蘭德公司企業(yè)網(wǎng)絡(luò)安全防御經(jīng)濟(jì)性研究分析

金 晶

蘭德公司企業(yè)網(wǎng)絡(luò)安全防御經(jīng)濟(jì)性研究分析

金 晶

伴隨網(wǎng)絡(luò)安全重大事件的頻發(fā)，全球各類機(jī)構(gòu)組織對網(wǎng)絡(luò)安全重視程度與日俱增，開始持續(xù)加大對網(wǎng)絡(luò)安全產(chǎn)品的投入和專業(yè)人才的儲備。據(jù)相關(guān)研究機(jī)構(gòu)估計(jì)，全球網(wǎng)絡(luò)安全開支每年接近700億美元，且每年都在以10%-15%的速度增長。但總體而言，各類機(jī)構(gòu)和組織目前對自身網(wǎng)絡(luò)安全狀況并不滿意，網(wǎng)絡(luò)安全的維護(hù)者認(rèn)為自身的先發(fā)優(yōu)勢并不足以領(lǐng)先網(wǎng)絡(luò)攻擊者，導(dǎo)致開支巨大卻難以成功。如何科學(xué)衡量網(wǎng)絡(luò)安全的維護(hù)成本及其實(shí)際效用成為產(chǎn)業(yè)界難題。造成這種現(xiàn)象的原因是組織沒有建立一種科學(xué)的計(jì)算方法來權(quán)衡網(wǎng)絡(luò)安全工具和資源需要花費(fèi)的成本和發(fā)生數(shù)據(jù)泄露給組織造成的損失。實(shí)際上，首席信息安全官需要了解：哪些因素會影響組織全面控制網(wǎng)絡(luò)安全風(fēng)險(xiǎn)所需的成本，以及在保護(hù)組織免受侵?jǐn)_時(shí)應(yīng)當(dāng)采取的各種決策。

有鑒于此，美國著名智庫蘭德公司近來率先開展了對網(wǎng)絡(luò)安全維護(hù)經(jīng)濟(jì)性研究，并于近期先后獨(dú)立和聯(lián)合發(fā)布了兩份相關(guān)的研究報(bào)告《網(wǎng)絡(luò)捍衛(wèi)者的困境——如何實(shí)現(xiàn)網(wǎng)絡(luò)安全》以及《網(wǎng)絡(luò)安全防御的經(jīng)濟(jì)性：針對不斷升級的網(wǎng)絡(luò)風(fēng)險(xiǎn)構(gòu)建安全投資模型》，對網(wǎng)絡(luò)安全維護(hù)工作的成本因素進(jìn)行了梳理，并編制了一個(gè)啟發(fā)性模型，以此預(yù)示未來十年網(wǎng)絡(luò)安全成本的基本走勢，并為組織和公共決策者如何以成本效益較好的方式來促進(jìn)網(wǎng)絡(luò)安全提出了一系列啟示和建議。……