活動(dòng)鏈接：2012年控制網(wǎng)技術(shù)專(zhuān)題---設備安全與信息安全攜手2012  
    
    成功人士之所以成功，關(guān)鍵之一在于其擁有正確的價(jià)值觀(guān)和信念，眼界決定世界。信息安全工作也是如此，安全人員所持有的觀(guān)念將影響實(shí)際的防護效果。安全建設，觀(guān)念先行。那么究竟怎樣的安全觀(guān)才是正確的呢？就此話(huà)題，記者采訪(fǎng)到了知名信息防泄密系統IP-guard的產(chǎn)品總監黃凱，黃凱是國內最早從事信息安全研究的專(zhuān)家之一，他不僅帶領(lǐng)團隊研發(fā)了IP-guard，還主導豐益集團(金龍魚(yú))、奔馳汽車(chē)等國際知名企業(yè)信息防泄密體系建設等項目，擁有扎實(shí)的理論知識和豐富的實(shí)踐經(jīng)驗。

   黃凱認為一名IT安全管理人員必須持有的安全觀(guān)至少有4點(diǎn)，第一點(diǎn)是信息安全的“價(jià)值”觀(guān)，他引用了這樣一句話(huà)來(lái)闡述“信息安全是一種生產(chǎn)要素”。

   經(jīng)濟學(xué)上對生產(chǎn)要素的定義是社會(huì )進(jìn)行生產(chǎn)經(jīng)營(yíng)活動(dòng)過(guò)程中必須具備的基本因素。 “信息是一種生產(chǎn)要素”毋庸置疑，而信息安全是一種生產(chǎn)要素也并非言過(guò)其實(shí)。

   動(dòng)輒關(guān)乎存亡

   首先信息安全事件的后果往往十分驚人，小則傷筋動(dòng)骨，大則直接致命。世界上最大的能源、天然氣及電訊公司之一安然公司因財務(wù)信息造假，一夜之間便墜落到毀滅的深淵，薩班斯法案也由此催生。

   IP-guard黃凱分析，一般而言，信息安全事件可使企業(yè)遭受三方面的損失：

    一是核心命脈的損失。比如對于軟件研發(fā)公司、設計公司等，源代碼、設計作品等是企業(yè)的核心競爭力，信息安全事故對于它們而言往往是致命性的沖擊。比如以珠寶設計見(jiàn)長(cháng)的國內某知名珠寶公司，由于在大型珠寶展覽前設計圖紙泄密，導致李鬼與李逵一同出現在該場(chǎng)展會(huì )，獨家變雙份，競爭優(yōu)勢大打折扣。

   二是社會(huì )名譽(yù)損失，企業(yè)發(fā)生信息安全事件，不僅暴露出其在安全管理上的弊端，使得消費者對其產(chǎn)生質(zhì)疑和不信任，更嚴重的是，這種不信任感會(huì )蔓延到各個(gè)方面，最終對其品牌形象和品牌忠誠度造成傷害。如今年3.15晚會(huì )上曝光招商銀行、工商銀行內部員工通過(guò)中介機構兜售用戶(hù)個(gè)人信息的黑幕，令消費者心寒不已。

   三是財產(chǎn)損失，信息本身就是價(jià)值不菲的寶貝，信息破壞或者信息失竊直接代表著(zhù)財產(chǎn)流失，在最近爆出的英特爾前員工信息盜竊案中，英特爾的損失近10億美元。

   靜則危機四伏

   其次企業(yè)的信息資產(chǎn)屬于無(wú)形資產(chǎn)，其虛擬性使得企業(yè)無(wú)法像對其它實(shí)體資產(chǎn)一樣對其進(jìn)行秘密倉儲或實(shí)時(shí)看守。同時(shí)企業(yè)信息面臨的環(huán)境相對于實(shí)體要更加復雜，風(fēng)險更大，因此也更難以防范，并且隨著(zhù)信息技術(shù)的發(fā)展，這種危險的局勢將愈來(lái)愈明顯。“信息安全，可以說(shuō)是戰戰兢兢，如履薄冰，不是滴水不漏，可能就是滿(mǎn)盤(pán)皆輸。”IP-guard黃凱感嘆道。

   信息安全之重要今非昔比。IP-guard黃凱強調，信息安全對于現代企業(yè)的作用越來(lái)越獨立，其重要性與人力資源、生產(chǎn)資料、管理、技術(shù)等生產(chǎn)要素相比，已越來(lái)越趨于平衡。

   雖然企業(yè)的安全意識越來(lái)越高，但企業(yè)目前的安全投入遠遠沒(méi)有滿(mǎn)足現實(shí)的需求。據統計，每年全球因安全問(wèn)題導致的網(wǎng)絡(luò )損失已經(jīng)可以用萬(wàn)億美元的數量級來(lái)計算，我國也有數百億美元的經(jīng)濟損失，然而安全方面的投入卻不超過(guò)幾十億美元。而在CSDN泄密門(mén)發(fā)生后，據一家券商TMT研究部門(mén)的調研數據，目前中國互聯(lián)網(wǎng)企業(yè)的信息安全預算，在整體預算中的比例不到1%，歐美的比例是8%~10%。

   說(shuō)到安全，相信沒(méi)有人會(huì )否定其重要性，但是安全投入普遍偏低，原因何在？其中一個(gè)重要的原因，是許多人認為安全只是業(yè)務(wù)的支撐，是一件只投入沒(méi)回報的事情。事實(shí)上信息安全作為一種生產(chǎn)要素，是有回報價(jià)值的。根據經(jīng)濟學(xué)上的投資與回報曲線(xiàn)(如圖1)，在一定程度內，安全投入越多，回報就越多;但過(guò)了臨界值，收益會(huì )隨著(zhù)成本的增加而降低，即邊際收益降低。

   然而，目前的現實(shí)是，各行業(yè)在安全方面的投入普遍偏低，距離臨界點(diǎn)尚有較大距離，現階段安全投入可以為企業(yè)帶來(lái)更多的回報，可力行之。