中国信息安全大会：经济的安全来自风险成本 

  几年来，信息安全作为一个重要的产业，由小到大、由点到面地形成了一个较具规模的经济门类。随着我国网络建设规模不断扩大，网络受到的安全威胁也越来越严重，造成的损害后果越来越大，信息安全的紧迫性和长期性日益凸现。作为信息保护的重要手段，信息安全产业也因此得以蓬勃发展，安全市场更得以快速成长，在IT发展速度相对降低的情况下，安全产业作为一支急速成长的力量，成为信息产业的亮点。

  安全经济来自于风险成本

  信息安全问题严重地影响了信息社会的正常秩序；同时，它也导致一个产业的兴起。随着信息化进程的不断深入，安全产业将会快速成长。

  回顾历史，信息安全一直处于被动的状况。几年来的实践表明，安全事件不但没有被遏制，而且越发严重，造成的损失也越来越大，信息安全的状况不容乐观。在第五届信息安全大会上，我们看到了来宾们的茫然：他们对许多问题，不知所解，更多的是担心、是忧患。这种局面何时才能改变，消除人们的担心，消除人们的顾虑呢？

  信息化发展带来的安全问题对企业安全的威胁主要来自几个方面：首先，由于传统的网络被打开，网络的边界开始模糊。SOHO办公、分支机构的连接、网与网之间的连接以及B2B、B2C等各种活动的开展，使传统的网络完全裸露在所有人的面前。其次，信息安全的破坏方法简单化。目前，黑客工具日益简单，黑客需要的技术水平日益降低，从不少下载网站都能够下载网络黑客软件。第三，内部攻击日益严重。堡垒总是最易从内部攻破，企业越来越重视安全建设，但是主要在对付外来的攻击上，而忽略了来自内网的攻击。同时，来自外部的、以破坏信息完整性或者窃取信息机密为目标的恶意攻击也呈飞速增长之势。

  随着病毒、病虫（worm）与入侵攻击的演化，企业因为信息安全问题而导致的成本风险也与日俱增。据调查，全球企业为安全风险的支出在过去五年来每年增加一倍，但最后往往还是不敌黑客或恶意攻击的病毒程序，而只见安全预算节节上升。

  IT安全说穿了，就是消弭组织机构的风险。然而，目前的信息安全形势给企业（尤其是信息化程度高的企业）带来了巨大的成本风险。英国贸易和工业部发表的《2004年信息安全事件调查》称，在过去的一年中，有三分之二的英国企业曾受到过网络攻击。每次严重的安全事件造成的平均损失为1.8万美元，每次对大企业的严重攻击造成的损失平均为21.5万美元。

  企业安全风险产生的成本可分成两种：一是“硬钱成本”（hard-dollar costs），主要衡量实际销售损害、现金损失以及IT人员投入修复的时间与资源；二是“软钱成本”（soft-dollar cost），包括开会、使用者生产力、公共关系、灾害控制、以及大众信心降低或商机消失等间接损害。

  尽管存在严重的问题，可是我们却越来越离不开信息生活，我们的一切事务也越来越离不开网络。更为严重的是，现在社会的一切事、物、过程、工程……无一不与计算机、网络有越来越紧密的依赖性联系。

  从过去的安全事故中，我们看到了信息安全问题的严重程度。

  1998年4月26日，CIH病毒爆发。全球超过6000万台电脑被破坏。国内有几十万台计算机瘫痪或数据丢失，直接经济损失8000万元，间接经济损失超过10亿元。这样的例子有很多。

  为了形象地显示信息安全对企业的风险成本，IDC做了一个关于垃圾邮件的假设估算：假设一个拥有5000名员工的典型企业，在没有反垃圾邮件技术的保护下，每位员工每天浪费在处理垃圾邮件上的时间平均为10分钟，一年中，将给公司造成410万美元的损失。使用反垃圾邮件技术，每位员工浪费在处理它们的时间被缩短了5分钟，即使把授权费用算进去，这还会给公司节约近200万美元。

  这些问题是一个全面的、急待解决的问题，严重影响了信息社会的正常秩序；同时，它也导致了信息安全产业的兴起。