投資網絡安全的經濟性分析

[摘要] 如今，許多企事業單位的業務越來越依賴于網絡系統的安全運行，信息已成為各企事業單位，尤其是電子商務類公司的重要資源。網絡安全管理是整個信息安全系統中的重要一環，人們對投資網絡安全的認識，也漸漸由“成本支出”轉變為“無形財富”。

本文通過對不同電子商務強度的公司做網絡安全投資回報計算，進而在經濟性的基礎上，對采用各種主要措施來加強網絡安全技術防范進行評價，從而幫助企業在投資網絡安全上做有效選擇，此研究無論從理論上還是實踐上都具有重要的現實意義。

[關鍵詞] 投資 網絡安全 經濟性

筆者所在公司的計算機網絡經常會遇到各種各樣的安全問題，主要包括病毒感染、惡意攻擊和疏忽大意。公司內部建立了一個局域網，有400多臺電腦通過一個服務器與外網連接，同時，公司有自己的OA系統和正式對外發布信息的網站，這些都對網絡系統的安全性提出了較高要求。

幾年來，我在管理公司整個網絡系統安全的過程中，在為地稅系統做安全服務時，參照研究了國內外一些主要從事電子商務網站的經驗（主要是阿里巴巴網站和CISCO公司），并根據本企業實際情況和經常發生的安全問題，采取了一些較為適用的安全防范措施。在不斷的選用和比較中，我對投資網絡安全所帶來的經濟回報有了一定的認識。

事實上，許多企業都愿意采用一個相對通用的方案來評價在網絡安全活動和過程中的投資行為，一般是由一個專門的部門用多年時間來搜集數據，然后幫助企業形成一個結構良好的通用的投資回報分析報告。處理這些通用數據需要一些步驟，如下所示：

1.分析潛在經濟影響

2.明確電子商務強度

3.檢驗安全成本

4.計算一個通用的安全投資回報

一、分析潛在經濟影響

對于病毒和入侵，企業一般面臨三種類型的經濟性影響——直接性經濟影響、短期性經濟影響和長期性經濟影響。據國家公安部公共信息網絡安全監察局的調查結果顯示，2005年5月～2006年5月間，有54％的被調查單位發生過信息網絡安全事件，其中，感染計算機病毒、蠕蟲和木馬程序的安全事件為84％，遭到端口掃描或網絡攻擊的占36％，垃圾郵件占35％。未修補和防范軟件漏洞仍然是導致安全事件發生的最突出原因，占發生安全事件總數的73％。

對于一個以網絡為支撐的、單一業務的企業，惡意攻擊給其帶來的經濟性影響如表1所示。

表 1

來源: 《公安部公共信息網絡安全監察局》

在提交公司的調研報告上，我參照研究了《計算機經濟》上的數據，如表2所示。如果針對惡意攻擊，企業沒有采用足夠的安全防護，那些能夠預測到發生的平均經濟影響。可以看出，對電子商務技術依賴的越多，惡意攻擊所帶來的負面經濟影響就越大（表中節點數是指連接到網絡上的設備）。

表2

來源:《計算機經濟》

表中的結果是過去五年的歷史數據所做的平均值，主要包括清除被惡意代碼感染系統的成本，黑客攻擊和入侵的恢復成本，收入損失和員工生產率降低。我公司屬于低強度電子商務公司，有500個節點，從2005年、2006年兩年的各種安全技術、設備的使用對比中發現:惡意攻擊給我公司帶來的經濟影響要相對小于表2提供的數據，但如果算上短期經濟影響，基本符合了數值取向。阿里巴巴網站算是一家高強度電子商務公司，由于其具備網上實時交易的特性，所以它的安全等級要求極高，而根據該公司曾提及的蠕蟲病毒等網絡攻擊給其帶來的損失來看，要遠大于表2提供數據。

二、明確電子商務的強度

在明確一家企業電子商務強度的時候，需要考慮的、能支持該公司電子商務強度的因素如下：

1.信息系統員工崗位是否多樣化

2.是否有合適的電子商務軟件

3.是否有自己的網站、有多條互聯網接入

4.是否用信息技術支持電子通信

5.是否有基于網絡的B2B、B2C交易

6.是否通過網站進行電子數據交換

7.是否支持通過直接撥號與供應商、消費者進行電子數據交換

三、安全成本有哪些

花費在安全方面的IT預算很難確定標準。近來大部分的研究表明，多數企業在安全方面花費不足2％的IT預算。在企業內，系統的可用性、數據的完整性和保密性都極度重要，國內有些專家呼吁，企業應花費其IT預算總額的5％用于安全。

事實上，安全方面的預算支出常常是一個經驗值，通過一些基礎數據，逐步摸索出一個相對經濟的安全防范成本。安全防范的成本可以被劃分為許多子類，而且不同的企業差異也很大。

四、計算一個通用的安全投資回報

當要計算安全投資回報時，一定要考慮使用一些變量。首先應該考慮的是耗費在安全方面的資金量。其次，明確當前的威脅水平，或者至少是知道當前的威脅大概什么樣。最后，還有法律、法規和安全的要求，這需要不同類型的組織采取一些有效措施來保護信息免受攻擊。為達到合法、合規的目的，這些組織就需要花費成本，也許會超過平衡點，以此來幫助企業告知當前威脅水平（這點，我們企業經常會接到哈爾濱市網絡安全管理局定期的網絡病毒報告）。

在電子商務企業中，惡意攻擊對潛在的經濟影響是相當大的，這也增加企業對安全產品和相關人員的需求。

五、總結

如果能夠相對清晰地計算你的投資回報，這將有利于你在網絡安全方面做正確的決定，將擁有一個安全的基礎來進行信息共享，可以通過電子商務來增加你的收入，可以通過提高人員效率來增加企業利潤。

參考文獻:

[1]張寬海:《電子商務概論》，機械工業出版社，2003年

[2]丘曉理:《部屬安全的無線局域網絡》，摘自《計算機世界——技術與應用》，2006年第37期

[3]黃京華:《電子商務教程》，清華大學出版社，2003年

[4]Simson Garfinkel Gene Spafford著何健輝劉祥亞馮延暉譯:《Web安全與電子商務》， 2001年