導(dǎo)語(yǔ)：西方有個(gè)段子叫“Dealt bad cards，played them well”，中文大意是“起了手臭牌，好好打就是了”，這句話拿來(lái)形容企業(yè)IT安全，特別是中國(guó)企業(yè)IT安全，特別熨帖。

和那些步子邁得比較大的前沿技術(shù)相稱起來(lái)，安全技術(shù)的發(fā)展往往是不同步的，且平心而論，照比先進(jìn)國(guó)家的IT安全建設(shè)，我們國(guó)家從意識(shí)、技術(shù)及法律方面都尚處于學(xué)生時(shí)代。而野蠻生長(zhǎng)的網(wǎng)絡(luò)犯罪更是不斷敲打著各行各業(yè)的脆弱神經(jīng)，實(shí)是防不勝防。

那么，就這么棄療了?

顯然不可能的。企業(yè)是社會(huì)創(chuàng)新的主力，也是最有能力對(duì)網(wǎng)絡(luò)惡勢(shì)力進(jìn)行喊話的一方。面對(duì)技術(shù)發(fā)展不均衡、網(wǎng)絡(luò)攻擊常態(tài)化等諸多不利因素，企業(yè)所應(yīng)做的就是盡可能利用現(xiàn)有資源，將拿到手的爛牌出好。其他的，盡人事，聽(tīng)天命。

折騰好過(guò)溫水煮青蛙

首要一個(gè)就是關(guān)于企業(yè)安全風(fēng)險(xiǎn)意識(shí)的話題。老實(shí)講，棱鏡門(mén)事件引發(fā)的蝴蝶效應(yīng)讓網(wǎng)絡(luò)安全上升到國(guó)家高度，而國(guó)內(nèi)企業(yè)，特別是銀行、電信等支柱行業(yè)領(lǐng)域的大企則已對(duì)安全問(wèn)題分外敏感，這與國(guó)家主唱的自主可控密不可分，當(dāng)然，也是一件件突發(fā)安全事件折騰教育的結(jié)果。總之，企業(yè)開(kāi)始關(guān)注IT安全，這是一個(gè)好現(xiàn)象。

但還不夠。在中國(guó)，開(kāi)始關(guān)注是一回事兒，實(shí)際部署則又是另一回事兒。因?yàn)槠髽I(yè)安全風(fēng)險(xiǎn)管理不是個(gè)立竿見(jiàn)影的活兒，若非出了事故，很難了解安全短板所在，自然也無(wú)從評(píng)判安全管理的效果。傳統(tǒng)IT安全問(wèn)題可以通過(guò)設(shè)備采購(gòu)填補(bǔ)不足，但現(xiàn)在，已不能再孤立地看待安全問(wèn)題了，盲目堆疊可能還會(huì)適得其反，影響效率，更何況你不能置那些財(cái)不大氣不粗的企業(yè)于不顧。安全事件的發(fā)生會(huì)讓需求變得明顯，好過(guò)企業(yè)在威脅中不知不覺(jué)。

投資硬件安全還是軟件安全

是硬件安全問(wèn)題重要還是軟件安全問(wèn)題重要?其實(shí)都不是，沒(méi)有安全問(wèn)題比較重要。企業(yè)在安全事故中發(fā)現(xiàn)安全需求，才能更好地根據(jù)需求去擬定更有針對(duì)性的安全策略，做出更為理性的資源采購(gòu)(這里的資源包括硬件和軟件)。不過(guò)這里有個(gè)不平衡的問(wèn)題，大型企業(yè)進(jìn)行的硬件安全投資一般不在小企業(yè)的接受范圍內(nèi)。且隨著硬件發(fā)展趨近峰值，開(kāi)發(fā)者更傾向于尋求尚有發(fā)展前景的軟件安全。

此外，技術(shù)的發(fā)展也給小企業(yè)帶來(lái)一種介于中間道路的模式。過(guò)去一年，國(guó)內(nèi)外均有大型互聯(lián)網(wǎng)公司推出基于自身的計(jì)算、安全等資源的出租服務(wù)，一方面無(wú)需企業(yè)大動(dòng)干戈，另一方面也可以享受到足夠的服務(wù)和安全保障。且隨著技術(shù)更迭速度的加快及市場(chǎng)環(huán)境的變化，硬件安全的價(jià)格將會(huì)拉低，這給企業(yè)的安全投資留了很大的余地。

注重人的因素 安全“聯(lián)產(chǎn)承包”

現(xiàn)在中國(guó)的企業(yè)都在講互聯(lián)網(wǎng)化，拋去技術(shù)革新盈利模式這另一個(gè)領(lǐng)域的話題不談，無(wú)非是線下與線上的資源整合，但追本溯源，企業(yè)構(gòu)成自始至終都沒(méi)有變——依舊是人。人是承擔(dān)具體運(yùn)作的主體，若有安全事故發(fā)生時(shí)，自然也應(yīng)成為承擔(dān)責(zé)任的主體。且在對(duì)事故進(jìn)行事后分析時(shí)，恰恰發(fā)現(xiàn)很多時(shí)候是人為管理失誤造成的;那么在機(jī)器學(xué)習(xí)大規(guī)模來(lái)臨前，企業(yè)還是要重視對(duì)安全管理團(tuán)隊(duì)的培訓(xùn)及建設(shè)。

在這方面，先進(jìn)國(guó)家已走得相對(duì)平穩(wěn)。其企業(yè)除首席信息官(CIO)外，另設(shè)首席信息安全官(CISO)，專門(mén)管理企業(yè)IT安全。這項(xiàng)職位不是空頭將軍，由其率領(lǐng)的安全團(tuán)隊(duì)對(duì)整個(gè)企業(yè)IT安全負(fù)責(zé)，出了事，也是責(zé)任到戶，專項(xiàng)承擔(dān)。反觀國(guó)內(nèi)企業(yè)，不少CIO的權(quán)責(zé)難分，更遑論CISO了。對(duì)于國(guó)內(nèi)企業(yè)來(lái)說(shuō)，將安全權(quán)責(zé)落到人頭上是一個(gè)有待進(jìn)行的重要課題。

D1Net評(píng)論：

若把國(guó)家、企業(yè)到用戶整個(gè)生態(tài)系統(tǒng)的形成比作外循環(huán)，那么從安全戰(zhàn)略制定、到采購(gòu)再到安全維護(hù)則是企業(yè)內(nèi)循環(huán)，短期內(nèi)改變外循環(huán)很難，但企業(yè)可以從改變內(nèi)循環(huán)開(kāi)始，從而反哺外循環(huán)。有些安全損害是可以避免的，對(duì)企業(yè)來(lái)說(shuō)，應(yīng)當(dāng)把那些能避免的先避免了，剩下的，交給時(shí)間。