導語:2001年,“內網(wǎng)安全”作為企業(yè)安全的分支�,開始出現(xiàn)在歷史的舞臺。至今��,它已走過十年光陰��。十年的發(fā)展�,內網(wǎng)安全幾經(jīng)風雨,相關的概念�、技術和產品也經(jīng)歷了許多發(fā)展和變化。然而��,我們站在十年的路口回望����,仍有很多問題值得我們去追問�����。內網(wǎng)安全防護,企業(yè)是賺了還是虧了?如何建構適合企業(yè)的防泄漏體系?......在內網(wǎng)安全十年之際�����,知名專家�、一線用戶、溢信資深安全專家三方共聚一席����,共同就內網(wǎng)安全十大爭議話題進行探討。三方暢所欲言���,百家爭鳴���,為您一一呈現(xiàn)各種精彩觀點。更多精彩�����,請看“內網(wǎng)安全 十年之辯”:https://www.ip-guard.net/topics/2011/10nian/zhuanti/10nian.htm
“50萬的安全建設投入����,和1000萬的產品研發(fā)投入相比���,誰更值得?”有人覺得當然是產品研發(fā)更值得,企業(yè)的核心資產就在產品研發(fā)上�。那么,誰來保證這個核心資產的價值呢?先來看一則實際案例��,A公司投資近千萬����,耗時兩年打造了某產品。在該產品上市前1個月����,B公司也在市場上推出了該產品。主要參數(shù)一摸一樣�����,價格卻減半�。于是公司內部各種傳聞、猜疑聲四起�����。A企業(yè)的損失只是上千萬么?市場占有率呢?人員團結呢?——也許都是損失�����,不可估量的損失�����。這樣來看�,50萬的安全投入,是否就值得了呢?
游俠安全網(wǎng)站長張百川挺贊成一句話:安全��,成就價值��。它本身不一定非要創(chuàng)造價值��,但是卻可以幫助你實現(xiàn)價值�。以上例子,則是最好的說明�����。
說到安全價值����,這可以回歸到IT部門的本源上�����。在很多公司����,人們普遍認為IT部門都是消費者��,都是花錢��,需要買服務器���、PC機���、網(wǎng)絡設備等等。然而����,沒有IT部門的規(guī)劃,目前很多信息化管理工作都需要回到最原始的狀態(tài)����,例如紙質的以人為核心的辦公方式。而一旦回到那種狀態(tài)�����,工作效率降低了,公司的業(yè)績下滑了����,賺錢少了�,這不正意味著IT也是在賺錢嗎?“同樣的道理,我認為安全投入是非常必要的前期投資��。”信息安全專家李洋博士肯定了安全投入的價值���。
看來��,安全投入當然值得�,但是總覺得花著錢�,卻看不見東西,對于企業(yè)經(jīng)營者來說����,這滋味也不是很好受。鄭州三全食品股份有限公司CIO周清湘做了一個有趣的比喻����,說出了大多數(shù)企業(yè)的心聲:企業(yè)信息安全類似“交強險”�����,若不出現(xiàn)意外情況����,感覺花錢買“保險”很冤枉;若出現(xiàn)問題�,那就賺大發(fā)了。由此可以看出�,安全產品其實是預防風險,而企業(yè)苦在雖然風險漂無不定�,卻必須設防。
所謂保險�����,不怕一萬就怕萬一��。萬一的情況雖然是萬分之一�����,但是一次損失可能就足以摧毀一個企業(yè)���。要平衡好其中心態(tài)�����,首先�����,要重視安全風險����。從內網(wǎng)安全的層面來看���,正是由于內網(wǎng)中所面臨的不確定的安全風險點太多����,外設���、網(wǎng)絡��、人員��、在線溝通���,所有點累計起來�����,就可能使信息安全風險提升到一個很高的角度���。管理者不應該認為安全事件離自己很遠,就在今年��,就發(fā)生了索尼PSN網(wǎng)絡泄密����、韓國賽我網(wǎng)用戶泄密、富士康I-Pad2圖紙泄密等多個泄密事件��,因為種種原因沒有公開披露的事件更多���。其次�����,正確衡量安全風險��。