最近，瞻博網(wǎng)絡(luò)與蘭德公司合作圍繞現(xiàn)代企業(yè)在抵御日趨復(fù)雜的網(wǎng)絡(luò)安全問(wèn)題上所面臨的經(jīng)濟(jì)挑戰(zhàn)、折中方案和各種需求，提出了全新的深入見(jiàn)解。蘭德公司是一家非營(yíng)利機(jī)構(gòu)，致力于通過(guò)開(kāi)展調(diào)研和分析幫助企業(yè)改善當(dāng)前發(fā)展政策與決策制定過(guò)程。

　　這項(xiàng)由蘭德公司經(jīng)濟(jì)和網(wǎng)絡(luò)安全方面的知名專家共同撰寫的深入分析報(bào)告顯示，很多首席信息安全官（CISO）在考慮如何以最具工作效率和成本效益的途徑來(lái)控制企業(yè)所面臨的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)時(shí)，往往感到缺乏頭緒，無(wú)從下手。研究報(bào)告指出，許多公司不斷花錢購(gòu)買形形色色的網(wǎng)絡(luò)安全防護(hù)工具，但事實(shí)上，他們對(duì)這些工具是否能發(fā)揮預(yù)期的作用并沒(méi)有多少把握。這已成為當(dāng)前企業(yè)網(wǎng)絡(luò)安全方面最棘手的問(wèn)題。

　　瞻博網(wǎng)絡(luò)認(rèn)為，造成這種現(xiàn)象的原因是，企業(yè)沒(méi)有建立一種科學(xué)的計(jì)算方法來(lái)權(quán)衡網(wǎng)絡(luò)安全工具和資源需要花費(fèi)的成本與發(fā)生數(shù)據(jù)泄露時(shí)給企業(yè)造成的損失。而企業(yè)對(duì)于后者沒(méi)有一個(gè)明確的定義，因而也是不可預(yù)見(jiàn)的。首席信息安全官需要了解哪些變化因素會(huì)最大限度地影響企業(yè)全面控制網(wǎng)絡(luò)安全風(fēng)險(xiǎn)需要花費(fèi)的成本，以及在保護(hù)企業(yè)免受侵?jǐn)_時(shí)應(yīng)當(dāng)采取的各種決策。為實(shí)現(xiàn)這個(gè)目標(biāo)，蘭德公司開(kāi)發(fā)了一種啟發(fā)式的經(jīng)濟(jì)模型，這種模型能夠形象地呈現(xiàn)出影響企業(yè)在防御網(wǎng)絡(luò)安全風(fēng)險(xiǎn)中所需成本的主要因素和決策，成為經(jīng)濟(jì)史上的一個(gè)新創(chuàng)舉。

　　蘭德模型預(yù)計(jì)，未來(lái)10年，企業(yè)在網(wǎng)絡(luò)安全風(fēng)險(xiǎn)控制上花費(fèi)的成本將增加38%。瞻博網(wǎng)絡(luò)認(rèn)為，現(xiàn)代企業(yè)應(yīng)當(dāng)盡快將控制網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的成本計(jì)劃和管理工作提上日程。盡管現(xiàn)有的經(jīng)濟(jì)模型有助于企業(yè)了解和實(shí)現(xiàn)他們的戰(zhàn)略營(yíng)銷或銷售目標(biāo)，但負(fù)責(zé)網(wǎng)絡(luò)安全的專業(yè)隊(duì)伍仍需尋找科學(xué)的方法來(lái)深入理解有關(guān)于控制網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的經(jīng)濟(jì)原理，其中涉及的各種可變因素，以及如何合理投資保護(hù)企業(yè)的網(wǎng)絡(luò)安全設(shè)施。

　　瞻博網(wǎng)絡(luò)認(rèn)為，蘭德模型中確認(rèn)了影響網(wǎng)絡(luò)安全風(fēng)險(xiǎn)控制的五大關(guān)鍵因素，這些因素應(yīng)當(dāng)納入現(xiàn)代企業(yè)的重點(diǎn)考慮范圍。

