信息车祸不可避免，整合措施降低风险

管理会计

记者：您曾经提到为了防止受到高级威胁的侵害，高级安全系统必须演变为基于风险的、敏捷的、且具有情境识别能力。那像facebook这样的社交网络，拥有7亿多用户，掌握7亿多用户的详细资料，内部人士利用资料去牟利的风险如何控制和防备？高级信息安全系统能否控制这种风险呢？

亚瑟：首先我得说，确实不存在完美的安全系统，但这也正是为什么我们要进行深入地防御或者说深度防御。我们要结合各种各样的控制措施，使它们能够互相加强，同时实施了这些相互加强的控制之后，还要对他们实施持续不断的监测，以便发现系统中是否出现信息利用的不正常情况。

比如说我就可以想出几种控制措施，来监控内部人士利用相关信息的情况，其中有些措施甚至跟技术没什么关系，比如说可以采取一些流程上的步骤，来限制甚至是内部人士来访问相关信息；比如说可以把这些信息进行区分，把它们放在不同的地点，也就是说不那么容易一下子被人找到所有的信息；再比如说企业在雇佣职员之前，要进行充分的调查，确保这些人以前没有恶意利用他人隐私信息的犯罪记录或者是其他相关的记录；还有各种各样诸如身份验证、访问控制、防数据丢失套件、加密技术、先进的持续监测技术、安全信息和事件管理等手段，所有的这些技术都可以独自或者共同发挥作用，这样就能够大大降低内部人士利用相关信息的风险。

其实你以facebook为例非常有趣，假如facebook是一个国家的话，它就会是世界上的第三人口大国，仅次于中国和印度。当然facebook也是一个非常好的例子，说明了过去10年间形势发生了多么大的变化。