信息安全，富人当道

信息安全，富人当道
    最近几年，信息安全的话题被广泛讨论，很多企业都开始加强了信息安全工作的力度，那么信息安全工作该不该实施，该如何实施，实施的力度是多少呢？我这里讲针软件企业提一些浅薄的看法。

    我觉得信息安全应该是包含两部分的，一部分是外部安全，这些包括网络受到攻击、病毒、间谍软件、身份盗用、等等。另一部分是内部安全，这些包括内部员工偷走公司代码、无意泄漏、管理不善导致信息丢失等等，有调查发现，信息系统遭到的攻击中，一半以上是由公司自己的职员有意或无意引发的。超过三分之一的公司发生内部记录丢失或损坏的情况，或者系统崩溃。

    信息安全该如何实施呢？对于外部安全，我觉得途径包括安装防毒软件，启用高水平的安全程序，网络隔离，分级管理等。对于内部安全，我觉得包括对员工进行定期检查，访问限制、带宽限制、入口限制、不同部门之间访问控制、加强内部管理、封闭主机端口等。

    到底实施信息安全的成本是多少呢？

    我觉得信息安全的成本应该包含下面几部分：
购买安全产品的费用
   我们需要购买像防火墙，反间谍软件等软件，也可能包括一些特殊要求的硬件。需要在公司设置门禁、摄像头、录影系统、消防材料、检测攻击等。
人力投入的费用
  我们可能需要制定一些信息安全方面的规章制度，派人定制检查规章制度的实施情况，安排门卫等。
员工工作效率成本
  一些安全方面的实施，可能影响到了员工的工作效率。比如说，将公司的网络全部隔离，不允许其访问外部网络，这就会使得一个软件开发人员在碰到一个问题是不能到网上寻找解决方法，除非公司建立了很完善了知识库系统或者问题解答专家小组，可以很快解决软件开发人员在开发过程中碰到的大部分问题，不然将很容易影响到工作效率，因为经常是一个问题在网上很快就能找到解决方案，但是自己却想了很久也无法解决。有些公司专门提供了一些独立的电脑可以访问外部网络，不过这仍然会影响效率。另外，想强制对电脑进行病毒扫描，要求电脑定时锁定和设定屏保，定时对员工电脑进行检查，加强出差审批、携物外出检查，限制使用共享软件、非法软件等，这些都将影响员工的工作效率，在一些安全方面做得比较彻底的公司，员工的工作效率将只有原先的50％甚至更低。
员工积极性成本
  一些安全措施可能降低了员工的工作积极性，比如说限制员工上网（有些公司领导层认为限制员工上网可以增加员工的工作时间，但这也可能降低了员工的劳动积极性，孰优孰劣，值得推敲），对员工进行定期检查，对违反信息安全的员工进行处罚等。
员工忠诚度成本
  一些安全措施也同样会降低部分员工对公司的忠诚度，比如说，有些员工可能会对公司限制人身自由的行为感到不满，甚至故意偷偷做出一些导致信息泄漏的事情来。有些员工可能会因此而跳槽。

    那么，这些安全措施的实施效果如何呢？你可能花了很多人力财力搭建了一个安全环境，但是这可能形同虚设，可能很容易就被人攻破呢？你可能制定了一套详细的信息安全规定，但现实却发现很难实施，漏洞百出呢？
  比如说，你现在需要出差到客户那里处理一个软件系统出现的问题，但是，你必须带源代码到现场进行调试，才可以把问题解决，但是，公司又禁止了员工带源代码，那现在怎么办呢？不带源代码，那问题根本无法及时处理，带来的后果也许很严重。带源代码呢，有可能导致代码的泄密。也许，你可以给出差了员工配置一台专门的笔记本电脑，将源代码放到笔记本电脑中，并且在笔记本电脑中安装了一些跟踪软件，监视员工对源代码的操作情况。但是这样，能保证进行这样处理的效率使得员工能够即时赶到客户现场处理问题吗？能保证源代码不被泄漏吗？
  又比如，你现在需要跟外部进行联系（比如说现在用户，现场工程师，销售工程师），但是公司禁止使用了网络和邮箱、即时通讯工具等。那怎么办呢？用电话沟通吗（这可能很耗钱，有些事情可能电话上也说不清楚，又可能需要发送一些文件之类的东西呢）？你是不是在允许使用邮件，然后又在邮件里面增加监控，检查每个发送到外部的邮件呢？这能保证信息不被泄漏吗？

  一般来说，进行一些外部安全的防范是必要的，效果也是显而易见的。而进行一些内部安全措施的实施，可就不是这么简单的了。进行一些简单的投入，达不到效果。要达到效果，必须进行大量的投入，堵住可能出现的漏洞。

  现在一些小的软件企业，其盈利比较小，而且核心技术比较少，如果贸然实现信息安全的话，可能严重影响开发的效率，和投入大量的人力财力，并且收效很低。对于一些中型企业，有一定的核心技术，那么可以在信息安全方面适当投入，保护其核心技术。而对于一些大型企业，由于其经常是大众攻击的目标，也是最容易发生内部技术泄密的地方，所以应该加大在信息安全方面的投入。

  信息安全，将是大企业展示的舞台！