目前安全技术投资占IT预算份额的3%～4%，今后，安全技术投资将以年平均8%～10%的幅度增长。对于安全投资结果来说，实用和适用是检验该投资是否成功的两大要素。

　　随着企业的商业数据、档案文件等核心价值资料越来越多地实现信息虚拟化，安全问题开始浮出水面，对网络安全建设的投资，成为当前各企业新一轮信息化建设的高潮。

　　在进行网络建设时期，各企业基本上都会有一些网络安全设备和措施。但是，在网络威胁越来越严重的今天，随着一轮又一轮大规模蠕虫病毒的疯狂发作，企业老总们对企业的安全防范纷纷加以重视。据国外一市场调研厂商于近日表示，未来两年内全球在与安全相关的技术上的投资将有所增长，达到全球2000家企业IT预算的5%～8%。

　　安全投资不能满足需求

　　近年来计算机病毒给全球企业造成的危害触目惊心，与之相比，企业安全投资显然相距甚远。统计资料显示：1999年，全球的损失是36亿美元；2000年，42亿美元；2001年，暴涨到129亿美元；2002年以后，每年均超过200亿美元。

　　提到企业的安全问题，人们最先想到的是最近几次大规模的病毒爆发。每一次的病毒爆发，带来的后果都是上亿美元的损失，中国也有数百亿美元的经济损失。目前，这种损失随着信息化建设步伐的加快，呈现出逐年增长的态势。

　　在国外，安全投入占企业基础投入的5%～20%，而在国内却很少超过2%，总额不会超过几十亿美元。

　　面对国外企业在安全投资上的大手大脚，国内的企业似乎有些过于谨慎，对安全投资的力度不足以应对网络威胁的泛滥，使得很多环节漏洞百出。在企业网络的各个环节中，只要有一个环节有漏洞，就不能认为这个网络是安全的。

　　目前，在企业安全投资加大的同时，各种威胁手段也变得更加高明。所以，表现出来的就是安全投资加大的速度还要慢于损失数额增加的速度。

　　2004年，通过电子邮件传播的蠕虫病毒来势汹汹，几个主要的病毒变种也以相当高的频率交替出现。同时，病毒的传播途径多样化，功能综合化的特点日益突出，另外，越来越多的病毒利用局域网共享这一途径进行传播，给病毒的清除带来一定的困难。病毒在躲避杀毒软件和防火墙等安全防护软件方面也日渐升级。例如，“网络天空”和“恶鹰”等病毒，在出现后的短短几个月中，每个病毒的变种数量就有三四十个之多，变种出现的速度也是前所未有的，时间间隔越来越短。在一段时间内，甚至达到一天一个变种出现的现象。变种如此迅速的出现，导致了网络混乱，病毒邮件满天飞的现象。

　　在信息化建设的过程中，企业用户必须明确建设网络的真正需求，舍得安全资金投入，针对自身的网络建立安全防御体系。现在很多企业在建设网络系统时，存在赶潮流的倾向，仅仅满足于建立网络、购买硬件和购置现成的软件，而对信息安全了解不充分，忽视了网络可能带来的各种安全问题。不同企业应该根据自身情况对安全提出明确需求，注意系统个性化建设。这个过程需要企业和安全厂商一起来完成。

　　做好安全投资预算

　　企业已经纷纷开始踏上安全投资之路，可是很多企业在此过程中，却始终困惑于到底该怎么投、投多少合适的问题。

　　企业在网络安全方面的投资预算最好包含以下三个方面的内容，以达到安全投资的价值最大化。

　　1、准确估算出需要保护的资料或系统的相应价值。对于容易被企业忽略、难估算的及没有办法客观计算的价值，像目前开发部门正在研发的新品方案或拟订的商业策略，该怎样去衡量它的未知价值呢？最好的计算方法是不妨跳过计算总值，用反向思维来考虑，如这些信息丢失的话，带给企业的损失是多少？

　　2、估算出构筑一个安全系统所需要的耗费。通常情况下，用户会觉得投入的资金远远小于受保护资料本身的价值，这是自然的。但是，在这个耗费的估算下，也要考虑到其与受保护资料本身价值的正比关系，以便于能正确选用产品。

　　3、黑客突破安全系统、窃取资料所需付出的代价。这个代价实际上就是企业对高中低端安全产品的选择。对于高端产品，黑客想要突破，就得付出巨大代价。考虑到这一情况后，企业再去设立一个难以琢磨的安全关卡就不容易被攻克了。

　　通常，一般企业在估算安全风险时，面临的最大难题往往是建立一个正确的衡量标准，但目前对于安全投资还没有固定的标准可以参考。事实上，即使是各方面都相似的两家企业，适用于一家企业的安全投资方案在另一家企业完全行不通也是有可能的。所以，需要企业分析同行业其他公司的安全投资在预算中所占的百分比，根据自己的安全现状和安全需求，调整好自己的安全投资在预算中的百分比，有目标地选择好适合自己的方案和产品，由此，达到安全投资的效益最大化。

　　选择可靠的安全系统

　　2003年9月，从事通讯服务的某省级公司(A公司)确定采用某知名安全服务商(N公司)的安全平台产品，11月开始施工，年底前竣工并基本测试完毕。公司确立的采购思想是，在无需大量追加固定资产成本的情况下，稳妥应对激增的内部网络流量，实现最小单位成本和IT投资价值的最大化。

　　基于以上投资策略，A公司的企业统一信息平台采用集中式建设方式，覆盖全省十多个市州分公司及省公司本部，共接入3000用户，全网采用星型结构，在各市州分公司设立汇接节点。所有服务器在省中心安装，主要服务器约20台套，其中关键应用采用HA配置，核心应用采用UNIX操作系统，其他应用采用NT操作系统。本次安全升级过程，A公司共采购了2套N公司某型安全平台(千兆防火墙)，两者之间设置HA，通过划分DMZ和军事区，利用异构防火墙隔离互联网。它们服务于企业信息化系统，含统一信息平台系统和MIS系统。

　　A公司引入N公司防火墙后，A公司用于实现互联网隔离的防火墙体系得到了进一步增强，成功实现了对省中心和15个节点客户端的完全隔离。受到新安全系统防护的信息网络，既可持续满足业务需求，又能最大限度地处于安全运行状态。

　　对于安全投资思路，A公司有关人士认为，其运营作业系统和IT网络，均系独特的企业资源体系，各自需要不同的管理解决方案，但它们是一组关联资源，应给予统一管理。合理的IT投资，对于公司业务的高效运行和拓展具有决定性价值，高性能的网络安全就是这一统一价值体系的命脉。

　　对于此次成功的安全改造投资，A公司CIO总结到：“关于网络安全升级，我们的一般思路是要让IT系统不受业务流程再造影响，能够集中部署、集中控制，尽量达到长治久安的效果。选择一个可靠的、管理方便的安全系统将降低企业的信息安全风险，减少企业在信息安全方面的总体拥有成本。”