非惡意的，如因失誤而造成的泄露。惡意的危險(xiǎn)又分為兩種，一是理智型的，如故意偷取企業(yè)機(jī)密；二是非理智型的，如毀壞企業(yè)的數(shù)據(jù)。總的說來，典型的信息泄露危險(xiǎn)主要包括如下幾個(gè)方面。

一、典型的安全泄露途徑 

1、軟硬件故障導(dǎo)致意外泄密

信息系統(tǒng)各種設(shè)備的物理安全和正常運(yùn)行是保障信息安全的前提，當(dāng)這種正常狀態(tài)遭受到破壞時(shí)，信息就存在著泄密的可能。例如發(fā)生設(shè)備被盜、被毀，基礎(chǔ)網(wǎng)絡(luò)設(shè)施線路被截獲或偷聽而造成泄露。還有如防火墻意外癱瘓而導(dǎo)致失效，以致安全設(shè)置形同虛設(shè)，再或由于服務(wù)器死機(jī)導(dǎo)致數(shù)據(jù)丟失或外泄等。最后，還有軟硬件設(shè)備環(huán)境缺乏安全保護(hù)，如防水災(zāi)、火災(zāi)、地震等自然災(zāi)害。

2、黑客入侵  

一般來說，黑客常見的入侵動(dòng)機(jī)和形式可以分為兩種。第一種是拒絕服務(wù)（DOS）攻擊。這類攻擊一般能使單個(gè)計(jì)算機(jī)或整個(gè)網(wǎng)絡(luò)癱瘓，黑客使用這種攻擊方式是要阻礙合法網(wǎng)絡(luò)用戶使用該服務(wù)或破壞正常的活動(dòng)，但只會(huì)導(dǎo)致網(wǎng)絡(luò)故障，一般不涉及信息安全和信息泄密。而另一種是非法入侵，非法入侵是指黑客利用企業(yè)安全漏洞訪問企業(yè)內(nèi)部網(wǎng)絡(luò)或數(shù)據(jù)資源，進(jìn)行刪除、復(fù)制甚至毀壞數(shù)據(jù)的活動(dòng)。這種黑客入侵行為可能會(huì)致使公司數(shù)據(jù)被竊而造成無法挽回的損失，屬于非常嚴(yán)重的信息安全事件。

3、病毒侵襲

幾乎有計(jì)算機(jī)的地方，就有出現(xiàn)病毒的可能性。計(jì)算機(jī)病毒通常隱藏在文件或程序代碼內(nèi)，伺機(jī)進(jìn)行自我復(fù)制，并能夠通過網(wǎng)絡(luò)、磁盤、光盤等諸多手段進(jìn)行傳播。計(jì)算機(jī)病毒傳播速度相當(dāng)快、影響面大，必須對(duì)它的危害要引起關(guān)注。一般來說，殺毒軟件和防火墻是對(duì)付病毒的最好方法之一。

CIH、愛蟲等病毒曾讓企業(yè)信息安全人員恐慌一時(shí)，侵害小病毒的會(huì)引起死機(jī)影響工作，大的可能引起系統(tǒng)癱瘓或摧毀數(shù)據(jù)，有些惡意病毒還具有盜取用戶資料的功能，如用戶賬號(hào)和密碼等。

4、非授權(quán)泄露或刪除敏感信息 

企業(yè)內(nèi)部的敏感信息被內(nèi)部人員非授權(quán)泄露或刪除。導(dǎo)致這種狀況的有幾種原因，如非法使用移動(dòng)存儲(chǔ)設(shè)備，非法復(fù)制資料等，還有如錯(cuò)誤的電子郵件發(fā)送，配置錯(cuò)誤的訪問控制列表，沒有嚴(yán)格地設(shè)置的用戶訪問權(quán)限等，這些都是由于內(nèi)部信息安全管理不善所導(dǎo)致的。也有可能是信息管理人員對(duì)安全權(quán)限設(shè)置不當(dāng)，導(dǎo)致某些懷有惡意的人故意破壞企業(yè)商業(yè)機(jī)密的完整性以及向競(jìng)爭(zhēng)對(duì)手故意泄露商業(yè)機(jī)密等。

