编者按：有人认为，安全只是一种感觉，一种虚无飘渺的概念，并没有实实在在地像PC、笔记本、打印机等IT设备一样，给人们的工作带来便捷。还有人认为，企业网络安全与否，与投资多少钱的关系不大，因为种种案例表明，即便投入大量资金进行安全建设的企业，依然会因为各种威胁，是企业蒙受巨大损失。对于前一种看法，我们只能说他不懂安全，但是对于后者，我们有些无奈，事实确实这样，投资安全的人，依然会因为损失巨大而很受伤。

尽管国家和企业对网络基础设施建设投入了大量资金，在网络安全建设上的投入上也是逐年增加，但是人类花费10多年、数万亿美元建设的信息网络，在蠕虫病毒的攻击下依然显得如此脆弱。那么安全投资增多，企业损失依然增加的情形什么时候能够中止呢？依照目前的状况来看，一定是某个环节出现了问题，我们应该不遗余力地把它揪出来......

网络的普及和广泛应用，社会信息化程度的提高，使得国家和企业遇到的信息安全问题逐年增多，并逐渐成为了社会关注的焦点。而提到网络的安全问题，人们最先想到的，依然是最近几次大规模的病毒爆发。每一次的病毒爆发，带来的后果都是一样的，那就是直接、间接的几十上百亿美元的损失。虽然企业在安全方面的投资也可以用亿美元这个单位来统计，但是比起每年的损失数额来，还是小巫见大巫。企业在安全上的投入还要加大到什么时候才能让损失的数额小于投入呢？恐怕近期内是不会有答案的，因为我们并没有充分的执行安全设施的效率，很多投资处于被浪费的状态，很多安全厂商在收到大笔资金的时候，也并没有作出最适合这个企业的安全方案。很多地方还能优化，也许等到一切到位之后，我们再统计安全投入和损失的比例，答案才会一目了然。

安全投资少于病毒损失

在国外，安全投入占企业基础投入的5%～20%，而在中国却很少超过2%，总额不会超过几十亿美元。而每年全球因安全问题导致的网络损失已经可以用万亿美元的数量级来计算，我国也有数百亿美元的经济损失。而且这种损失并没有下降的趋势，信息化建设步伐的加快，使得损失的金额依然逐年增长。面对国外企业在安全投资上的大手大脚，我们的企业似乎有些过于谨慎。所以，在投资基数很小的情况下，虽然近几年我国企业安全投资不断加大，但是还不足以制服住网络威胁的泛滥，毕竟在目前的投资情况下，很多环节依然漏洞百出。量变还没有形成质变，企业安全投资的量必须达到形成质变的转变，也许企业网路的安全性才能迈上一个新的台阶。因为以目前的投资额来看，还不足以防范企业网络的各个环节，只要还有一个环节有漏洞，就不能认为这个网络是安全的，只能说安全性提高了而以。所以，在企业安全投资加大的同时，各种威胁手段也变得更加高明，表现出来的就是安全投资加大的速度还要慢于损失数额增加的速度。

其实在信息化建设的过程中企业用户必须明确建设网络的真正需求，舍得安全资金投入，针对自身的网络建立安全防御体系。现在很多企业在建设网络系统时，存在赶潮流的倾向，仅仅满足于建立网络、购买硬件和购置现成的软件，而对信息安全了解不充分，忽视了网络可能带来的各种安全问题。不同企业应该根据自身情况对安全提出明确需求，注意系统个性化建设。这个过程需要企业和安全厂商一起来完成。

看看近年来计算机病毒给全球造成的危害吧，与之相比，企业安全投资真是自叹不如。据统计：1999年，全球的损失是36亿美元，到2000年是42亿美元，2001年暴涨到129亿美元；2002年超过200亿，今年预计会超过280亿美元。根据新华社的数据，有几个臭名昭著的病毒，一个是2001年的“尼姆达”病毒，造成了6.35亿美元的损失。2001年的“红色代码”病毒，造成了26.2亿美元损失。2002年“求职信”病毒，造成了90亿美元的损失。2003年“蠕虫王”病毒造成了10亿美元的损失。最近的“冲击波”病毒损失还没统计出来，当然它也不会小。这几年网络病毒发展趋势有几个方面，一个是网络病毒大规模出现。第二，利用系统漏洞编制的病毒危害比较大。第三，近些日子通过MSN、QQ即时通讯软件传播病毒也越来越多。第四，混合型病毒成为新病毒的主流。第五是邮件病毒传染呈现上升趋势，如：近期“大无极”病毒泛滥非常严重，感染性非常强。摸清了病毒的主要发展目标，就要做到重点防范，俗话说，好钢用到刀刃上，在有限的安全投资下，我们也只能采取抓住重点，各个击破的策略了。

