成功人士之所以成功,关键之一在于其拥有正确的价值观和信念,眼界决定世界。信息安全工作也是如此,安全人员所持有的观念将影响实际的防护效果。安全建设,观念先行。那么究竟怎样的内网信息安全观才是正确的呢?
一、信息安全的价值观
网络监控和网络安全专家认为:信息安全的“价值”观,即“信息安全是一种生产要素”。
经济学上对生产要素的定义是社会进行生产经营活动过程中必须具备的基本因素。“信息是一种生产要素”毋庸置疑,而信息安全是一种生产要素也并非言过其实。
二、动辄关乎存亡
首先信息安全事件的后果往往十分惊人,小则伤筋动骨,大则直接致命。世界上最大的能源、天然气及电讯公司之一安然公司因财务信息造假,一夜之间便坠落到毁灭的深渊,萨班斯法案也由此催生。
据专家分析,一般而言,信息安全事件可使企业遭受三方面的损失:
1、是核心命脉的损失。比如对于软件研发公司、设计公司等,源代码、设计作品等是企业的核心竞争力,信息安全事故对于它们而言往往是致命性的冲击。比如以珠宝设计见长的国内某知名珠宝公司,由于在大型珠宝展览前设计图纸泄密,导致李鬼与李逵一同出现在该场展会,独家变双份,竞争优势大打折扣。
2、是社会名誉损失,企业发生信息安全事件,不仅暴露出其在安全管理上的弊端,使得消费者对其产生质疑和不信任,更严重的是,这种不信任感会蔓延到各个方面,最终对其品牌形象和品牌忠诚度造成伤害。如今年3.15晚会上曝光招商银行、工商银行内部员工通过中介机构兜售用户个人信息的黑幕,令消费者心寒不已。
3、是财产损失,信息本身就是价值不菲的宝贝,信息破坏或者信息失窃直接代表着财产流失,在最近爆出的英特尔前员工信息盗窃案中,英特尔的损失近10亿美元。
三、静则危机四伏
企业的信息资产属于无形资产,其虚拟性使得企业无法像对其它实体资产一样对其进行秘密仓储或实时看守。同时企业信息面临的环境相对于实体要更加复杂,风险更大,因此也更难以防范,并且随着信息技术的发展,这种危险的局势将愈来愈明显。
信息安全,可以说是战战兢兢,如履薄冰,不是滴水不漏,可能就是满盘皆输。信息安全之重要今非昔比。信息安全对于现代企业的作用越来越独立,其重要性与人力资源、生产资料、管理、技术等生产要素相比,已越来越趋于平衡。
虽然企业的信息安全意识越来越高,但企业目前的信息安全投入远远没有满足现实的需求。据统计,每年全球因信息安全问题导致的网络损失已经可以用万亿美元的数量级来计算,我国也有数百亿美元的经济损失,然而信息安全方面的投入却不超过几十亿美元。 而在CSDN泄密门发生后,据一家券商TMT研究部门的调研数据,目前中国互联网企业的信息安全预算,在整体预算中的比例不到1%,欧美的比例是8%~10%。 说到安全,相信没有人会否定其重要性,但是安全投入普遍偏低,原因何在?其中一个重要的原因,是许多人认为信息安全只是业务的支撑,是一件只投入没回报的事情。 目前的现实是,各行业在信息安全方面的投入普遍偏低,距离临界点尚有较大距离,现阶段信息安全投入可以为企业带来更多的回报,可力行之。事实上信息安全作为一种生产要素,是有回报价值的。 根据经济学上的投资与回报曲线,在一定程度内,安全投入越多,回报就越多;但过了临界值,收益会随着成本的增加而降低,即边际收益降低。 这也许就是IT应用的一个基本原理:要在条件成熟、基础足够坚固的前提下应用一个新的系统或者技术,不然出了问题后就只能从头再来。对大部分的企业CIO来说,大数据带来的机遇虽然很多很好,但最好还是结合企业自身规模,应用系统等情况考量后,再决定是否能成熟运用,目前最重要的,还是先做好传统的数据处理工作,保障企业数据的秩序,可控,安全。 所以我们建议如果单位不是特别需要对内容进行监控,则尽量选择一些上网行为控制的电脑监控软件(如国内目前应用较为广泛的网络监控软件等),只是控制上网行为而不仅是监控上网内容,从而可以更好地从根源上避免部署电脑监控软件带来的诸多负面影响,实现更好的网络管理。
|