導(dǎo)語(yǔ):2001年�,“內(nèi)網(wǎng)安全”作為企業(yè)安全的分支,開始出現(xiàn)在歷史的舞臺(tái)���。至今�����,它已走過(guò)十年光陰�����。十年的發(fā)展����,內(nèi)網(wǎng)安全幾經(jīng)風(fēng)雨,相關(guān)的概念�����、技術(shù)和產(chǎn)品也經(jīng)歷了許多發(fā)展和變化�����。然而���,我們站在十年的路口回望����,仍有很多問題值得我們?nèi)プ穯����。?nèi)網(wǎng)安全防護(hù)��,企業(yè)是賺了還是虧了?如何建構(gòu)適合企業(yè)的防泄漏體系?......在內(nèi)網(wǎng)安全十年之際���,知名專家����、一線用戶、溢信資深安全專家三方共聚一席����,共同就內(nèi)網(wǎng)安全十大爭(zhēng)議話題進(jìn)行探討。三方暢所欲言�,百家爭(zhēng)鳴,為您一一呈現(xiàn)各種精彩觀點(diǎn)�����。更多精彩�,請(qǐng)看“內(nèi)網(wǎng)安全 十年之辯”:https://www.ip-guard.net/topics/2011/10nian/zhuanti/10nian.htm
“50萬(wàn)的安全建設(shè)投入,和1000萬(wàn)的產(chǎn)品研發(fā)投入相比�,誰(shuí)更值得?”有人覺得當(dāng)然是產(chǎn)品研發(fā)更值得,企業(yè)的核心資產(chǎn)就在產(chǎn)品研發(fā)上�。那么,誰(shuí)來(lái)保證這個(gè)核心資產(chǎn)的價(jià)值呢?先來(lái)看一則實(shí)際案例�,A公司投資近千萬(wàn),耗時(shí)兩年打造了某產(chǎn)品��。在該產(chǎn)品上市前1個(gè)月�����,B公司也在市場(chǎng)上推出了該產(chǎn)品。主要參數(shù)一摸一樣�,價(jià)格卻減半。于是公司內(nèi)部各種傳聞�、猜疑聲四起。A企業(yè)的損失只是上千萬(wàn)么?市場(chǎng)占有率呢?人員團(tuán)結(jié)呢?——也許都是損失��,不可估量的損失�����。這樣來(lái)看����,50萬(wàn)的安全投入,是否就值得了呢?
游俠安全網(wǎng)站長(zhǎng)張百川挺贊成一句話:安全����,成就價(jià)值。它本身不一定非要?jiǎng)?chuàng)造價(jià)值��,但是卻可以幫助你實(shí)現(xiàn)價(jià)值����。以上例子,則是最好的說(shuō)明�����。
說(shuō)到安全價(jià)值�,這可以回歸到IT部門的本源上。在很多公司���,人們普遍認(rèn)為IT部門都是消費(fèi)者����,都是花錢��,需要買服務(wù)器�、PC機(jī)、網(wǎng)絡(luò)設(shè)備等等�。然而,沒有IT部門的規(guī)劃����,目前很多信息化管理工作都需要回到最原始的狀態(tài),例如紙質(zhì)的以人為核心的辦公方式���。而一旦回到那種狀態(tài)����,工作效率降低了,公司的業(yè)績(jī)下滑了����,賺錢少了,這不正意味著IT也是在賺錢嗎?“同樣的道理��,我認(rèn)為安全投入是非常必要的前期投資����。”信息安全專家李洋博士肯定了安全投入的價(jià)值。
看來(lái)�,安全投入當(dāng)然值得,但是總覺得花著錢�����,卻看不見東西����,對(duì)于企業(yè)經(jīng)營(yíng)者來(lái)說(shuō),這滋味也不是很好受�����。鄭州三全食品股份有限公司CIO周清湘做了一個(gè)有趣的比喻,說(shuō)出了大多數(shù)企業(yè)的心聲:企業(yè)信息安全類似“交強(qiáng)險(xiǎn)”���,若不出現(xiàn)意外情況,感覺花錢買“保險(xiǎn)”很冤枉;若出現(xiàn)問題����,那就賺大發(fā)了。由此可以看出��,安全產(chǎn)品其實(shí)是預(yù)防風(fēng)險(xiǎn)�����,而企業(yè)苦在雖然風(fēng)險(xiǎn)漂無(wú)不定�����,卻必須設(shè)防����。
所謂保險(xiǎn),不怕一萬(wàn)就怕萬(wàn)一���。萬(wàn)一的情況雖然是萬(wàn)分之一���,但是一次損失可能就足以摧毀一個(gè)企業(yè)���。要平衡好其中心態(tài),首先��,要重視安全風(fēng)險(xiǎn)�。從內(nèi)網(wǎng)安全的層面來(lái)看,正是由于內(nèi)網(wǎng)中所面臨的不確定的安全風(fēng)險(xiǎn)點(diǎn)太多���,外設(shè)���、網(wǎng)絡(luò)、人員��、在線溝通���,所有點(diǎn)累計(jì)起來(lái)�����,就可能使信息安全風(fēng)險(xiǎn)提升到一個(gè)很高的角度����。管理者不應(yīng)該認(rèn)為安全事件離自己很遠(yuǎn),就在今年����,就發(fā)生了索尼PSN網(wǎng)絡(luò)泄密、韓國(guó)賽我網(wǎng)用戶泄密��、富士康I-Pad2圖紙泄密等多個(gè)泄密事件��,因?yàn)榉N種原因沒有公開披露的事件更多���。其次,正確衡量安全風(fēng)險(xiǎn)�����。一個(gè)可能的安全事件所造成的影響��,取決于該安全事件發(fā)生的幾率以及一旦發(fā)生所能造成的損失大小�����。