安全要防到点上

新的网络儒虫病毒比其他病毒都更能说明多层安全措施的必要性。一个结果是，企业不能仅仅限于网络及其边界的安全性，而且还需要密切关注应用程序和数据库级的安全性。新的网络儒虫病毒攻击企业核心的内容和数据，正导致了自近年来企业级入侵探查和防火墙技术上投资的增长。

随着网络建设规模和范围的扩大，安全性的重要性逐渐凸显出来：一方面，安全是信息化建设的基础之一，是网络建设金字塔的第一块基石。行业用户则认为，行业信息化本身就需要安全，失去安全保障信息化和网络建设也就无从谈起。另一方面，用户需求的变化也在影响着信息化建设实施的进程，用户安全意识的加强使得安全性在网络建设中显得越来越重要。以往用户将技术先进，性能优越作为网络建设的最终目标，如今更多的则开始关注“安全可靠”等需求。虽然企业安全投资逐年增多了，但是安全效果却差强人意。损失更是逐年增多。

一位用户表示：我们已经意识到安全的重要性，每年都在安全系统上投资，而且金额逐年增加。现在，几乎所有的安全方案我们都用上了，还时常受到安全问题的困扰，依然存在很多不安全的因素。没有出现安全问题的时候，我们很难评估投资的价值。而一旦出现问题，又会给我们造成很大损失。一般在投资之前，我们会做事前评估。工程实施之后，如果不出问题我们自己就很难评估。连模拟的黑客攻击我们都不敢做，因为对电信来说绝对不允许出问题。譬如说两台服务器互相做冗余的设置，我们都不敢轻易去试验。因为一旦切换不成功会造成整个系统瘫痪，影响很严重。电信运营商的性质决定了我们面向广大公众，影响的范围太大，所以我们从不敢轻易动我们的设备。

也许困扰这位用户的问题不是在安全上投入多少，而是该怎么投？这是一个普遍现象，很多企业用户并不了解自己的网络到底哪里应该是防范的重点？应该采取什么样的方案？而是只能听任安全厂商的措辞。但是谁能比用户自己更了解企业的业务流程呢？抛开业务的安全只能是一纸空谈。

投资、损失找平衡

面对企业网络目前存在的隐患，该采用怎样的安全防护策略保护自身资源技能投资不大，又能起到很好的效果呢？这需要企业对自己的网络安全作出准确的风险评估。 有安全厂商认为，要评估安全方面的投资价值主要应该看效益比，即投资与其所要保护的资产之间的平衡。举例来说，你有50万元的家产，你肯定不会投入30万来做安全保护。但如果是用30万来保障1000万的家产，效益就很明显。企业对安全的投入是一种保障性投入，是为了降低风险以及尽量避免事故发生。同时安全投资一定是有价值的，这里的关键是必须了解风险管理思想的重要性。通过正确的风险评估，你可以量化企业当前的安全风险，然后制定管理风险的策略，进行适当的安全建设投资，并通过正确的实施、运营和管理手段，定期进行风险评估。这样，企业领导就可以了解安全投入后企业的风险等级。从量化了的风险等级的变化，我们可以看到安全投资的价值与回报。

目前，网络安全防范的重要性和必要性在企业组网过程中更为关注。人们不再把安全问题看作是一个静态软件包所能解决的问题，而是逐渐看作是一个涉及网络、通讯以及信息技术各个层面的持续过程。操作系统的安全漏洞、黑客们所造成的各种形式的危机，以及网络病毒的横行泛滥等，这些因素都增加了网络安全的风险。网络安全因与网络系统结构、系统应用及网络管理等很多因素密切相关，因此，客观地、科学地评估网络安全的风险对企业来说显得尤为重要。 企业网络安全风险分析首先是判断企业的哪些资源需要保护，其次是考虑网络中有哪些潜在的威胁，对于潜在的威胁造成破坏的可能性有多大。如果资源遭受破坏会造成什么样的直接损失，恢复被攻击的资源需要多大的投入。这一系列问题都需要进行细致的分析及评估。

无论企业在网络安全方面进行何种水平的网络环境安全保护，任何用于保护资源的投资都不应超过从灾难中恢复所需要的金额。这就是为什么评估灾难恢复所需要资金与灾难带来的损失同样重要的原因。在现代网络环境中，安全措施是必不可少的，但企业只有对安全措施进行合理的投资，确定需要何种层次的保护水平，然后使用这些分析后的数据信息制定出安全防护的策略，才能有效地作出网络安全预算。

（责任编辑：王琨玥）