近日,科来软件技术总监高彦刚先生受邀参加《中国信息安全》—“安全经济学”座谈会。高彦刚先生从经济学角度详细阐述了“好的安全机制方能发挥安全的价值”这一观点。
浓缩观点:1、安全投入首先要建立一套有效的安全机制; 2、信息安全该上升到国家战略层面; 3、安全经济学要重视投入产出比。
用户的安全投入情况,据了解有以下几种。一种是领导比较重视,有完整的专门负责网络安全的专业人员和机构,有明确的安全规划、保障策略和运行规范,安全投入的目的性强、持续性强。这些客户规模一般比较大,信息系统建设成熟。客户明白自己的需求,知道要用什么产品和服务来实现安全保障。通常情况下客户就会建立一套相关机制,这样一来信息安全产品就能够发挥它的价值,购买也会持续进行。
还有一种情况,安全采购投入是项目型,根据项目规划,客户一次性投入大量经费,采购大量的各类安全设备。由于项目大而复杂,使用起来效果未必最好,而且投入的持续性较差。
还有些情况是发生了信息安全事件,如受到攻击、病毒爆发导致系统瘫痪等,企业仓促采购安全设备,这种安全投入就是典型的亡羊补牢了。
安全投入首先要建立一套有效的安全机制
作为一个提供产品的厂商,当然最希望客户能够在信息安全建设方面多投入,但我们认为投入一定要有组织、有策略的持续投入,才能最好地体现投资价值。
加大安全投入,肯定会在一定程度上提高安全性,但绝对的安全是没有的,信息安全方面的投入应该是和客户信息系统的实际特点相结合,不一定是投入最大的安全性最高。另外在信息安全方面的投入要均衡,当前很多用户的安全防护体系还是被动式的防护体系,无法应对像apt攻击这样的安全威胁。要把提高针对网络行为的可视性,提高异常网络行为的主动发现、分析、取证能力作为一个重点,从而加强在应对安全威胁方面的主动性。
科来产品的特点是能够帮用户分析解决安全问题,如快速定位分析网络攻击、木马、网络病毒等等,并能够实现网络通讯数据包级的追溯取证,在这方面给用户带来的价值是非常明确的,所以得到了很多客户的认可,能够促进客户的继续购买。
信息安全应该上升到国家战略层面
现在经济发展愈来愈依靠信息化的支撑,而且其行为越来越网络化。网络在经济领域的作用越来越大,以零售业来说,传统的交易,北京最大的商场一年的营业额差不多有几十亿人民币,而在网络上,2012年11月11号光棍节那天,仅淘宝网的交易额就突破了一百亿。信息网络已经融入到社会、生产、消费、娱乐等各个方面,但国家对信息安全的保障和投入显然不够。其实我国的信息安全产品也卖到海外市场,可以同国外产品直接竞争,从技术上和人才上我们也并不落后,很多安全技术都是我国最先研制出来。所以从能力上来说我们并不落后,关键还要国家在信息安全方面加大投入,要能够适应经济的发展,给信息安全行业的发展注入活力。
安全经济学要重视投入产出比
目前仍缺乏对安全投入产生的价值评估体系,这样对持续的安全投入非常不利,如何能够对客户的安全投入产生的价值进行综合评估以及各个方面的评估,让领导的投资决策更加明确更加科学,我觉得这是安全经济学研究的一个重点。