论网络安全与成本投入的关系

论网络安全与成本投入的关系

作者：江西省林业厅信息中心 黄浩

如今的网络世界丰富多彩，人们越来越离不开。人们利用网络购物、交友、学习、办公等等，所有在现实中能做的事情，现在基本都能通过网络完成。在表面看似和谐繁荣的网络，背后却隐藏着巨大安全问题，一些别有用心的人或者黑客利用黑客技术不断攻击侵扰着我们的网络生活，给我们造成了巨大损失。随着时间推移，网络安全问题非但没有减弱的趋势，反而越来越大，造成的损失也成数量级的增长。面对日趋严重的安全问题，各国政府以及各国企业都在网络安全上投入了巨大成本建立自己的网络安全体系，但效果总是不那么理想。成本投入越大是否意味着网络越安全呢？网络安全与成本投入究竟有怎么的关系？下面就这两个问题进行详细的论述。

一、正确的网络安全观

在本人从事IT 工作十年的过程中，总有些人问我一些我难以回答的问题。1、怎样建立一个安全的网络环境？2、为什么我投入那么多钱，买了那么多安全设备，还是有会遭到攻击呢？是不是还要加大投入呢？说实话这些问题我相信一些资深的安全问题专家也难以用一两句话说清楚。面对这些问题的时候，我想首先要解决的问题是，建立一个正确的网络安全观，才能从本质上对网络安全有个全新的认识，才能更合理的规划网络安全成本的投入。

1、世界上没有绝对安全的网络

如果你想建立一个绝对安全的网络，我想你是在尝试一个不可能完成的任务。当今世界最发达国家美国政府各级网站每年都是黑客经

常攻击目标，在美国政府不计成本的投入情况下还时常发生被黑的安全事件，可见绝对安全的网络那是存在美丽的童话里。

2、按需搭建安全网络

在我接触的一些企事业单位，他们为了保证网络安全，所有安全设备和产品都买。防火墙、Web 防火、入侵检测系统、防篡改系统、网络杀毒软件、网络行为管理系统等等能想到的或者想不到的都上。通过上面的分析我们知道没有绝对安全的网络，像这样不管需不需要一股脑的将所有设备都上的情况，不仅不能保证网络的安全，而且会造成很大成本浪费。如果理性的分析自己的需求，积极与网络安全公司沟通，可以在成本投入与安全需求达到一个平衡点。

3、黑客攻击也是有成本的

在黑客行业普遍遵循一个共识：当进行某项黑客行为的时候，获得的收益远远小于进行黑客行为时投入的成本，这次黑客行为是失败的。从这个共识可以知道，黑客并不是随随便便就攻击某个网络，而是首先采取一些低成本的手段进行尝试获得一些数据进行分析，看看是否有进行黑客攻击的必要，以及进行黑客攻击可能需要的多大的成本。这些低成本的手段包括漏洞扫描、安全问题嗅探、木马植入等等。

二、网络安全成本组成

在对网络安全有了正确的认识后，就要将网络安全成本进行认真的规划。那么网络安全成本究竟包括哪些呢？可能不同的人有不同分类方法，这里我也把我自己分类和大家分享下。1、网络安全软硬件设备投入成本；2、数据安全灾备系统投入成本；3、安全人员培训投

入成本；4、后期维护投入成本。

针对这个四个安全成本投入，我个人觉得它们分别应该占整个项目安全成本投入比例为：15%、60%、15%、10%（不同的项目可以适当调整）。为什么是这个比例，下面我进行进一步论述。

1、网络安全软硬件设备投入成本

网络安全软硬件设备可能是大家接触最多也是最直观的，大多数对网络安全认识可能就仅仅局限在这里了，认为网络安全软硬件设备就是网络安全的全部。这种观点其实是不正确的，网络安全软硬件设备仅仅是整个网络安全体系的一个组成部分，并不能代表整个安全网络。网络安全软硬件设备具有各自的优势和弱点，更何况可能还存在自身的漏洞，这些都是黑客可以利用并针对攻击的。要想通过部署网络安全软硬件设备来将安全隐患完全挡住那是不可能。我们只能按需部署网络安全软硬件设备，构建一个相对安全的网络安全软硬件设备环境。这个需求按成本计算的应该控制在网络安全投入成本的15%左右。

2、数据安全灾备系统投入成本

数据安全灾备系统是整个网络安全的核心，它建设成功与否决定着整个网络安全的成功与否。我们知道绝对的网络安全是没有的，也就是说很有可能在未来的某一天我们网络安全受到威胁，我们的数据遭到破坏甚至删除，这时我们该怎么办？如何快速回复数据，将损失降到最低？这个时候就是灾备系统发挥作用的时候了。

（1）能迅速将网络业务无缝平滑转移

数据安全灾备系统是多个异地数据中心组成，它们之间互为灾备。一旦某地的数据中心出现问题，其他地方的数据中心将迅速分摊接管该地网络业务直至该地数据中心恢复。作为终端用户根本察觉不到任何异常。

（2）能迅速将网络业务数据恢复

由于有多个异地数据中心备份，某地方数据中心出现问题，可以在最短的时间内通过数据同步技术恢复遭到破坏或者删除的数据。

通过以上分析，不难看出数据安全灾备系统对于整个网络安全的重要性。通常鉴别一个网络安全好坏的主要指标就是看在遭到攻击后能否在最短时间内恢复最全面的数据，而数据安全灾备系统就是负责此项工作。因此，数据安全灾备系统的成本投入应该占整个网络安全成本的60%以上。

3、安全人员培训投入成本

在所有网络安全客观条件都根据需求做到了相对安全标准，剩下的就是人的主观问题。通常在部署完网络安全工程后，需要对日常网络管理人员进行相关的业务培训。在有些项目了，为了压缩成本，很多时候把培训当作一个过场，草草了事，其实培训这项工作也是十分重要和必要的。根据我多年的经验，其实很多安全问题都可以在初期发现并及时修正，就是因为网络管理人员对业务不熟悉，导致不会查看相关的报警信号和报警日志，出现小问题不能及时处理，最终导致整个网络瘫痪甚至崩溃。安全人员培训投入，建议占整个网络安全成本的15%左右（切忌不能走过场）。

4、后期维护投入成本

当所有部署工作都已完成，系统进入到正常运行阶段，是否意味着网络安全工作就此结束了呢？答案是否定的。在系统进入运行阶段也就意味着网络安全系统进入了后期维护阶段。这个阶段我们仍然需要有一定的成本投入。这些投入主要在更换坏的设备、升级各安全软硬件、根据业务的变化对网络安全重新调整和部署等等。当然这些投入较之前的前期投入相对来说还是比较小的，建议后期维护投入成本占整个网络安全成本的10%左右。

三、总结

网络安全问题从网络诞生起就一直陪伴着我们，并将在未来一直陪伴着我们。为了解决网络安全问题，世界各地的国家政府、企业都在寻找最小成本投入保障最大安全的方法，也就是说成本投入和网络安全的那个平衡点。本文的目的就是通过分析相关成本投入与网络安全的关系，希望能帮助大家在成本投入上找到那个平衡点。