安全保障投入产出的权衡

　　这一问题固然是相当困难的，您那么有什么解决办法呢?走极端的过分的复杂性不仅从成功的角度来看存在问题，同时其成本也很昂贵。ZDNet的马克·塞缪尔斯说，“这就是网络安全威胁。在理论上，企业CIO们将其大部分IT预算用于建立坚不可摧的安全防御是可能的。”但是，这就像买保险一样，安全攻击威胁似乎是浪费钱的，至少一直要到相关的安全威胁事件发生之后，其价值才能体验出来(当然我们希望这不会常有)。而确定企业需要“投保”到什么程度，并说服企业其他对于安全攻击威胁一无所知的CXO级别的领导对于安全“投保”的支持和审批也是一个相当棘手的问题。投入安全保障资金的确会有回报，但只体现在防止造成企业亏损方面，而不是类似于投入研发那样的能够直接产生营收的积极的回报。

　　此外，一款透明的、企业内部的IT员工能够理解甚至进行修改的安全解决方案似乎要比一款内部运作神秘的黑盒解决方案要好很多。然而，对于现代的计算机及其所有的单片集成电路而言(其中根本就没有什么是您企业IT员工能够修复或修改的!)简单往往是以牺牲性能为代价的。因此，复杂性并不是一定要避免的，但确实是在许多工程问题中必须平衡的东西。

　　然而，最终，像可靠性问题一样，IT服务的复杂性及其对于安全性的需求可能会达到一个收益递减点。黑客的不断攻击威胁可能会使一些服务由于风险的存在而不可用，这在理论上是可行的。随着高调的黑客攻击案件，以及对于政府机构的偷窥威胁越来越多，这种收益递减点可能不会太远。

　　结论

　　在互联网发展的早期，彼时的网站仅仅只有相当简单的几个HTML页面，黑客攻击顶多只是一件比较烦心的事，当然也就不会给他们带去什么潜在的回报了，除了少数比较罕见的情况之外。而今复杂的网络为黑客攻击创造了更大的挑战，但往往也为他们留下了更大的漏洞，一旦攻击成功，可能为他们带来更大的回报。从某种意义上说，复杂的安全措施需要击退复杂的攻击，但企业安全措施的复杂程度也可能是其自身的敌人。因此，我们第一步是要认识到这一问题。有时候，可能越简单越优越：也许，比如利用一些小的烹饪智慧和一口很好的旧铸铁锅，您就可以煎炸煮炒的烹制各种美食，同时仍期待其能够继续用上十年，而对于某项互联网小发明，可能稍微不注意其某些部分就开始脱落，您就必须扔掉了。IT是许多行业的中心，而消费者现在需要越来越多的服务。在企业安全方面最正确的是要找到与业务执行的一个平衡，因此安全问题很可能只是会不断进化，而不会被最终解决。

　　责任编辑：余芯