西方有個段子叫“Dealt bad cards，played them well”，中文大意是“起了手臭牌，好好打就是了”，這句話拿來形容企業(yè)IT安全，特別是中國企業(yè)IT安全，特別熨帖。

和那些步子邁得比較大的前沿技術(shù)相稱起來，安全技術(shù)的發(fā)展往往是不同步的，且平心而論，照比先進(jìn)國家的IT安全建設(shè)，我們國家從意識、技術(shù)及法律方面都尚處于學(xué)生時代。而野蠻生長的網(wǎng)絡(luò)犯罪更是不斷敲打著各行各業(yè)的脆弱神經(jīng)，實(shí)是防不勝防。

那么，就這么棄療了?

顯然不可能的。企業(yè)是社會創(chuàng)新的主力，也是最有能力對網(wǎng)絡(luò)惡勢力進(jìn)行喊話的一方。面對技術(shù)發(fā)展不均衡、網(wǎng)絡(luò)攻擊常態(tài)化等諸多不利因素，企業(yè)所應(yīng)做的就是盡可能利用現(xiàn)有資源，將拿到手的爛牌出好。其他的，盡人事，聽天命。

折騰好過溫水煮青蛙

首要一個就是關(guān)于企業(yè)安全風(fēng)險(xiǎn)意識的話題。老實(shí)講，棱鏡門事件引發(fā)的蝴蝶效應(yīng)讓網(wǎng)絡(luò)安全上升到國家高度，而國內(nèi)企業(yè)，特別是銀行、電信等支柱行業(yè)領(lǐng)域的大企則已對安全問題分外敏感，這與國家主唱的自主可控密不可分，當(dāng)然，也是一件件突發(fā)安全事件折騰教育的結(jié)果?？傊?，企業(yè)開始關(guān)注IT安全，這是一個好現(xiàn)象。

但還不夠。在中國，開始關(guān)注是一回事兒，實(shí)際部署則又是另一回事兒。因?yàn)槠髽I(yè)安全風(fēng)險(xiǎn)管理不是個立竿見影的活兒，若非出了事故，很難了解安全短板所在，自然也無從評判安全管理的效果。傳統(tǒng)IT安全問題可以通過設(shè)備采購填補(bǔ)不足，但現(xiàn)在，已不能再孤立地看待安全問題了，盲目堆疊可能還會適得其反，影響效率，更何況你不能置那些財(cái)不大氣不粗的企業(yè)于不顧。安全事件的發(fā)生會讓需求變得明顯，好過企業(yè)在威脅中不知不覺。

投資硬件安全還是軟件安全

是硬件安全問題重要還是軟件安全問題重要?其實(shí)都不是，沒有安全問題比較重要。企業(yè)在安全事故中發(fā)現(xiàn)安全需求，才能更好地根據(jù)需求去擬定更有針對性的安全策略，做出更為理性的資源采購(這里的資源包括硬件和軟件)。不過這里有個不平衡的問題，大型企業(yè)進(jìn)行的硬件安全投資一般不在小企業(yè)的接受范圍內(nèi)。且隨著硬件發(fā)展趨近峰值，開發(fā)者更傾向于尋求尚有發(fā)展前景的軟件安全。

此外，技術(shù)的發(fā)展也給小企業(yè)帶來一種介于中間道路的模式。過去一年，國內(nèi)外均有大型互聯(lián)網(wǎng)公司推出基于自身的計(jì)算、安全等資源的出租服務(wù)，一方面無需企業(yè)大動干戈，另一方面也可以享受到足夠的服務(wù)和安全保障。且隨著技術(shù)更迭速度的加快及市場環(huán)境的變化，硬件安全的價格將會拉低，這給企業(yè)的安全投資留了很大的余地。

注重人的因素 安全“聯(lián)產(chǎn)承包”

現(xiàn)在中國的企業(yè)都在講互聯(lián)網(wǎng)化，拋去技術(shù)革新盈利模式這另一個領(lǐng)域的話題不談，無非是線下與線上的資源整合，但追本溯源，企業(yè)構(gòu)成自始至終都沒有變——依舊是人。人是承擔(dān)具體運(yùn)作的主體，若有安全事故發(fā)生時，自然也應(yīng)成為承擔(dān)責(zé)任的主體。且在對事故進(jìn)行事后分析時，恰恰發(fā)現(xiàn)很多時候是人為管理失誤造成的;那么在機(jī)器學(xué)習(xí)大規(guī)模來臨前，企業(yè)還是要重視對安全管理團(tuán)隊(duì)的培訓(xùn)及建設(shè)。

在這方面，先進(jìn)國家已走得相對平穩(wěn)。其企業(yè)除首席信息官(CIO)外，另設(shè)首席信息安全官(CISO)，專門管理企業(yè)IT安全。這項(xiàng)職位不是空頭將軍，由其率領(lǐng)的安全團(tuán)隊(duì)對整個企業(yè)IT安全負(fù)責(zé)，出了事，也是責(zé)任到戶，專項(xiàng)承擔(dān)。反觀國內(nèi)企業(yè)，不少CIO的權(quán)責(zé)難分，更遑論CISO了。對于國內(nèi)企業(yè)來說，將安全權(quán)責(zé)落到人頭上是一個有待進(jìn)行的重要課題。

若把國家、企業(yè)到用戶整個生態(tài)系統(tǒng)的形成比作外循環(huán)，那么從安全戰(zhàn)略制定、到采購再到安全維護(hù)則是企業(yè)內(nèi)循環(huán)，短期內(nèi)改變外循環(huán)很難，但企業(yè)可以從改變內(nèi)循環(huán)開始，從而反哺外循環(huán)。有些安全損害是可以避免的，對企業(yè)來說，應(yīng)當(dāng)把那些能避免的先避免了，剩下的，交給時間。