資訊安全，富人當道

資訊安全，富人當道

    最近幾年，資訊安全的話題被廣泛讨論，很多企業都開始加強了資訊安全工作的力度，那麼資訊安全工作該不該實施，該如何實施，實施的力度是多少呢？我這裡講針軟體企業提一些淺薄的看法。

    我覺得資訊安全應該是包含兩部分的，一部分是外部安全，這些包括網絡受到攻擊、病毒、間諜軟體、身份盜用、等等。另一部分是内部安全，這些包括内部員工偷走公司代碼、無意洩漏、管理不善導緻資訊丢失等等，有調查發現，資訊系統遭到的攻擊中，一半以上是由公司自己的職員有意或無意引發的。超過三分之一的公司發生内部記錄丢失或損壞的情況，或者系統崩潰。

    資訊安全該如何實施呢？對于外部安全，我覺得途徑包括安裝防毒軟體，啟用高水準的安全程式，網絡隔離，分級管理等。對于内部安全，我覺得包括對員工進行定期檢查，通路限制、帶寬限制、入口限制、不同部門之間通路控制、加強内部管理、封閉主機端口等。

    到底實施資訊安全的成本是多少呢？

    我覺得資訊安全的成本應該包含下面幾部分：

購買安全産品的費用

   我們需要購買像防火牆，反間諜軟體等軟體，也可能包括一些特殊要求的硬體。需要在公司設定門禁、攝像頭、錄影系統、消防材料、檢測攻擊等。

人力投入的費用

  我們可能需要制定一些資訊安全方面的規章制度，派人定制檢查規章制度的實施情況，安排門衛等。

員工工作效率成本

  一些安全方面的實施，可能影響到了員工的工作效率。比如說，将公司的網絡全部隔離，不允許其通路外部網絡，這就會使得一個軟體開發人員在碰到一個問題是不能到網上尋找解決方法，除非公司建立了很完善了知識庫系統或者問題解答專家小組，可以很快解決軟體開發人員在開發過程中碰到的大部分問題，不然将很容易影響到工作效率，因為經常是一個問題在網上很快就能找到解決方案，但是自己卻想了很久也無法解決。有些公司專門提供了一些獨立的電腦可以通路外部網絡，不過這仍然會影響效率。另外，想強制對電腦進行病毒掃描，要求電腦定時鎖定和設定屏保，定時對員工電腦進行檢查，加強出差審批、攜物外出檢查，限制使用共享軟體、非法軟體等，這些都将影響員工的工作效率，在一些安全方面做得比較徹底的公司，員工的工作效率将隻有原先的50％甚至更低。

員工積極性成本

  一些安全措施可能降低了員工的工作積極性，比如說限制員工上網（有些公司上司層認為限制員工上網可以增加員工的工作時間，但這也可能降低了員工的勞動積極性，孰優孰劣，值得推敲），對員工進行定期檢查，對違反資訊安全的員工進行處罰等。

員工忠誠度成本

  一些安全措施也同樣會降低部分員工對公司的忠誠度，比如說，有些員工可能會對公司限制人身自由的行為感到不滿，甚至故意偷偷做出一些導緻資訊洩漏的事情來。有些員工可能會是以而跳槽。

    那麼，這些安全措施的實施效果如何呢？你可能花了很多人力财力搭建了一個安全環境，但是這可能形同虛設，可能很容易就被人攻破呢？你可能制定了一套詳細的資訊安全規定，但現實卻發現很難實施，漏洞百出呢？

  比如說，你現在需要出差到客戶那裡處理一個軟體系統出現的問題，但是，你必須帶源代碼到現場進行調試，才可以把問題解決，但是，公司又禁止了員工帶源代碼，那現在怎麼辦呢？不帶源代碼，那問題根本無法及時處理，帶來的後果也許很嚴重。帶源代碼呢，有可能導緻代碼的洩密。也許，你可以給出差了員工配置一台專門的筆記本電腦，将源代碼放到筆記本電腦中，并且在筆記本電腦中安裝了一些跟蹤軟體，監視員工對源代碼的操作情況。但是這樣，能保證進行這樣處理的效率使得員工能夠即時趕到客戶現場處理問題嗎？能保證源代碼不被洩漏嗎？

  又比如，你現在需要跟外部進行聯系（比如說現在使用者，現場工程師，銷售工程師），但是公司禁止使用了網絡和郵箱、即時通訊工具等。那怎麼辦呢？用電話溝通嗎（這可能很耗錢，有些事情可能電話上也說不清楚，又可能需要發送一些檔案之類的東西呢）？你是不是在允許使用郵件，然後又在郵件裡面增加監控，檢查每個發送到外部的郵件呢？這能保證資訊不被洩漏嗎？

  一般來說，進行一些外部安全的防範是必要的，效果也是顯而易見的。而進行一些内部安全措施的實施，可就不是這麼簡單的了。進行一些簡單的投入，達不到效果。要達到效果，必須進行大量的投入，堵住可能出現的漏洞。

  現在一些小的軟體企業，其盈利比較小，而且核心技術比較少，如果貿然實作資訊安全的話，可能嚴重影響開發的效率，和投入大量的人力财力，并且收效很低。對于一些中型企業，有一定的核心技術，那麼可以在資訊安全方面适當投入，保護其核心技術。而對于一些大型企業，由于其經常是大衆攻擊的目标，也是最容易發生内部技術洩密的地方，是以應該加大在資訊安全方面的投入。

  資訊安全，将是大企業展示的舞台！