尽管国家和企业对网络基础设施建设投入了大量资金，在网络安全建设上的投入上也是逐年增加，但是人类花费10多年、数万亿美元建设的信息网络，在蠕虫病毒的攻击下依然显得如此脆弱。那么安全投资增多，企业损失依然增加的情形什么时候能够中止呢?依照目前的状况来看，一定是某个环节出现了问题，我们应该不遗余力地把它揪出来......

　　网络的普及和广泛应用，社会信息化程度的提高，使得国家和企业遇到的信息安全问题逐年增多，并逐渐成为了社会关注的焦点。而提到网络的安全问题，人们最先想到的，依然是最近几次大规模的病毒爆发。每一次的病毒爆发，带来的后果都是一样的，那就是直接、间接的几十上百亿美元的损失。虽然企业在安全方面的投资也可以用亿美元这个单位来统计，但是比起每年的损失数额来，还是小巫见大巫。企业在安全上的投入还要加大到什么时候才能让损失的数额小于投入呢?恐怕近期内是不会有答案的，因为我们并没有充分的执行安全设施的效率，很多投资处于被浪费的状态，很多安全厂商在收到大笔资金的时候，也并没有作出最适合这个企业的安全方案。很多地方还能优化，也许等到一切到位之后，我们再统计安全投入和损失的比例，答案才会一目了然。

　　安全投资少于病毒损失

　　在国外，安全投入占企业基础投入的5%～20%，而在中国却很少超过2%，总额不会超过几十亿美元。而每年全球因安全问题导致的网络损失已经可以用万亿美元的数量级来计算，我国也有数百亿美元的经济损失。而且这种损失并没有下降的趋势，信息化建设步伐的加快，使得损失的金额依然逐年增长。面对国外企业在安全投资上的大手大脚，我们的企业似乎有些过于谨慎。所以，在投资基数很小的情况下，虽然近几年我国企业安全投资不断加大，但是还不足以制服住网络威胁的泛滥，毕竟在目前的投资情况下，很多环节依然漏洞百出。量变还没有形成质变，企业安全投资的量必须达到形成质变的转变，也许企业网路的安全性才能迈上一个新的台阶。因为以目前的投资额来看，还不足以防范企业网络的各个环节，只要还有一个环节有漏洞，就不能认为这个网络是安全的，只能说安全性提高了而以。所以，在企业安全投资加大的同时，各种威胁手段也变得更加高明，表现出来的就是安全投资加大的速度还要慢于损失数额增加的速度。

　　其实在信息化建设的过程中企业用户必须明确建设网络的真正需求，舍得安全资金投入，针对自身的网络建立安全防御体系。现在很多企业在建设网络系统时，存在赶潮流的倾向，仅仅满足于建立网络、购买硬件和购置现成的软件，而对信息安全了解不充分，忽视了网络可能带来的各种安全问题。不同企业应该根据自身情况对安全提出明确需求，注意系统个性化建设。这个过程需要企业和安全厂商一起来完成。

　　看看近年来计算机病毒给全球造成的危害吧，与之相比，企业安全投资真是自叹不如。据统计:1999年，全球的损失是36亿美元，到2000年是42亿美元，2001年暴涨到129亿美元;2002年超过200亿，今年预计会超过280亿美元。根据新华社的数据，有几个臭名昭著的病毒，一个是2001年的“尼姆达”病毒，造成了6.35亿美元的损失。2001年的“红色代码”病毒，造成了26.2亿美元损失。2002年“求职信”病毒，造成了90亿美元的损失。2003年“蠕虫王”病毒造成了10亿美元的损失。最近的“冲击波”病毒损失还没统计出来，当然它也不会小。这几年网络病毒发展趋势有几个方面，一个是网络病毒大规模出现。第二，利用系统漏洞编制的病毒危害比较大。第三，近些日子通过MSN、QQ即时通讯软件传播病毒也越来越多。第四，混合型病毒成为新病毒的主流。第五是邮件病毒传染呈现上升趋势，如:近期“大无极”病毒泛滥非常严重，感染性非常强。摸清了病毒的主要发展目标，就要做到重点防范，俗话说，好钢用到刀刃上，在有限的安全投资下，我们也只能采取抓住重点，各个击破的策略了。

　　安全要防到点上

　　新的网络儒虫病毒比其他病毒都更能说明多层安全措施的必要性。一个结果是，企业不能仅仅限于网络及其边界的安全性，而且还需要密切关注应用程序和数据库级的安全性。新的网络儒虫病毒攻击企业核心的内容和数据，正导致了自近年来企业级入侵探查和防火墙技术上投资的增长。