2014年年末，索尼影业遭遇了史上最大一次规模的黑客入侵，此次攻击抹掉了索尼影业公司3000余台电脑及800余台服务器的全部数据。并且在黑客删除所有数据之前，这些数据已经被黑客所“窃取”。在接下来的三周内，黑客将这些机密文件发表在公共文件共享平台上。5部未上映的电影资源遭泄露、47000余员工的社会安全码（员工身份信息）、工资邮件等大量机密信息被爆出，仅直接造成的经济损失就达数亿美元。

作为行业的佼佼者，索尼影业在信息安全方面开展了很多工作、部署了很多防御设备。但为什么还会被黑客攻破安全的壁垒；难道真的是黑客太强吗，还是另有原因？我们先看一下在此次事件中黑客运用的技术和方法。

由上图我们清楚可以看到，但凡在黑客入侵的七个阶段中的任意一个阶段，索尼能够及时发现黑客的恶意行为并进行报警和拦截，都不会造成如此严重的损失和后果。

对员工行为管理的不到位、缺乏信息安全体系间的联动、以及检测和响应的严重滞后是此次事件中暴露出的最大问题，也同时给了我们很多启发和启示。

首先，等级保护作为信息安全领域中应用行业最多、使用范围最广的标准之一，其地位无可比拟。甚至在很多细分行业（银行、电信、医疗等）,信息安全标准中，也都有等级保护的影子。如果把信息安全体系比作一座坚不可摧的大门，那么等级保护就是开启这座大门的钥匙。

为什么等级保护地位如此重要？因为真正的信息安全体系是立体的，而非扁平的；是联动的，而非孤立的。信息安全体系中的每一个环节都是重要的（短板效应），硬性（硬件）措施与软性（软件）措施应该是相互补充、相互关联的。而等级保护恰恰是指导企业单位信息安全建设的一套完整体系，它包含技术体系（应用、主机、数据、网络、物理环境）和管理体系（人员、制度、运维、建设）。从多个环节保障我们企业单位和核心数据，为业务的增长保驾护航。

回到索尼影业入侵的案例中。我们可以看到，如果在入侵初期，防火墙、WAF、IDS、行为管理等设备能够有较好的联动，捕捉到黑客的异常行为；如果在入侵中期，能够对黑客异常的横向移动行为进行检测报警，安全管理体系做得严丝合缝；如果在入侵后期，能够做到对异常操作的及时响应和拦截，那么后来的一切都不会发生。然而现实永远没有如果。