网络安全与投资成正比？

一位用户表示：我们已经意识到安全的重要性，每年都在安全系统上投资，而且金额逐年增加。现在，几乎所有的安全方案我们都用上了，还时常受到安全问题的困扰，依然存在很多不安全的因素。没有出现安全问题的时候，我们很难评估投资的价值。而一旦出现问题，又会给我们造成很大损失。一般在投资之前，我们会做事前评估。工程实施之后，如果不出问题我们自己就很难评估。连模拟的黑客攻击我们都不敢做，因为对电信来说绝对不允许出问题。譬如说两台服务器互相做冗余的设置，我们都不敢轻易去试验。因为一旦切换不成功会造成整个系统瘫痪，影响很严重。电信运营商的性质决定了我们面向广大公众，影响的范围太大，所以我们从不敢轻易动我们的设备。

也许困扰这位用户的问题不是在安全上投入多少，而是该怎么投？这是一个普遍现象，很多企业用户并不了解自己的网络到底哪里应该是防范的重点？应该采取什么样的方案？而是只能听任安全厂商的措辞。但是谁能比用户自己更了解企业的业务流程呢？抛开业务的安全只能是一纸空谈。

投资、损失找平衡

面对企业网络目前存在的隐患，该采用怎样的安全防护策略保护自身资源技能投资不大，又能起到很好的效果呢？这需要企业对自己的网络安全作出准确的风险评估。 有安全厂商认为，要评估安全方面的投资价值主要应该看效益比，即投资与其所要保护的资产之间的平衡。举例来说，你有50万元的家产，你肯定不会投入30万来做安全保护。但如果是用30万来保障1000万的家产，效益就很明显。企业对安全的投入是一种保障性投入，是为了降低风险以及尽量避免事故发生。同时安全投资一定是有价值的，这里的关键是必须了解风险管理思想的重要性。通过正确的风险评估，你可以量化企业当前的安全风险，然后制定管理风险的策略，进行适当的安全建设投资，并通过正确的实施、运营和管理手段，定期进行风险评估。这样，企业领导就可以了解安全投入后企业的风险等级。从量化了的风险等级的变化，我们可以看到安全投资的价值与回报。