经济学专家告诉我们,重在衡量安全设备所保护东西的价值是否能大于安全设备的价值。
面对越来越猖獗的计算机病毒、木马以及最近已成气候的垃圾邮件,安全厂商纷纷推出了自己的安全产品,从硬件的防火墙、入侵检测系统,到网闸,到杀毒软件,让用户眼花缭乱。 不买吧,这安全威胁让人觉得心里不塌实;买吧,听了安全厂商一番耐心介绍,心里更觉得不塌实,这么多银子哗哗的流出去,安全就一定更有保障吗? 对于那些已经有一定安全投入的用户,尤其是那些精打细算的中小企业,他们这种考虑更加常见,一个简单、直接的问题摆在他们面前: 花这些钱买安全,值吗?
这个问题说白了就是个安全投入和安全收益的权衡,这里如果我们用微观经济学中的边际分析方法对这个问题进行思考的话,就会有新的认识。
所谓边际分析即是在现有的基础上多增加一份投入或者说减一份投入后,在收益上产生的变化。用在我们今天讨论的问题上,即是我们在新增加的一个安全上设备能否取得的与之相对应的回报。换句话说,就是要衡量安全设备所保护东西的价值是否能大于安全设备的价值。
虽然信息资源往往是无形资产不易用金钱来衡量,但我们可以这样假定:危害造成后,我们业务上会因此而受损失,以及我们必定需要一些手段去去补救、去恢复原状,而业务上的损失大小和恢复灾害所采取的手段耗费的人力、物力资源就相对容易进行量化,用这个评估方法,我们就可以找到一个相对科学的购买安全设备的权衡依据。
例如,对于一个网络内容服务提供商,他的业务重点在于通过网络提供内容服务,那么对他的安全防范重点在其进行提供服务的门户网站,他需要重点保护其门户网站不被DDos攻击和内部网络不被黑客入侵,以至于最后被黑掉,同时由于信息安全重在整体安全,那么他确实需要制定一个全面的安全解决方案,这时他要根据自己的业务流量和业务特点来部署防火墙、入侵检测等设备,同时还要对自己得内部网进行严格的管理。
但这并不意味着对安全厂商开出的安全药方照单全收。不要以为安全是拿钱堆起来的,花的钱越多就越安全。没有一个安全产品提供商能向你保证绝对的安全。边际分析告诉我们如果你新增加的安全投入不能保证安全系数得到相应的提高,那么你的决策是低效率的。具体的说,如果你部署了一个防火墙后,又有人向你推荐一款防毒墙(注:可以防病毒的防火墙),那么你要考虑这个防毒墙的带来的安全效果给您带来的安全增益价值和这款防毒墙因占用资源和带宽给网络性能带来降低的代价总和是否大于或至少等于这款安全产品的价值。如果小于产品的价值,那就不用买了。
再例如,那些主要在网上冲浪,进行信息交流的中小企业就没有必要也弄一个入侵检测来和防火墙配套使用。因为仅有防火墙和入侵检测这样的安全设备也不能保证你的网络是安全的,你需要专业的人员去分析安全日志,进行日常维护,否则高价购买的安全设备还不如一个摆设。不要以为这些设备让厂商安装调试完后就万事大吉,您的网络从此就平安无事,现在黑客绕过防火墙,和入侵检测的技术多的是,一种称之为HTTP隧道的技术可以帮助黑客通过HTTP协议建立一条隧道来绕过防火墙,从而即使你的计算机被远程控制,你的防火墙也无可奈何。今年5月前后发现的僵尸网络很多就是通这种技术来俘获企业内网的主机的。因此中小企业管理者们在决定购买这些设备时不要听安全产品推销商的一面之词,你要考虑这些设备以及维护这些设备的费用同所保护的信息资源、网络资源相比是否值这么多钱。
说了这么多,其实就是想给您提个醒:不要迷信网络安全设备,安全性能的提高是有成本的,在您决定提升您网络的安全性能前,你先冷静的权衡一下您的这笔安全投资值不值?