研究报告

《企业的IT安全支出趋势》非官方中文译本小序

时间 :  2015年02月10日  来源:  安天


            


        《IT Security Spending Trends》(企业的安全支出趋势)是2016年2月SANS发布的重要报告,其在对大量企业机构用户进行深入调研的基础上形成。鉴于本报告对于国内企业机构安全投入重要的参考意义,对于决策部门了解安全威胁和需求也有很好的借鉴作用。安天公益翻译小组曾突击翻译本报告,但因我们水平所限,初译版本错误较多。幸运的是,JOE老师在我们粗译版本基础上进行了全面的重译和勘误。形成了更严谨的最新译本。我们重新发布新版译文,以供信息安全决策者、研究者和同业参考。

 

安天综合调研部

 

        本报告系SANS研究所的权威分析师Barbara Filkins所著,旨在通过在线调查的方式,对企业的IT安全支出趋势进行分析。安天综合调研部跟进研判认为这是一份对全球各国信息化和安全建设有极为重要的参考价值的文献。因此安天公益翻译小组在8月5日跟进翻译并发布了这篇文章。但因小组成员的技术背景不足,对信息化的理解也比较浅薄,初译版本比较粗糙。这一版本有幸被安全专家JOE老师看到,指出了其中的大量问题。并花费了较长时间,进行了全面的重译,最后形成一份具有较高水准、忠实原意的中文译文。

 

        文中通过对169家机构进行采样调查, 72%的被调研机构来自美国,56%的被访谈者是主管与部门经理级别的管理人员。以此数据为基础,报告对2014财年、2015财年、2016年预算进行了统计和趋势预计。报告得出如下观点:虽然整体的信息科技预算在呈现下降趋势,但是企业的安全支出却在逐渐增加,这样的需求主要体现在信息科技预算规模在100万-1000万美元区间内的企业机构中。在这些企业中,最大的支出类别是技能(服务),其次是支持实现安全访问、恶意软件预防、端点安全和数据保护的技术等方面。文中预测,伴随着破坏防护和防御技术事件的增多,未来预计检测及响应将超过防御和保护成为今后预算的主要部分。

 

        长久以来,关于安全所需要的投入增长让国内一些机构踯躅不前,但从本质上看,当前我国信息安全发展所面临的首要问题并非是信息安全投入的增长,而是在有限的信息化预算中实现网络安全的合理占比。美国等发达国家网络安全在信息化中的占比20%以上,而我国网络安全投入在信息化占比中不足2%, 这个占比甚至低于印度。事实上,在传统领域,安全合理占比已经经过大量血的教训固化下来。比如,我们无法想象用户可以购置一台没有刹车、保险杠、安全带、安全玻璃等的汽车,儿童安全座椅也被强制性使用。ABS、安全气囊数量、胎压监测等更作为用户选择车辆的衡量指标。而在信息化领域,我们已经长期默许了缺少足够网络安全配套的信息化狂奔,部分机构负责人甚至把网络安全视为阻碍信息化发展的因素。然而,我国因此付出了沉重的国家安全成本和“全民”成本。

 

        本报告主要被调研机构,来自基础信息技术最发达,关键信息产品几乎完全本土供应的美国。但从其旺盛的安全需求我们可以看到,信息基础技术和产品的供应链安全投入, 不可能替代有效的检测、防御、响应等网络安全的能力投入。独立安全厂商是美国信息安全产业体系中,一个独立而强大的产业体系与层次。而在中国自主创新、网络强国的伟大道路上,优先达成网络安全产品、服务的自主化和国际输出,是一个切实可行的立足点。

 

        本报告展示了网络安全的综合需求,以及产品和服务的基础品类。以及需求和品类间的对应关系,这些过去被我们视为常识的内容,实际上我们过去的理解并不足够系统。本报告同时揭示了网络安全投入的多样性,安全投入是由复杂的不同维度的需求构成,这些投入夯实相关能力环节,形成一个纵深的防御能力体系。信息体系的安全防护不存在“永动机”和银弹,期望任何单一方法和产品“一招鲜、吃遍天”,“一劳永逸”只会是不切实际的幻想。

 

        本报告也值得国内的网络安全企业和从业者阅读,长期以来我们这些从业者或多或少的、不同程度的存在下列倾向:不关注用户的真实需求和产品的实际价值,而只关注成单;不对网络安全的威胁和需求进行全局研究,不对用户场景进行深入调研,只模仿跟进所谓的国际热点产品;不关注最终落地的能力价值,只追求技术优越性与快感。

 

        当然,我们不能简单的套用和模仿发达国家的情况,发达国家当前的信息安全需求,是建立在长期充分投入的基础上所建立的。其很多安全的基础环节,已经形成了能力基础。而我国依然有大量需要补课的内容,一些基础的环节,如基本安全规划、基本的应急处置流程和防火墙、主机配置加固、反病毒、补丁体系等环节,实际上同样需要得到扎实改进。

 

        当前,国内的安全投入依然以政府客户为主,一个围绕企业机构用户的刚性需求时代还没有到来。这需要安全厂商与机构客户共同努力,了解威胁,改善认知。但同时也需要我国建立更为完善的信息安全责任体制。

 

        未来,中国的企业和机构客户如何保护用户的敏感信息?如何有针对性的购买和使用安全防护产品和服务?如何制定安全预算和成本?这里面会有很多的未知数。但我们坚信:当一个机构有着完整、持续的信息安全预算的时候,它必将为机构带来价值和效益。
 

      注:这份文件可以向您认识的安天人索取。