活動(dòng)鏈接:2012年控制網(wǎng)技術(shù)專題---設(shè)備安全與信息安全攜手2012
成功人士之所以成功,關(guān)鍵之一在于其擁有正確的價(jià)值觀和信念,眼界決定世界。信息安全工作也是如此,安全人員所持有的觀念將影響實(shí)際的防護(hù)效果。安全建設(shè),觀念先行。那么究竟怎樣的安全觀才是正確的呢?就此話題,記者采訪到了知名信息防泄密系統(tǒng)IP-guard的產(chǎn)品總監(jiān)黃凱,黃凱是國(guó)內(nèi)最早從事信息安全研究的專家之一,他不僅帶領(lǐng)團(tuán)隊(duì)研發(fā)了IP-guard,還主導(dǎo)豐益集團(tuán)(金龍魚(yú))、奔馳汽車等國(guó)際知名企業(yè)信息防泄密體系建設(shè)等項(xiàng)目,擁有扎實(shí)的理論知識(shí)和豐富的實(shí)踐經(jīng)驗(yàn)。
黃凱認(rèn)為一名IT安全管理人員必須持有的安全觀至少有4點(diǎn),第一點(diǎn)是信息安全的“價(jià)值”觀,他引用了這樣一句話來(lái)闡述“信息安全是一種生產(chǎn)要素”。
經(jīng)濟(jì)學(xué)上對(duì)生產(chǎn)要素的定義是社會(huì)進(jìn)行生產(chǎn)經(jīng)營(yíng)活動(dòng)過(guò)程中必須具備的基本因素。 “信息是一種生產(chǎn)要素”毋庸置疑,而信息安全是一種生產(chǎn)要素也并非言過(guò)其實(shí)。
動(dòng)輒關(guān)乎存亡
首先信息安全事件的后果往往十分驚人,小則傷筋動(dòng)骨,大則直接致命。世界上最大的能源、天然氣及電訊公司之一安然公司因財(cái)務(wù)信息造假,一夜之間便墜落到毀滅的深淵,薩班斯法案也由此催生。
IP-guard黃凱分析,一般而言,信息安全事件可使企業(yè)遭受三方面的損失:
一是核心命脈的損失。比如對(duì)于軟件研發(fā)公司、設(shè)計(jì)公司等,源代碼、設(shè)計(jì)作品等是企業(yè)的核心競(jìng)爭(zhēng)力,信息安全事故對(duì)于它們而言往往是致命性的沖擊。比如以珠寶設(shè)計(jì)見(jiàn)長(zhǎng)的國(guó)內(nèi)某知名珠寶公司,由于在大型珠寶展覽前設(shè)計(jì)圖紙泄密,導(dǎo)致李鬼與李逵一同出現(xiàn)在該場(chǎng)展會(huì),獨(dú)家變雙份,競(jìng)爭(zhēng)優(yōu)勢(shì)大打折扣。
二是社會(huì)名譽(yù)損失,企業(yè)發(fā)生信息安全事件,不僅暴露出其在安全管理上的弊端,使得消費(fèi)者對(duì)其產(chǎn)生質(zhì)疑和不信任,更嚴(yán)重的是,這種不信任感會(huì)蔓延到各個(gè)方面,最終對(duì)其品牌形象和品牌忠誠(chéng)度造成傷害。如今年3.15晚會(huì)上曝光招商銀行、工商銀行內(nèi)部員工通過(guò)中介機(jī)構(gòu)兜售用戶個(gè)人信息的黑幕,令消費(fèi)者心寒不已。
三是財(cái)產(chǎn)損失,信息本身就是價(jià)值不菲的寶貝,信息破壞或者信息失竊直接代表著財(cái)產(chǎn)流失,在最近爆出的英特爾前員工信息盜竊案中,英特爾的損失近10億美元。
靜則危機(jī)四伏
其次企業(yè)的信息資產(chǎn)屬于無(wú)形資產(chǎn),其虛擬性使得企業(yè)無(wú)法像對(duì)其它實(shí)體資產(chǎn)一樣對(duì)其進(jìn)行秘密倉(cāng)儲(chǔ)或?qū)崟r(shí)看守。同時(shí)企業(yè)信息面臨的環(huán)境相對(duì)于實(shí)體要更加復(fù)雜,風(fēng)險(xiǎn)更大,因此也更難以防范,并且隨著信息技術(shù)的發(fā)展,這種危險(xiǎn)的局勢(shì)將愈來(lái)愈明顯。“信息安全,可以說(shuō)是戰(zhàn)戰(zhàn)兢兢,如履薄冰,不是滴水不漏,可能就是滿盤(pán)皆輸。”IP-guard黃凱感嘆道。
信息安全之重要今非昔比。IP-guard黃凱強(qiáng)調(diào),信息安全對(duì)于現(xiàn)代企業(yè)的作用越來(lái)越獨(dú)立,其重要性與人力資源、生產(chǎn)資料、管理、技術(shù)等生產(chǎn)要素相比,已越來(lái)越趨于平衡。
雖然企業(yè)的安全意識(shí)越來(lái)越高,但企業(yè)目前的安全投入遠(yuǎn)遠(yuǎn)沒(méi)有滿足現(xiàn)實(shí)的需求。據(jù)統(tǒng)計(jì),每年全球因安全問(wèn)題導(dǎo)致的網(wǎng)絡(luò)損失已經(jīng)可以用萬(wàn)億美元的數(shù)量級(jí)來(lái)計(jì)算,我國(guó)也有數(shù)百億美元的經(jīng)濟(jì)損失,然而安全方面的投入?yún)s不超過(guò)幾十億美元。而在CSDN泄密門(mén)發(fā)生后,據(jù)一家券商TMT研究部門(mén)的調(diào)研數(shù)據(jù),目前中國(guó)互聯(lián)網(wǎng)企業(yè)的信息安全預(yù)算,在整體預(yù)算中的比例不到1%,歐美的比例是8%~10%。
說(shuō)到安全,相信沒(méi)有人會(huì)否定其重要性,但是安全投入普遍偏低,原因何在?其中一個(gè)重要的原因,是許多人認(rèn)為安全只是業(yè)務(wù)的支撐,是一件只投入沒(méi)回報(bào)的事情。事實(shí)上信息安全作為一種生產(chǎn)要素,是有回報(bào)價(jià)值的。根據(jù)經(jīng)濟(jì)學(xué)上的投資與回報(bào)曲線(如圖1),在一定程度內(nèi),安全投入越多,回報(bào)就越多;但過(guò)了臨界值,收益會(huì)隨著成本的增加而降低,即邊際收益降低。
然而,目前的現(xiàn)實(shí)是,各行業(yè)在安全方面的投入普遍偏低,距離臨界點(diǎn)尚有較大距離,現(xiàn)階段安全投入可以為企業(yè)帶來(lái)更多的回報(bào),可力行之。
