[摘要] 如今，許多企事業(yè)單位的業(yè)務(wù)越來越依賴于網(wǎng)絡(luò)系統(tǒng)的安全運(yùn)行，信息已成為各企事業(yè)單位，尤其是電子商務(wù)類公司的重要資源。網(wǎng)絡(luò)安全管理是整個(gè)信息安全系統(tǒng)中的重要一環(huán)，人們對(duì)投資網(wǎng)絡(luò)安全的認(rèn)識(shí)，也漸漸由“成本支出”轉(zhuǎn)變?yōu)椤盁o形財(cái)富”。

本文通過對(duì)不同電子商務(wù)強(qiáng)度的公司做網(wǎng)絡(luò)安全投資回報(bào)計(jì)算，進(jìn)而在經(jīng)濟(jì)性的基礎(chǔ)上，對(duì)采用各種主要措施來加強(qiáng)網(wǎng)絡(luò)安全技術(shù)防范進(jìn)行評(píng)價(jià)，從而幫助企業(yè)在投資網(wǎng)絡(luò)安全上做有效選擇，此研究無論從理論上還是實(shí)踐上都具有重要的現(xiàn)實(shí)意義。

[關(guān)鍵詞] 投資 網(wǎng)絡(luò)安全 經(jīng)濟(jì)性

筆者所在公司的計(jì)算機(jī)網(wǎng)絡(luò)經(jīng)常會(huì)遇到各種各樣的安全問題，主要包括病毒感染、惡意攻擊和疏忽大意。公司內(nèi)部建立了一個(gè)局域網(wǎng)，有400多臺(tái)電腦通過一個(gè)服務(wù)器與外網(wǎng)連接，同時(shí)，公司有自己的OA系統(tǒng)和正式對(duì)外發(fā)布信息的網(wǎng)站，這些都對(duì)網(wǎng)絡(luò)系統(tǒng)的安全性提出了較高要求。

幾年來，我在管理公司整個(gè)網(wǎng)絡(luò)系統(tǒng)安全的過程中，在為地稅系統(tǒng)做安全服務(wù)時(shí)，參照研究了國內(nèi)外一些主要從事電子商務(wù)網(wǎng)站的經(jīng)驗(yàn)（主要是阿里巴巴網(wǎng)站和CISCO公司），并根據(jù)本企業(yè)實(shí)際情況和經(jīng)常發(fā)生的安全問題，采取了一些較為適用的安全防范措施。在不斷的選用和比較中，我對(duì)投資網(wǎng)絡(luò)安全所帶來的經(jīng)濟(jì)回報(bào)有了一定的認(rèn)識(shí)。

事實(shí)上，許多企業(yè)都愿意采用一個(gè)相對(duì)通用的方案來評(píng)價(jià)在網(wǎng)絡(luò)安全活動(dòng)和過程中的投資行為，一般是由一個(gè)專門的部門用多年時(shí)間來搜集數(shù)據(jù)，然后幫助企業(yè)形成一個(gè)結(jié)構(gòu)良好的通用的投資回報(bào)分析報(bào)告。處理這些通用數(shù)據(jù)需要一些步驟，如下所示：

1.分析潛在經(jīng)濟(jì)影響

2.明確電子商務(wù)強(qiáng)度

3.檢驗(yàn)安全成本

4.計(jì)算一個(gè)通用的安全投資回報(bào)

一、分析潛在經(jīng)濟(jì)影響

對(duì)于病毒和入侵，企業(yè)一般面臨三種類型的經(jīng)濟(jì)性影響——直接性經(jīng)濟(jì)影響、短期性經(jīng)濟(jì)影響和長期性經(jīng)濟(jì)影響。據(jù)國家公安部公共信息網(wǎng)絡(luò)安全監(jiān)察局的調(diào)查結(jié)果顯示，2005年5月～2006年5月間，有54％的被調(diào)查單位發(fā)生過信息網(wǎng)絡(luò)安全事件，其中，感染計(jì)算機(jī)病毒、蠕蟲和木馬程序的安全事件為84％，遭到端口掃描或網(wǎng)絡(luò)攻擊的占36％，垃圾郵件占35％。未修補(bǔ)和防范軟件漏洞仍然是導(dǎo)致安全事件發(fā)生的最突出原因，占發(fā)生安全事件總數(shù)的73％。

對(duì)于一個(gè)以網(wǎng)絡(luò)為支撐的、單一業(yè)務(wù)的企業(yè)，惡意攻擊給其帶來的經(jīng)濟(jì)性影響如表1所示。

表 1

來源: 《公安部公共信息網(wǎng)絡(luò)安全監(jiān)察局》

在提交公司的調(diào)研報(bào)告上，我參照研究了《計(jì)算機(jī)經(jīng)濟(jì)》上的數(shù)據(jù)，如表2所示。如果針對(duì)惡意攻擊，企業(yè)沒有采用足夠的安全防護(hù)，那些能夠預(yù)測到發(fā)生的平均經(jīng)濟(jì)影響?？梢钥闯?，對(duì)電子商務(wù)技術(shù)依賴的越多，惡意攻擊所帶來的負(fù)面經(jīng)濟(jì)影響就越大（表中節(jié)點(diǎn)數(shù)是指連接到網(wǎng)絡(luò)上的設(shè)備）。

