"50萬的安全建設(shè)投入，和1000萬的產(chǎn)品研發(fā)投入相比，誰更值得？"有人覺得當(dāng)然是產(chǎn)品研發(fā)更值得，企業(yè)的核心資產(chǎn)就在產(chǎn)品研發(fā)上。那么，誰來保證這個(gè)核心資產(chǎn)的價(jià)值呢？先來看一則實(shí)際案例，A公司投資近千萬，耗時(shí)兩年打造了某產(chǎn)品。在該產(chǎn)品上市前1個(gè)月，B公司也在市場(chǎng)上推出了該產(chǎn)品。主要參數(shù)一摸一樣，價(jià)格卻減半。于是公司內(nèi)部各種傳聞、猜疑聲四起。A企業(yè)的損失只是上千萬么？市場(chǎng)占有率呢？人員團(tuán)結(jié)呢？--也許都是損失，不可估量的損失。這樣來看，50萬的安全投入，是否就值得了呢？

游俠安全網(wǎng)站長(zhǎng)張百川挺贊成一句話：安全，成就價(jià)值。它本身不一定非要?jiǎng)?chuàng)造價(jià)值，但是卻可以幫助你實(shí)現(xiàn)價(jià)值。以上例子，則是***的說明。

說到安全價(jià)值，這可以回歸到IT部門的本源上。在很多公司，人們普遍認(rèn)為IT部門都是消費(fèi)者，都是花錢，需要買服務(wù)器、PC機(jī)、網(wǎng)絡(luò)設(shè)備等等。然而，沒有IT部門的規(guī)劃，目前很多信息化管理工作都需要回到最原始的狀態(tài)，例如紙質(zhì)的以人為核心的辦公方式。而一旦回到那種狀態(tài)，工作效率降低了，公司的業(yè)績(jī)下滑了，賺錢少了，這不正意味著IT也是在賺錢嗎？"同樣的道理，我認(rèn)為安全投入是非常必要的前期投資。"信息安全專家李洋博士肯定了安全投入的價(jià)值。

看來，安全投入當(dāng)然值得，但是總覺得花著錢，卻看不見東西，對(duì)于企業(yè)經(jīng)營(yíng)者來說，這滋味也不是很好受。鄭州三全食品股份有限公司CIO周清湘做了一個(gè)有趣的比喻，說出了大多數(shù)企業(yè)的心聲：企業(yè)信息安全類似"交強(qiáng)險(xiǎn)"，若不出現(xiàn)意外情況，感覺花錢買"保險(xiǎn)"很冤枉；若出現(xiàn)問題，那就賺大發(fā)了。由此可以看出，安全產(chǎn)品其實(shí)是預(yù)防風(fēng)險(xiǎn)，而企業(yè)苦在雖然風(fēng)險(xiǎn)漂無不定，卻必須設(shè)防。

所謂保險(xiǎn)，不怕一萬就怕萬一。萬一的情況雖然是萬分之一，但是一次損失可能就足以摧毀一個(gè)企業(yè)。要平衡好其中心態(tài)，首先，要重視安全風(fēng)險(xiǎn)。從內(nèi)網(wǎng)安全的層面來看，正是由于內(nèi)網(wǎng)中所面臨的不確定的安全風(fēng)險(xiǎn)點(diǎn)太多，外設(shè)、網(wǎng)絡(luò)、人員、在線溝通，所有點(diǎn)累計(jì)起來，就可能使信息安全風(fēng)險(xiǎn)提升到一個(gè)很高的角度。管理者不應(yīng)該認(rèn)為安全事件離自己很遠(yuǎn)，就在今年，就發(fā)生了索尼PSN網(wǎng)絡(luò)泄密、韓國(guó)賽我網(wǎng)用戶泄密、富士康I-Pad2圖紙泄密等多個(gè)泄密事件，因?yàn)榉N種原因沒有公開披露的事件更多。其次，正確衡量安全風(fēng)險(xiǎn)。一個(gè)可能的安全事件所造成的影響，取決于該安全事件發(fā)生的幾率以及一旦發(fā)生所能造成的損失大小。假設(shè)一次信息泄漏事故發(fā)生的損失是1000萬，而部署對(duì)應(yīng)的安全產(chǎn)品可能需要5萬元，這時(shí)，如果部署安全產(chǎn)品，這個(gè)安全事件發(fā)生的概率可能從30%下降到1%，你會(huì)怎么選擇呢？溢信科技產(chǎn)品總監(jiān)黃凱強(qiáng)調(diào)，"對(duì)于手中握有重要機(jī)密信息的組織來說，從財(cái)務(wù)報(bào)表上看，安全不能給你帶來賬面收益，但卻能保護(hù)你的核心競(jìng)爭(zhēng)力。" 三一重工是把安全風(fēng)險(xiǎn)看的比較清楚的企業(yè)之一，三一重工股份有限公司研究總院信息化經(jīng)理譚俊峰表明安全投入對(duì)三一重工來說是絕對(duì)有價(jià)值的。"安全投入絕對(duì)不是花錢。技術(shù)是無形的，怎么樣從嵌入業(yè)務(wù)在到體現(xiàn)價(jià)值，應(yīng)該是管理者必須要考慮的問題。"

