"50萬的安全建設投入，和1000萬的產品研發投入相比，誰更值得？"有人覺得當然是產品研發更值得，企業的核心資產就在產品研發上。那么，誰來保證這個核心資產的價值呢？先來看一則實際案例，A公司投資近千萬，耗時兩年打造了某產品。在該產品上市前1個月，B公司也在市場上推出了該產品。主要參數一摸一樣，價格卻減半。于是公司內部各種傳聞、猜疑聲四起。A企業的損失只是上千萬么？市場占有率呢？人員團結呢？--也許都是損失，不可估量的損失。這樣來看，50萬的安全投入，是否就值得了呢？

游俠安全網站長張百川挺贊成一句話：安全，成就價值。它本身不一定非要創造價值，但是卻可以幫助你實現價值。以上例子，則是***的說明。

說到安全價值，這可以回歸到IT部門的本源上。在很多公司，人們普遍認為IT部門都是消費者，都是花錢，需要買服務器、PC機、網絡設備等等。然而，沒有IT部門的規劃，目前很多信息化管理工作都需要回到最原始的狀態，例如紙質的以人為核心的辦公方式。而一旦回到那種狀態，工作效率降低了，公司的業績下滑了，賺錢少了，這不正意味著IT也是在賺錢嗎？"同樣的道理，我認為安全投入是非常必要的前期投資。"信息安全專家李洋博士肯定了安全投入的價值。

看來，安全投入當然值得，但是總覺得花著錢，卻看不見東西，對于企業經營者來說，這滋味也不是很好受。鄭州三全食品股份有限公司CIO周清湘做了一個有趣的比喻，說出了大多數企業的心聲：企業信息安全類似"交強險"，若不出現意外情況，感覺花錢買"保險"很冤枉；若出現問題，那就賺大發了。由此可以看出，安全產品其實是預防風險，而企業苦在雖然風險漂無不定，卻必須設防。

所謂保險，不怕一萬就怕萬一。萬一的情況雖然是萬分之一，但是一次損失可能就足以摧毀一個企業。要平衡好其中心態，首先，要重視安全風險。從內網安全的層面來看，正是由于內網中所面臨的不確定的安全風險點太多，外設、網絡、人員、在線溝通，所有點累計起來，就可能使信息安全風險提升到一個很高的角度。管理者不應該認為安全事件離自己很遠，就在今年，就發生了索尼PSN網絡泄密、韓國賽我網用戶泄密、富士康I-Pad2圖紙泄密等多個泄密事件，因為種種原因沒有公開披露的事件更多。其次，正確衡量安全風險。一個可能的安全事件所造成的影響，取決于該安全事件發生的幾率以及一旦發生所能造成的損失大小。假設一次信息泄漏事故發生的損失是1000萬，而部署對應的安全產品可能需要5萬元，這時，如果部署安全產品，這個安全事件發生的概率可能從30%下降到1%，你會怎么選擇呢？溢信科技產品總監黃凱強調，"對于手中握有重要機密信息的組織來說，從財務報表上看，安全不能給你帶來賬面收益，但卻能保護你的核心競爭力。" 三一重工是把安全風險看的比較清楚的企業之一，三一重工股份有限公司研究總院信息化經理譚俊峰表明安全投入對三一重工來說是絕對有價值的。"安全投入絕對不是花錢。技術是無形的，怎么樣從嵌入業務在到體現價值，應該是管理者必須要考慮的問題。"

總體看來，安全是有價值的，投入是必須的。而要體現價值，則是一個難題。制造業信息化專家黃培博士認為管理者要思考的這個問題，首先需要針對不同安全風險的級別，把錢花對，不然就真的是"花錢"不討好。"不同的企業，面臨的安全風險大小不同。比如擁有自己核心技術的企業，安全風險就比較大，簡單做來料加工的企業，安全風險就比較小。對于前者，投入巨資去做安全是很劃算的，因為這筆投入保證了核心技術不外泄，保證企業的生存能力，這屬于掙錢；而后者因為風險很小，只需做一些基礎的管理和防護工作就可以了，投入巨資去做安全就沒有必要了，那就屬于花錢。"

爭論"花錢"還是"掙錢"，無非也就是討論安全的價值。綜觀各位專家的觀點，都可以回到文首張站長的一句話：安全不一定為企業創造價值，但是它可以幫助企業實現價值。筆者認為，無論以IT現狀來類比，還是以保險作喻，這句話都可以作為企業對安全看法的參考。"安全幫助企業實現價值"這句話，可以一分為二來看待。一方面，安全"保證"了企業的價值，這是上文提到的"保險"的角度；另一方面，安全助力企業"創造"價值。安全已經滲入到企業業務流程的各個方面，不安全的環境給企業帶來的是諸多的困擾，病毒、斷網等都會影響企業的工作效率，在有限的高效工作環境中，"創造"價值的空間縮小。而在安全的環境中，企業會降低這些安全風險，無形中就有更多精力和時間去創造價值。

正因為它可以幫助企業實現價值，因而安全投入是必需的，這個道理大家都明白。焦點其實在于，怎么樣覺得這筆錢花的舒服。如上文所述，企業一定要重視安全風險，它并不是萬分之一的幾率，而是隨時有可能發生。其次要正確衡量安全風險，看它所保護的是多少的價值。這樣一想，安全投入就很劃算了。而要真正衡量內網安全究竟是"花錢"還是"掙錢"，應當通過企業要保護的數據對于企業的重要性來選擇投入。如果一個企業的敏感數據對企業影響小，那么安全投入大可以降低投入，過多投入也是浪費；如果一個企業的敏感數據對企業影響大，有上千萬或者企業全部身家的價值，那么就算是安全投入了十萬，也是百分之一的投入，杜絕了萬分之一的一敗涂地的幾率。當然，花好這筆錢，只是體現安全價值的***步。它的價值體現，還有待管理者們去繼續思考。

一些CIO們，在安全投入上非常謹慎，只在核心設計部門部署了加密產品。而這樣真的就能保證內網安全么，請關注下期內容。