表2

來源:《計(jì)算機(jī)經(jīng)濟(jì)》

表中的結(jié)果是過去五年的歷史數(shù)據(jù)所做的平均值，主要包括清除被惡意代碼感染系統(tǒng)的成本，黑客攻擊和入侵的恢復(fù)成本，收入損失和員工生產(chǎn)率降低。我公司屬于低強(qiáng)度電子商務(wù)公司，有500個(gè)節(jié)點(diǎn)，從2005年、2006年兩年的各種安全技術(shù)、設(shè)備的使用對(duì)比中發(fā)現(xiàn):惡意攻擊給我公司帶來的經(jīng)濟(jì)影響要相對(duì)小于表2提供的數(shù)據(jù)，但如果算上短期經(jīng)濟(jì)影響，基本符合了數(shù)值取向。阿里巴巴網(wǎng)站算是一家高強(qiáng)度電子商務(wù)公司，由于其具備網(wǎng)上實(shí)時(shí)交易的特性，所以它的安全等級(jí)要求極高，而根據(jù)該公司曾提及的蠕蟲病毒等網(wǎng)絡(luò)攻擊給其帶來的損失來看，要遠(yuǎn)大于表2提供數(shù)據(jù)。

二、明確電子商務(wù)的強(qiáng)度

在明確一家企業(yè)電子商務(wù)強(qiáng)度的時(shí)候，需要考慮的、能支持該公司電子商務(wù)強(qiáng)度的因素如下：

1.信息系統(tǒng)員工崗位是否多樣化

2.是否有合適的電子商務(wù)軟件

3.是否有自己的網(wǎng)站、有多條互聯(lián)網(wǎng)接入

4.是否用信息技術(shù)支持電子通信

5.是否有基于網(wǎng)絡(luò)的B2B、B2C交易

6.是否通過網(wǎng)站進(jìn)行電子數(shù)據(jù)交換

7.是否支持通過直接撥號(hào)與供應(yīng)商、消費(fèi)者進(jìn)行電子數(shù)據(jù)交換

三、安全成本有哪些

花費(fèi)在安全方面的IT預(yù)算很難確定標(biāo)準(zhǔn)。近來大部分的研究表明，多數(shù)企業(yè)在安全方面花費(fèi)不足2％的IT預(yù)算。在企業(yè)內(nèi)，系統(tǒng)的可用性、數(shù)據(jù)的完整性和保密性都極度重要，國內(nèi)有些專家呼吁，企業(yè)應(yīng)花費(fèi)其IT預(yù)算總額的5％用于安全。

事實(shí)上，安全方面的預(yù)算支出常常是一個(gè)經(jīng)驗(yàn)值，通過一些基礎(chǔ)數(shù)據(jù)，逐步摸索出一個(gè)相對(duì)經(jīng)濟(jì)的安全防范成本。安全防范的成本可以被劃分為許多子類，而且不同的企業(yè)差異也很大。

四、計(jì)算一個(gè)通用的安全投資回報(bào)

當(dāng)要計(jì)算安全投資回報(bào)時(shí)，一定要考慮使用一些變量。首先應(yīng)該考慮的是耗費(fèi)在安全方面的資金量。其次，明確當(dāng)前的威脅水平，或者至少是知道當(dāng)前的威脅大概什么樣。最后，還有法律、法規(guī)和安全的要求，這需要不同類型的組織采取一些有效措施來保護(hù)信息免受攻擊。為達(dá)到合法、合規(guī)的目的，這些組織就需要花費(fèi)成本，也許會(huì)超過平衡點(diǎn)，以此來幫助企業(yè)告知當(dāng)前威脅水平（這點(diǎn)，我們企業(yè)經(jīng)常會(huì)接到哈爾濱市網(wǎng)絡(luò)安全管理局定期的網(wǎng)絡(luò)病毒報(bào)告）。

在電子商務(wù)企業(yè)中，惡意攻擊對(duì)潛在的經(jīng)濟(jì)影響是相當(dāng)大的，這也增加企業(yè)對(duì)安全產(chǎn)品和相關(guān)人員的需求。

五、總結(jié)

如果能夠相對(duì)清晰地計(jì)算你的投資回報(bào)，這將有利于你在網(wǎng)絡(luò)安全方面做正確的決定，將擁有一個(gè)安全的基礎(chǔ)來進(jìn)行信息共享，可以通過電子商務(wù)來增加你的收入，可以通過提高人員效率來增加企業(yè)利潤。

參考文獻(xiàn):

[1]張寬海:《電子商務(wù)概論》，機(jī)械工業(yè)出版社，2003年

[2]丘曉理:《部屬安全的無線局域網(wǎng)絡(luò)》，摘自《計(jì)算機(jī)世界——技術(shù)與應(yīng)用》，2006年第37期

[3]黃京華:《電子商務(wù)教程》，清華大學(xué)出版社，2003年

[4]Simson Garfinkel Gene Spafford著何健輝劉祥亞馮延暉譯:《Web安全與電子商務(wù)》， 2001年