假設(shè)一次信息泄漏事故發(fā)生的損失是1000萬(wàn)�����,而部署對(duì)應(yīng)的安全產(chǎn)品可能需要5萬(wàn)元,這時(shí)�����,如果部署安全產(chǎn)品�����,這個(gè)安全事件發(fā)生的概率可能從30%下降到1%�,你會(huì)怎么選擇呢?溢信科技產(chǎn)品總監(jiān)黃凱強(qiáng)調(diào),“對(duì)于手中握有重要機(jī)密信息的組織來(lái)說(shuō)����,從財(cái)務(wù)報(bào)表上看,安全不能給你帶來(lái)賬面收益���,但卻能保護(hù)你的核心競(jìng)爭(zhēng)力�����。” 三一重工是把安全風(fēng)險(xiǎn)看的比較清楚的企業(yè)之一�,三一重工股份有限公司研究總院信息化經(jīng)理譚俊峰表明安全投入對(duì)三一重工來(lái)說(shuō)是絕對(duì)有價(jià)值的���。“安全投入絕對(duì)不是花錢���。技術(shù)是無(wú)形的���,怎么樣從嵌入業(yè)務(wù)在到體現(xiàn)價(jià)值,應(yīng)該是管理者必須要考慮的問題����。”
總體看來(lái),安全是有價(jià)值的�����,投入是必須的���。而要體現(xiàn)價(jià)值,則是一個(gè)難題�����。制造業(yè)信息化專家黃培博士認(rèn)為管理者要思考的這個(gè)問題��,首先需要針對(duì)不同安全風(fēng)險(xiǎn)的級(jí)別�,把錢花對(duì)���,不然就真的是“花錢”不討好。“不同的企業(yè)���,面臨的安全風(fēng)險(xiǎn)大小不同��。比如擁有自己核心技術(shù)的企業(yè)�����,安全風(fēng)險(xiǎn)就比較大�,簡(jiǎn)單做來(lái)料加工的企業(yè)���,安全風(fēng)險(xiǎn)就比較小�����。對(duì)于前者�����,投入巨資去做安全是很劃算的����,因?yàn)檫@筆投入保證了核心技術(shù)不外泄,保證企業(yè)的生存能力���,這屬于掙錢;而后者因?yàn)轱L(fēng)險(xiǎn)很小����,只需做一些基礎(chǔ)的管理和防護(hù)工作就可以了���,投入巨資去做安全就沒有必要了�,那就屬于花錢����。”
爭(zhēng)論“花錢”還是“掙錢”,無(wú)非也就是討論安全的價(jià)值�。綜觀各位專家的觀點(diǎn),都可以回到文首張站長(zhǎng)的一句話:安全不一定為企業(yè)創(chuàng)造價(jià)值���,但是它可以幫助企業(yè)實(shí)現(xiàn)價(jià)值。筆者認(rèn)為���,無(wú)論以IT現(xiàn)狀來(lái)類比��,還是以保險(xiǎn)作喻����,這句話都可以作為企業(yè)對(duì)安全看法的參考。“安全幫助企業(yè)實(shí)現(xiàn)價(jià)值”這句話��,可以一分為二來(lái)看待�����。一方面�,安全“保證”了企業(yè)的價(jià)值,這是上文提到的“保險(xiǎn)”的角度;另一方面����,安全助力企業(yè)“創(chuàng)造”價(jià)值。安全已經(jīng)滲入到企業(yè)業(yè)務(wù)流程的各個(gè)方面��,不安全的環(huán)境給企業(yè)帶來(lái)的是諸多的困擾��,病毒��、斷網(wǎng)等都會(huì)影響企業(yè)的工作效率�,在有限的高效工作環(huán)境中,“創(chuàng)造”價(jià)值的空間縮小�����。而在安全的環(huán)境中,企業(yè)會(huì)降低這些安全風(fēng)險(xiǎn)�����,無(wú)形中就有更多精力和時(shí)間去創(chuàng)造價(jià)值�����。
正因?yàn)樗梢詭椭髽I(yè)實(shí)現(xiàn)價(jià)值��,因而安全投入是必需的�����,這個(gè)道理大家都明白���。焦點(diǎn)其實(shí)在于��,怎么樣覺得這筆錢花的舒服�����。如上文所述,企業(yè)一定要重視安全風(fēng)險(xiǎn)���,它并不是萬(wàn)分之一的幾率���,而是隨時(shí)有可能發(fā)生�。其次要正確衡量安全風(fēng)險(xiǎn)����,看它所保護(hù)的是多少的價(jià)值。這樣一想�,安全投入就很劃算了。而要真正衡量?jī)?nèi)網(wǎng)安全究竟是“花錢”還是“掙錢”�����,應(yīng)當(dāng)通過(guò)企業(yè)要保護(hù)的數(shù)據(jù)對(duì)于企業(yè)的重要性來(lái)選擇投入�����。如果一個(gè)企業(yè)的敏感數(shù)據(jù)對(duì)企業(yè)影響小���,那么安全投入大可以降低投入�����,過(guò)多投入也是浪費(fèi);如果一個(gè)企業(yè)的敏感數(shù)據(jù)對(duì)企業(yè)影響大��,有上千萬(wàn)或者企業(yè)全部身家的價(jià)值�,那么就算是安全投入了十萬(wàn),也是百分之一的投入���,杜絕了萬(wàn)分之一的一敗涂地的幾率�����。當(dāng)然�����,花好這筆錢�����,只是體現(xiàn)安全價(jià)值的第一步��。它的價(jià)值體現(xiàn)���,還有待管理者們?nèi)ダ^續(xù)思考。
