换个角度看安全

　　许多企业都在不断扩大安全开支，但并非每家公司都是如此。预计今年将有57%的印度公司、近一半的美国公司、42%的中国企业以及25%的欧洲公司会增加其用于信息安全的开支。

　　据恒荣国际的高宏飞介绍，他所在公司今年在信息安全上的投入有所增加，占到整个IT预算的10%左右。这与全球信息安全调查显示相吻合：平均而言，目前企业中多于10%的IT预算被用于信息安全。

　　不过也不是所有行业都是如此，由于中国证券行业的不景气，中国的券商在信息安全方面的投入就显得捉襟见肘。中信建投证券有限公司副总裁周志钢介绍说：“由于证券行业普遍低迷，所以在信息安全上的投入减少。有些证券公司由于安全投入的不足，遭到病毒攻击，或者由于设备的可靠性问题，导致交易系统崩溃。”

　　埃森哲的麦克威尔森警告说：将安全开支作为管理经费或者业务成本处理，以获取更多资金投入的做法是错误的。相反，“关键在于要让大家明白安全的IT环境如何有助于业务的发展。”他说，“在线银行是信息安全起作用的最好例子，如果没有安全系统作为保证，没人敢将自己的账户信息放到网站上。”周志钢也认为，如果经营状况正常，券商一定会关注网上交易的安全问题。同样地，当企业寻求与合作伙伴建立安全的合作关系时，信息安全对供应链整合也是至关重要的。

　　镇北银行（Town North Bank）的IT开支日益增加。但其CIO加里·法勒（Gary Farrar）表示，很难确定其中到底有多少用在了信息安全方面。“我无法弄清楚哪些钱是用于信息安全的，”他说，“每次实施一个新项目，安全都在我们的考虑范围之内。”而在医疗联盟，安全预算在IT总开支中所占的比例甚至不足1%。狄特摩尔不得不为获得更多的预算而与公司所有其他部门，包括其他IT部门而争个面红耳赤。佛罗里达电力公司（Florida Power & Lights）将其IT预算的4%用于信息安全，但由于其正在部署用于身份和访问管理的用户配置管理系统，这一比例今年有望增加。

　　而且，企业几乎无法确定信息安全的投资回报率。客户数据系统出现一个漏洞，一下子就会花去企业上百万美元；而如果根本没出现漏洞，那么对完美工作的回报又是什么呢？用于评估安全投资回报率的主要方法包括：花在网络安全上的劳动时间、网络宕机时间的缩短、以及漏洞数量的减少。对此，群柏数码科技有限公司市场总监王慧呼吁企业换个思维前进，他说：“随着越来越多的企业和单位开始进行电子商务、电子政务、企业资源计划（ERP）、办公自动化（OA）等系统的部署，企业需要的是行之有效的安全架构来避免问题，或者说终结问题。企业应该系统地设计完善的安全架构，然后在关键节点投点小钱就好，这好过不断地去添置防火墙。毕竟保护整个国家的是整个社会的稳定，不是士兵手中的那几杆枪。”

　　好在有些企业已经开始告别“头痛医头、脚痛医脚”的被动局面。银河证券有限责任公司（下称银河证券）部署的企业安全计划（Enterprise Security Planning，ESP)就是一个有益的尝试。银河证券信息管理中心主任王恒说：“银河证券的ESP属于热门的安全运营中心范畴，该方案是一个企业整体的安全管理流程，如果该流程运用合理，是有效地解决企业的网络信息安全、管理安全等问题的非常好的途径。”

　　其实完全依靠金钱堆砌出来的信息安全防线看似固若金汤，但可能只是外强中干的“马其诺防线”。信息产业部电信研究院信息管理中心主任武骏说：“企业应该有信息安全的规划，按年度逐步实施。安全更多的是管理层面的问题，不是软件技术所能够全部解决的。”安全堡垒最容易从内部攻破，因此与花费昂贵的硬件产品相比，对内部员工进行良好的安全教育和风险管理事半功倍。美讯智网络安全有限公司中国区销售总监谢旭东说：“安全教育的手段非常多样，没有一个定式，不同的企业可以根据不同的情况发挥创新思维。”比如，在入职培训时进行系统访问安全、密码安全、电子邮件使用、上网指南、软件安装、防病毒、加密、备份等基本安全知识培训；编写员工安全指南和安全期刊等。谢旭东说：“事实上，最大的安全元素还是人，企业要激励员工参与到整体安全策略当中。”