投资网络安全的经济性分析.docx

投资网络安全的经济性分析摘要 如今，许多企事业单位的业务越来越依赖于网络系统的安全运行，信息已成为各企事业单位，尤其是电子商务类公司的重要资源。网络安全管理是整个信息安全系统中的重要一环，人们对投资网络安全的认识，也渐渐由“成本支出”转变为“无形财富”。 本文通过对不同电子商务强度的公司做网络安全投资回报计算,进而在经济性的基础上，对采用各种主要措施来加强网络安全技术防范进行评价,从而帮助企业在投资网络安全上做有效选择，此研究无论从理论上还是实践上都具有重要的现实意义。 关键词 投资 网络安全 经济性 笔者所在公司的计算机网络经常会遇到各种各样的安全问题，主要包括病毒感染、恶意攻击和疏忽大意。公司内部建立了一个局域网，有400多台电脑通过一个服务器与外网连接，同时，公司有自己的OA系统和正式对外发布信息的网站，这些都对网络系统的安全性提出了较高要求。 几年来，我在管理公司整个网络系统安全的过程中，在为地税系统做安全服务时，参照研究了国内外一些主要从事电子商务网站的经验（主要是阿里巴巴网站和CISCO公司），并根据本企业实际情况和经常发生的安全问题，采取了一些较为适用的安全防范措施。在不断的选用和比较中，我对投资网络安全所带来的经济回报有了一定的认识。 事实上，许多企业都愿意采用一个相对通用的方案来评价在网络安全活动和过程中的投资行为，一般是由一个专门的部门用多年时间来搜集数据，然后帮助企业形成一个结构良好的通用的投资回报分析报告。处理这些通用数据需要一些步骤，如下所示： 1.分析潜在经济影响 2.明确电子商务强度 3.检验安全成本 4.计算一个通用的安全投资回报 一、分析潜在经济影响 对于病毒和入侵，企业一般面临三种类型的经济性影响直接性经济影响、短期性经济影响和长期性经济影响。据国家公安部公共信息网络安全监察局的调查结果显示，2005年5月2006年5月间，有54的被调查单位发生过信息网络安全事件，其中，感染计算机病毒、蠕虫和木马程序的安全事件为84，遭到端口扫描或网络攻击的占36，垃圾邮件占35。未修补和防范软件漏洞仍然是导致安全事件发生的最突出原因，占发生安全事件总数的73。 对于一个以网络为支撑的、单一业务的企业，恶意攻击给其带来的经济性影响如表1所示。 ; ;表 1 ; 来源: 公安部公共信息网络安全监察局 在提交公司的调研报告上，我参照研究了计算机经济上的数据，如表2所示。如果针对恶意攻击，企业没有采用足够的安全防护，那些能够预测到发生的平均经济影响。可以看出，对电子商务技术依赖的越多，恶意攻击所带来的负面经济影响就越大（表中节点数是指连接到网络上的设备）。 表2; 来源:计算机经济 表中的结果是过去五年的历史数据所做的平均值，主要包括清除被恶意代码感染系统的成本，黑客攻击和入侵的恢复成本，收入损失和员工生产率降低。我公司属于低强度电子商务公司，有500个节点，从2005年、2006年两年的各种安全技术、设备的使用对比中发现:恶意攻击给我公司带来的经济影响要相对小于表2提供的数据，但如果算上短期经济影响，基本符合了数值取向。阿里巴巴网站算是一家高强度电子商务公司，由于其具备网上实时交易的特性，所以它的安全等级要求极高，而根据该公司曾提及的蠕虫病毒等网络攻击给其带来的损失来看，要远大于表2提供数据。 二、明确电子商务的强度 在明确一家企业电子商务强度的时候，需要考虑的、能支持该公司电子商务强度的因素如下： 1.信息系统员工岗位是否多样化 2.是否有合适的电子商务软件 3.是否有自己的网站、有多条互联网接入 4.是否用信息技术支持电子通信 5.是否有基于网络的B2B、B2C交易 6.是否通过网站进行电子数据交换 7.是否支持通过直接拨号与供应商、消费者进行电子数据交换 三、安全成本有哪些 花费在安全方面的IT预算很难确定标准。近来大部分的研究表明，多数企业在安全方面花费不足2的IT预算。在企业内，系统的可用性、数据的完整性和保密性都极度重要，国内有些专家呼吁，企业应花费其IT预算总额的5用于安全。 事实上，安全方面的预算支出常常是一个经验值，通过一些基础数据，逐步摸索出一个相对经济的安全防范成本。安全防范的成本可以被划分为许多子类，而且不同的企业差异也很大。 四、计算一个通用的安全投资回报 当要计算安全投资回报时，一定要考虑使用一些变量。首先应该考虑的是耗费在安全方面的资金量。其次，明确当前的威胁水平，或者至少是知道当前的威胁大概什么样。最后，还有法律、法规和安全的要求，这需要不同类型的组织采取一些有效措施来保护信息免受攻击。为达到合法、合规的目的，这些组织就需要花费成本，也许会超过平衡点，以此来帮助企业告知当前威胁水平（这点，我们企业经常会接到哈尔滨市网络安全管理局定期的网络病毒报告）。 在电子商务企业中，恶意攻击对潜在的经济影响是相当大的，这也增加企业对安全产品和相关人员的需求。 五、总结 如果能够相对清晰地计算你的投资回报，这将有利于你在网络安全方面做正确的决定，将拥有一个安全的基础来进行信息共享，可以通过电子商务来增加你的收入，可以通过提高人员效率来增加企业利润。 参考文献: 张宽海:电子商务概论,机械工业出版社,2003年 丘晓理:部属安全的