　　第一，大部分網(wǎng)絡(luò)安全工具壽命減半、價(jià)值大打折扣：黑客不斷針對(duì)諸如沙盒技術(shù)或反病毒技術(shù)等各種新型網(wǎng)絡(luò)檢測(cè)系統(tǒng)研究破解對(duì)策。這最終會(huì)導(dǎo)致企業(yè)必須不斷加大投資籌碼，引進(jìn)更先進(jìn)的網(wǎng)絡(luò)安全防護(hù)技術(shù)來(lái)抵御黑客入侵。根據(jù)蘭德的經(jīng)濟(jì)模型預(yù)測(cè)，未來(lái)10年內(nèi)，網(wǎng)絡(luò)安全防護(hù)技術(shù)的抗黑客能力將下滑65%�，F(xiàn)代企業(yè)必須在引進(jìn)新型的網(wǎng)絡(luò)防護(hù)工具之前對(duì)這些工具展開(kāi)細(xì)致的評(píng)估，從而選擇那些不易被黑客破解的工具，并專注于提高整個(gè)公司的網(wǎng)絡(luò)安全管理、自動(dòng)化和策略實(shí)施效力。

　　第二，物聯(lián)網(wǎng)(IoT)面臨重要抉擇：蘭德的經(jīng)濟(jì)模型顯示，物聯(lián)網(wǎng)會(huì)影響企業(yè)維護(hù)自身網(wǎng)絡(luò)安全需要花費(fèi)的總成本；然而，至今尚不確定這種影響是會(huì)造成企業(yè)成本的增加還是下降。如果在物聯(lián)網(wǎng)中使用科學(xué)合理的安全技術(shù)和管理方法，那么從長(zhǎng)遠(yuǎn)來(lái)看，企業(yè)在安全防護(hù)方面的花費(fèi)將下降。另一方面，蘭德模型表明，如果公司能夠積極有效地推行網(wǎng)絡(luò)安全控制措施，那么引進(jìn)物聯(lián)網(wǎng)反而會(huì)使公司在未來(lái)十年因遭遇黑客入侵而引發(fā)的損失增加30%。

　　第三，勞動(dòng)力投資可逐漸降低企業(yè)成本：以人為本的網(wǎng)絡(luò)安全投資能夠?yàn)槠髽I(yè)帶來(lái)巨大收益，這些投資包括引進(jìn)安全管理和流程自動(dòng)化技術(shù)、面向員工的高級(jí)安全培訓(xùn)以及外聘專業(yè)網(wǎng)絡(luò)安全維護(hù)人員。蘭德模型顯示，與在網(wǎng)絡(luò)安全方面不太活躍的企業(yè)相比，積極開(kāi)展網(wǎng)絡(luò)安全工作的企業(yè)在第一年的實(shí)踐中降低了19%的安全風(fēng)險(xiǎn)控制成本，而在第十年則降低了28%的成本。

　　第四，“通用”方法不可行：大部分企業(yè)在網(wǎng)絡(luò)安全方面的投資很可能都沒(méi)有采取最佳的經(jīng)濟(jì)戰(zhàn)略，而這些企業(yè)的投資規(guī)模、涉及的信息類型以及網(wǎng)絡(luò)安全工作人員的盡職程度都不盡相同。具體來(lái)說(shuō)，蘭德發(fā)現(xiàn)，基本的網(wǎng)絡(luò)安全工具和政策對(duì)中小型企業(yè)帶來(lái)的收益最多，而大型企業(yè)和高價(jià)值目標(biāo)的實(shí)現(xiàn)需要引進(jìn)全方位的策略與網(wǎng)絡(luò)安全工具，因?yàn)樗鼈兒苋菀壮蔀楦呒?jí)黑客瞄準(zhǔn)的對(duì)象。

　　第五，消除軟件漏洞可大大降低成本：蘭德模型顯示，當(dāng)前軟件和應(yīng)用程序中存在的漏洞是導(dǎo)致企業(yè)網(wǎng)絡(luò)安全成本增加首當(dāng)其沖的一個(gè)問(wèn)題。如果軟件漏洞發(fā)生的頻率減半，則公司的網(wǎng)絡(luò)安全維護(hù)總成本會(huì)降低25%。

　　為了將該模型付諸實(shí)踐，瞻博網(wǎng)絡(luò)發(fā)布了對(duì)蘭德經(jīng)濟(jì)模式的互動(dòng)式講解報(bào)告。這項(xiàng)新工具圍繞蘭德模型建議的網(wǎng)絡(luò)安全重點(diǎn)考慮因素，為企業(yè)提供了總體指導(dǎo)�，F(xiàn)代企業(yè)應(yīng)該在這些重要考慮因素方面投入大量時(shí)間和資源，以減少潛在的安全維護(hù)成本。