人生活在世界上,必然会有自己的价值观、世界观、人生观等等,这些将决定他的生活层次与状态,做信息安全也是一样的道理。在与客户的接触过程中,不少人曾向我问及对安全的一些看法,那下面就跟大家一起谈谈我的安全观。
媒体上关于信息以及信息安全重要性的文章和论述已经太多,并且信息早已被经济学领域正式列为生产要素之一,亦有人将“信息安全”列为生产要素,其实这并非言过其实,仔细想想存在其合理性。
根据经济学理论,生产要素是指社会进行生产经营活动过程中必须具备的基本因素。由于信息安全对企业的影响力以及事故易发性,其已然成为现代企业生产经营必不可少的因素,这与生产要素的定义是相符合的。而具体说到信息安全对于企业生产的必不可少,可以从以下两方面看出。
动辄关乎存亡
信息安全事件的后果往往十分惊人,小则伤筋动骨,大则直接致命。世界上最大的能源、天然气及电讯公司之一安然公司就因为财务信息造假,结果一夜之间便坠落到毁灭的深渊。萨班斯法案也由此诞生。一般而言,信息安全事件使企业遭受三方面的损失:
一是核心命脉的损失。比如对于软件研发公司、设计公司等,源代码、设计作品等是企业的核心竞争力,信息安全事故对于它们而言往往是致命性的冲击。
二是社会名誉损失,企业发生信息安全事件,不仅暴露出其在安全管理上的弊端,使得消费者对其产生质疑和不信任,更严重的是,这种不信任感会蔓延到各个方面,最终导致对其品牌形象和品牌忠诚度造成伤害。如今年3.15晚会上曝光招商银行、工商银行内部员工通过中介机构兜售用户个人信息的黑幕,令消费者心寒不已。
三是财产损失,信息本身就是价值不菲的宝贝,信息破坏或者信息失窃直接代表着财产流失,在最近爆出的英特尔前员工信息盗窃案中,英特尔的损失近10亿美元。
静则危机四伏
其次企业的信息资产属于无形资产,其虚拟性决定了它的安全更加难以守护。企业无法像对其它实体资产一样将信息牢牢掌握在自己手中;或者不分日夜严加看守,绝不使其脱离安全人员的视野;甚至说将其秘存至某个仓库,关键时刻再行启用,这些都不现实。而企业信息面临的环境相对于实体要更加复杂,风险更大,更难以防范,并且随着信息技术的发展,这种危险的局势将愈来愈明显。信息安全,可以说是战战兢兢,如履薄冰,不是滴水不漏,可能就是满盘皆输。
由此可见信息安全这一生产要素对企业生产经营的重要性。虽然企业的安全意识越来越高,但企业目前的安全投入远远没有满足现实的需求。据统计,每年全球因安全问题导致的网络损失已经可以用万亿美元的数量级来计算,我国也有数百亿美元的经济损失,然而安全方面的投入却不超过几十亿美元。
该如何衡量信息安全投入多少呢?经济学给出了笼统的衡量方法。信息安全作为一种生产要素,符合经济学上的投资与回报曲线,在一定程度内,投入越多,回报就越多;过了临界值,收益反而会随着成本的增加而降低,即边际收益降低。
但就目前来说,企业的信息安全投入还远远不够(如图1),在csdn事件爆发后,就曾有一位在国内知名互联网公司负责安全的技术总监坦承“国内公司在安全上的投入的确比较少。一家券商TMT研究部门的调研数据也显示目前中国互联网公司的信息安全支出在整体IT支出中的比例不到1%,欧美的比例是8%~10%。这并非互联网行业的“独家”情况,各行业在安全方面的投入普遍偏低,距离临界点尚有较大距离,企业勿需担忧安全投入过剩,现阶段,安全投入可以为企业带来更多的回报,是非常值得做的事情。