哈佛商业评论

当今，

网络攻击事件层出不穷，

许多企业把如何抵御黑客入侵视为风险管理的重中之重。

他山之石，可以攻玉。

美国国防部管理安全漏洞的经验值得企业学习。

美军最核心的经验是：

技术固然重要，

但更关键的是减少人为失误。

为了根除人为失误，

企业必须遵循6项原则：正直、知识深度、

遵守流程、有力后援、

质疑态度和沟通正式化。

美军的IT系统曾经漏洞百出，

现在却日益坚固，

可以在几小时甚至几分钟内

搜索到入侵对象并进行补救。

仅从2014年9月

到2015年6月，

美军就瓦解了已知的3000

多万次恶意进攻。

对系统造成破坏的

漏网之鱼不足0.1%。

向军事网络发起的攻击

往往相当复杂，

美军取得这样的成绩实属不易。

美军最核心的经验是：技术升级固然重要，但更关键的是减少人为失误。网络管理员和用户的失误造成了绝大多数袭击得逞。这些错误包括未能及时给系统遗留漏洞添加补丁、参数设置错误、违反标准程序等。

在解决上述问题的过程中，一位上将功不可没。他就是“核动力海军之父”海曼·里科弗（Hyman Rickover）。由他发起的核动力推进项目在60年间保持了零入侵纪录。里科弗竭力避免人为失误，核动力军舰上所有推进装置的操作者必须经过严格培训，避免出现操作失误；另一条原则是，在异常现象造成重大故障前及时修正。美国国防部在IT保卫战中一直参考里科弗的方法。本文的两位作者桑迪·温内菲尔德和克里斯托弗·基希霍夫都曾深入参与其中，他们写作此文的目的是希望推广国防部的方法，供企业领导借鉴。

企业网络和国防部网络类似，时刻面对着各方的攻击。攻击来源多样：单一民族国家、犯罪组织、网络黑客、无耻对手、不满的内部人员。索尼、塔吉特、家得宝、内曼·马库斯百货、摩根大通银行、Anthem医保等公司都曾被黑客盗取或破坏过数以亿计的信用卡或客户信息。某些能源公司刚刚完成地质勘探时，网络窃贼就盗取了油气储藏信息；重大交易前夕，黑客从公司内网中删除了谈判策略；国防部承包商手中的武器系统数据也惨遭删除。在过去3年里，美国针对化学、电气、水力和交通领域的重要基础设施-系统的网络入侵增加了17倍，难怪美国政府将提高公共及私人领域的网络安全列为国家要务。但是，近期联邦政府人事管理局被黑客入侵一事爆出，大家意识到问题依然严峻。