27、安全防护：从意识提升到方案落地

安全防护：从意识提升到方案落地

1. 安全防护的基本理念

安全防护没有一刀切的方法，不存在“做这三件事就能完全安全”的简单公式。我们应至少在心里记下哪些应对措施适合自己。四条黄金规则至关重要，同时，无论个人还是组织，都应将意识培训列为重中之重。我们要不断提升并定期运用安全意识。

在应对间谍活动和高科技威胁时，目标是优化风险。这需要我们了解组织面临的威胁和自身的脆弱点，并根据具体需求选择防护策略。此外，不要忽视那些未被利用的应对措施，激活它们往往无需资金成本，只需要知识。比如检查每一把锁、每一个警卫和每一台计算机，找出未做之事并去完成。

安全防护需要运用常识。要明白信息和其他资源对自己以及可能造成伤害或谋取利益的人都有价值；要意识到存在大大小小的间谍和自然事件，若自身脆弱就可能受到伤害；要清楚自己存在易被间谍利用的脆弱点；更重要的是，要有意识地选择自身的脆弱程度，并合理投入资源进行应对。接受的风险程度应该是有意识的选择，否则可能面临超出想象的风险。就像对待个人人身安全一样，不会无故在夜间进入危险区域，也不会不必要地不锁门窗。在现实世界中，一个小的防护措施，如锁门或选择安全的出行路线，能带来极大的安全保障。在信息世界中，创建安全计划的目标就是选择能带来指数级安全保障的信息安全应对措施。

2. 安全计划的开发起点

2.1 列出脆弱点

要识别影响自身的脆弱点并列出清单，包括大大小小的脆弱点，尤其是小的方面。虽然有一些基础的脆弱点参考，但要确保考虑其他相关的脆弱点并列入清单。

2.2 确定价值

记录每个脆弱点被利用可能带来的损失。尽可能给出实际的货币价值，至少用文字描述，如无损失