一個可能的安全事件所造成的影響�,取決于該安全事件發(fā)生的幾率以及一旦發(fā)生所能造成的損失大小。假設一次信息泄漏事故發(fā)生的損失是1000萬��,而部署對應的安全產品可能需要5萬元����,這時,如果部署安全產品�����,這個安全事件發(fā)生的概率可能從30%下降到1%���,你會怎么選擇呢?溢信科技產品總監(jiān)黃凱強調,“對于手中握有重要機密信息的組織來說��,從財務報表上看�����,安全不能給你帶來賬面收益��,但卻能保護你的核心競爭力��。” 三一重工是把安全風險看的比較清楚的企業(yè)之一�,三一重工股份有限公司研究總院信息化經(jīng)理譚俊峰表明安全投入對三一重工來說是絕對有價值的。“安全投入絕對不是花錢。技術是無形的�����,怎么樣從嵌入業(yè)務在到體現(xiàn)價值���,應該是管理者必須要考慮的問題�。”
總體看來����,安全是有價值的,投入是必須的�����。而要體現(xiàn)價值����,則是一個難題。制造業(yè)信息化專家黃培博士認為管理者要思考的這個問題����,首先需要針對不同安全風險的級別,把錢花對��,不然就真的是“花錢”不討好。“不同的企業(yè)�����,面臨的安全風險大小不同�����。比如擁有自己核心技術的企業(yè)�����,安全風險就比較大����,簡單做來料加工的企業(yè),安全風險就比較小�。對于前者��,投入巨資去做安全是很劃算的����,因為這筆投入保證了核心技術不外泄,保證企業(yè)的生存能力��,這屬于掙錢;而后者因為風險很小,只需做一些基礎的管理和防護工作就可以了����,投入巨資去做安全就沒有必要了,那就屬于花錢�。”
爭論“花錢”還是“掙錢”,無非也就是討論安全的價值���。綜觀各位專家的觀點�����,都可以回到文首張站長的一句話:安全不一定為企業(yè)創(chuàng)造價值�����,但是它可以幫助企業(yè)實現(xiàn)價值�����。筆者認為���,無論以IT現(xiàn)狀來類比,還是以保險作喻��,這句話都可以作為企業(yè)對安全看法的參考。“安全幫助企業(yè)實現(xiàn)價值”這句話�,可以一分為二來看待。一方面�,安全“保證”了企業(yè)的價值,這是上文提到的“保險”的角度;另一方面���,安全助力企業(yè)“創(chuàng)造”價值��。安全已經(jīng)滲入到企業(yè)業(yè)務流程的各個方面�����,不安全的環(huán)境給企業(yè)帶來的是諸多的困擾���,病毒、斷網(wǎng)等都會影響企業(yè)的工作效率��,在有限的高效工作環(huán)境中���,“創(chuàng)造”價值的空間縮小。而在安全的環(huán)境中�����,企業(yè)會降低這些安全風險,無形中就有更多精力和時間去創(chuàng)造價值����。
正因為它可以幫助企業(yè)實現(xiàn)價值,因而安全投入是必需的�,這個道理大家都明白。焦點其實在于���,怎么樣覺得這筆錢花的舒服����。如上文所述����,企業(yè)一定要重視安全風險,它并不是萬分之一的幾率�,而是隨時有可能發(fā)生。其次要正確衡量安全風險�,看它所保護的是多少的價值。這樣一想��,安全投入就很劃算了����。而要真正衡量內網(wǎng)安全究竟是“花錢”還是“掙錢”��,應當通過企業(yè)要保護的數(shù)據(jù)對于企業(yè)的重要性來選擇投入���。如果一個企業(yè)的敏感數(shù)據(jù)對企業(yè)影響小,那么安全投入大可以降低投入��,過多投入也是浪費;如果一個企業(yè)的敏感數(shù)據(jù)對企業(yè)影響大�,有上千萬或者企業(yè)全部身家的價值,那么就算是安全投入了十萬�,也是百分之一的投入,杜絕了萬分之一的一敗涂地的幾率����。當然,花好這筆錢����,只是體現(xiàn)安全價值的第一步。它的價值體現(xiàn)�����,還有待管理者們去繼續(xù)思考���。