總體看來，安全是有價(jià)值的，投入是必須的。而要體現(xiàn)價(jià)值，則是一個(gè)難題。制造業(yè)信息化專家黃培博士認(rèn)為管理者要思考的這個(gè)問題，首先需要針對(duì)不同安全風(fēng)險(xiǎn)的級(jí)別，把錢花對(duì)，不然就真的是"花錢"不討好。"不同的企業(yè)，面臨的安全風(fēng)險(xiǎn)大小不同。比如擁有自己核心技術(shù)的企業(yè)，安全風(fēng)險(xiǎn)就比較大，簡(jiǎn)單做來料加工的企業(yè)，安全風(fēng)險(xiǎn)就比較小。對(duì)于前者，投入巨資去做安全是很劃算的，因?yàn)檫@筆投入保證了核心技術(shù)不外泄，保證企業(yè)的生存能力，這屬于掙錢；而后者因?yàn)轱L(fēng)險(xiǎn)很小，只需做一些基礎(chǔ)的管理和防護(hù)工作就可以了，投入巨資去做安全就沒有必要了，那就屬于花錢。"

爭(zhēng)論"花錢"還是"掙錢"，無非也就是討論安全的價(jià)值。綜觀各位專家的觀點(diǎn)，都可以回到文首張站長(zhǎng)的一句話：安全不一定為企業(yè)創(chuàng)造價(jià)值，但是它可以幫助企業(yè)實(shí)現(xiàn)價(jià)值。筆者認(rèn)為，無論以IT現(xiàn)狀來類比，還是以保險(xiǎn)作喻，這句話都可以作為企業(yè)對(duì)安全看法的參考。"安全幫助企業(yè)實(shí)現(xiàn)價(jià)值"這句話，可以一分為二來看待。一方面，安全"保證"了企業(yè)的價(jià)值，這是上文提到的"保險(xiǎn)"的角度；另一方面，安全助力企業(yè)"創(chuàng)造"價(jià)值。安全已經(jīng)滲入到企業(yè)業(yè)務(wù)流程的各個(gè)方面，不安全的環(huán)境給企業(yè)帶來的是諸多的困擾，病毒、斷網(wǎng)等都會(huì)影響企業(yè)的工作效率，在有限的高效工作環(huán)境中，"創(chuàng)造"價(jià)值的空間縮小。而在安全的環(huán)境中，企業(yè)會(huì)降低這些安全風(fēng)險(xiǎn)，無形中就有更多精力和時(shí)間去創(chuàng)造價(jià)值。

正因?yàn)樗梢詭椭髽I(yè)實(shí)現(xiàn)價(jià)值，因而安全投入是必需的，這個(gè)道理大家都明白。焦點(diǎn)其實(shí)在于，怎么樣覺得這筆錢花的舒服。如上文所述，企業(yè)一定要重視安全風(fēng)險(xiǎn)，它并不是萬分之一的幾率，而是隨時(shí)有可能發(fā)生。其次要正確衡量安全風(fēng)險(xiǎn)，看它所保護(hù)的是多少的價(jià)值。這樣一想，安全投入就很劃算了。而要真正衡量?jī)?nèi)網(wǎng)安全究竟是"花錢"還是"掙錢"，應(yīng)當(dāng)通過企業(yè)要保護(hù)的數(shù)據(jù)對(duì)于企業(yè)的重要性來選擇投入。如果一個(gè)企業(yè)的敏感數(shù)據(jù)對(duì)企業(yè)影響小，那么安全投入大可以降低投入，過多投入也是浪費(fèi)；如果一個(gè)企業(yè)的敏感數(shù)據(jù)對(duì)企業(yè)影響大，有上千萬或者企業(yè)全部身家的價(jià)值，那么就算是安全投入了十萬，也是百分之一的投入，杜絕了萬分之一的一敗涂地的幾率。當(dāng)然，花好這筆錢，只是體現(xiàn)安全價(jià)值的***步。它的價(jià)值體現(xiàn)，還有待管理者們?nèi)ダ^續(xù)思考。

一些CIO們，在安全投入上非常謹(jǐn)慎，只在核心設(shè)計(jì)部門部署了加密產(chǎn)品。而這樣真的就能保證內(nèi)網(wǎng)安全么，請(qǐng)關(guān)注下期內(nèi)容。