成功人士之所以成功，關(guān)鍵之一在于其擁有正確的價值觀和信念，眼界決定世界。信息安全工作也是如此，安全人員所持有的觀念將影響實際的防護(hù)效果。安全建設(shè)，觀念先行。那么究竟怎樣的安全觀才是正確的呢?就此話題，記者采訪到了知名信息防泄露系統(tǒng)IP-guard的產(chǎn)品總監(jiān)黃凱，黃凱是國內(nèi)最早從事信息安全研究的專家之一，他不僅帶領(lǐng)團(tuán)隊研發(fā)了IP-guard，還主導(dǎo)豐益集團(tuán)(金龍魚)、奔馳汽車等國際知名企業(yè)信息防泄露體系建設(shè)等項目，擁有扎實的理論知識和豐富的實踐經(jīng)驗。

黃凱認(rèn)為一名IT安全管理人員必須持有的安全觀至少有4點，***點是信息安全的“價值”觀，他引用了這樣一句話來闡述“信息安全是一種生產(chǎn)要素”。

經(jīng)濟(jì)學(xué)上對生產(chǎn)要素的定義是社會進(jìn)行生產(chǎn)經(jīng)營活動過程中必須具備的基本因素。 “信息是一種生產(chǎn)要素”毋庸置疑，而信息安全是一種生產(chǎn)要素也并非言過其實。

動輒關(guān)乎存亡

首先信息安全事件的后果往往十分驚人，小則傷筋動骨，大則直接致命。世界上***的能源、天然氣及電訊公司之一安然公司因財務(wù)信息造假，一夜之間便墜落到毀滅的深淵，薩班斯法案也由此催生。

IP-guard黃凱分析，一般而言，信息安全事件可使企業(yè)遭受三方面的損失:

一是核心命脈的損失。比如對于軟件研發(fā)公司、設(shè)計公司等，源代碼、設(shè)計作品等是企業(yè)的核心競爭力，信息安全事故對于它們而言往往是致命性的沖擊。比如以珠寶設(shè)計見長的國內(nèi)某知名珠寶公司，由于在大型珠寶展覽前設(shè)計圖紙泄露，導(dǎo)致李鬼與李逵一同出現(xiàn)在該場展會，獨家變雙份，競爭優(yōu)勢大打折扣。

二是社會名譽(yù)損失，企業(yè)發(fā)生信息安全事件，不僅暴露出其在安全管理上的弊端，使得消費(fèi)者對其產(chǎn)生質(zhì)疑和不信任，更嚴(yán)重的是，這種不信任感會蔓延到各個方面，最終對其品牌形象和品牌忠誠度造成傷害。如今年3.15晚會上曝光招商銀行、工商銀行內(nèi)部員工通過中介機(jī)構(gòu)兜售用戶個人信息的黑幕，令消費(fèi)者心寒不已。

三是財產(chǎn)損失，信息本身就是價值不菲的寶貝，信息破壞或者信息失竊直接代表著財產(chǎn)流失，在最近爆出的英特爾前員工信息盜竊案中，英特爾的損失近10億美元。

靜則危機(jī)四伏

其次企業(yè)的信息資產(chǎn)屬于無形資產(chǎn)，其虛擬性使得企業(yè)無法像對其它實體資產(chǎn)一樣對其進(jìn)行秘密倉儲或?qū)崟r看守。同時企業(yè)信息面臨的環(huán)境相對于實體要更加復(fù)雜，風(fēng)險更大，因此也更難以防范，并且隨著信息技術(shù)的發(fā)展，這種危險的局勢將愈來愈明顯。“信息安全，可以說是戰(zhàn)戰(zhàn)兢兢，如履薄冰，不是滴水不漏，可能就是滿盤皆輸。”IP-guard黃凱感嘆道。

信息安全之重要今非昔比。IP-guard黃凱強(qiáng)調(diào)，信息安全對于現(xiàn)代企業(yè)的作用越來越獨立，其重要性與人力資源、生產(chǎn)資料、管理、技術(shù)等生產(chǎn)要素相比，已越來越趨于平衡。

雖然企業(yè)的安全意識越來越高，但企業(yè)目前的安全投入遠(yuǎn)遠(yuǎn)沒有滿足現(xiàn)實的需求。據(jù)統(tǒng)計，每年全球因安全問題導(dǎo)致的網(wǎng)絡(luò)損失已經(jīng)可以用萬億美元的數(shù)量級來計算，我國也有數(shù)百億美元的經(jīng)濟(jì)損失，然而安全方面的投入?yún)s不超過幾十億美元。而在CSDN泄密門發(fā)生后，據(jù)一家券商TMT研究部門的調(diào)研數(shù)據(jù)，目前中國互聯(lián)網(wǎng)企業(yè)的信息安全預(yù)算，在整體預(yù)算中的比例不到1%，歐美的比例是8%~10%。

說到安全，相信沒有人會否定其重要性，但是安全投入普遍偏低，原因何在?其中一個重要的原因，是許多人認(rèn)為安全只是業(yè)務(wù)的支撐，是一件只投入沒回報的事情。事實上信息安全作為一種生產(chǎn)要素，是有回報價值的。根據(jù)經(jīng)濟(jì)學(xué)上的投資與回報曲線(如圖1)，在一定程度內(nèi)，安全投入越多，回報就越多;但過了臨界值，收益會隨著成本的增加而降低，即邊際收益降低。

然而，目前的現(xiàn)實是，各行業(yè)在安全方面的投入普遍偏低，距離臨界點尚有較大距離，現(xiàn)階段安全投入可以為企業(yè)帶來更多的回報，可力行之。