由此可見，信息危險(xiǎn)不僅來自于外面，有時(shí)也來自于內(nèi)部。因此，對(duì)企業(yè)來說，信息安全工作迫在眉睫，一方面，企業(yè)需要重視計(jì)算機(jī)病毒防護(hù)工作，制定相關(guān)的管理制度和實(shí)施方案，為信息數(shù)據(jù)安全提供保障。另一方面，要不斷完善備份系統(tǒng)，因?yàn)榧词故亲畛錾�的安全專家也無法保證數(shù)據(jù)的百分百安全。所以，要建立一個(gè)可持續(xù)性、可恢復(fù)性的備份系統(tǒng)，保證信息系統(tǒng)在遇到數(shù)據(jù)災(zāi)難的時(shí)候能用最快的速度恢復(fù)。

二、不要讓自己成為信息安全的泄露者 

1、對(duì)信息安全風(fēng)險(xiǎn)，總是視而不見

雖然，信息系統(tǒng)的缺陷和技術(shù)不足，使得攻擊、泄密、破壞等安全事件時(shí)有發(fā)生，給企業(yè)帶來損失。但最為可惜的是，大多數(shù)企業(yè)的IT管理人員以及決策者，對(duì)于企業(yè)信息安全風(fēng)險(xiǎn)甚少有意識(shí)，往往只是在事件發(fā)生后，捶胸頓足、哀聲長(zhǎng)嘆。即使有部分具有前瞻眼光的決策者，察覺到了信息安全風(fēng)險(xiǎn)的可怕，卻也缺少一種科學(xué)的分析方法，對(duì)于核心業(yè)務(wù)信息安全風(fēng)險(xiǎn)更缺乏嚴(yán)格的評(píng)估、量化和分析。

2、沒有進(jìn)行安全風(fēng)險(xiǎn)評(píng)估，沒有做好預(yù)防措施  

想要加強(qiáng)企業(yè)信息的安全性，就需要對(duì)企業(yè)信息安全的實(shí)際風(fēng)險(xiǎn)做一個(gè)盡可能準(zhǔn)確的評(píng)估，否則的話就會(huì)出現(xiàn)本來需要高安全級(jí)別的信息系統(tǒng)，結(jié)果為了省錢，建立了一個(gè)安全性能不是很高的IT系統(tǒng)；或者本來需要的安全級(jí)別不是很高的，結(jié)果花了相當(dāng)多的錢建立了一個(gè)安全性能極高的IT系統(tǒng)，浪費(fèi)了投資。所以，一定要盡可能正確地評(píng)估企業(yè)信息安全的風(fēng)險(xiǎn)。

因此，正確對(duì)信息安全風(fēng)險(xiǎn)評(píng)估的意義非常重大，一般可從以下幾個(gè)方面考慮：根據(jù)公司的具體業(yè)務(wù)，評(píng)估信息安全風(fēng)險(xiǎn)是什么；本企業(yè)信息對(duì)黑客的吸引力大不大；本企業(yè)對(duì)外部開放程度如何；一旦出現(xiàn)信息安全事故，對(duì)本公司的影響最大程度是什么；若提供保護(hù)這些信息的安全，可能需要的投資額是多少，是否值得為此付出這么多代價(jià)等。

從以上幾個(gè)方面考慮是因?yàn)椴煌�性質(zhì)的企業(yè)，黑客對(duì)它們的興趣大小不同。如高精尖企業(yè)以及銀行、海關(guān)、證券等企業(yè)很容易引起黑客的興趣，這樣的企業(yè)信息安全風(fēng)險(xiǎn)性就大些；而一些生產(chǎn)普通物品的企業(yè)黑客卻很少光顧，這樣的企業(yè)信息安全風(fēng)險(xiǎn)性就小些。再比如，有些企業(yè)一旦出現(xiàn)信息安全事故，可能會(huì)企業(yè)產(chǎn)生致命的打擊，有些企業(yè)可能就無所謂。因此，它們的信息安全風(fēng)險(xiǎn)程度絕對(duì)不會(huì)相同。

總而言之，任何事物都有它的兩面性。正確、恰當(dāng)?shù)厥褂肐T信息能為企業(yè)帶來飛速的發(fā)展，但由于系統(tǒng)缺陷、人為誤操作、惡意攻擊等不可預(yù)料的各種風(fēng)險(xiǎn)也同樣使得企業(yè)信息面臨著巨大的災(zāi)難。因此，企業(yè)應(yīng)通過建立冗余機(jī)制、災(zāi)備機(jī)制、詳盡的信息安全策略等各種手段來降低企業(yè)的信息安全風(fēng)險(xiǎn)。