2004刚刚过去了两个月，但对网络安全来说已经算是一个多事之秋了。MyDoom已经把它的名字永远地镌刻在邪恶病毒的历史名册上了。当然MyDoom也为网络安全公司创造了大宗的买卖，连续几天都没有收发邮件的老总们都会焦虑不安地向网络安全公司求助，而安全公司又会向客户大肆兜售一系列安全补丁来修补漏洞，然后宣布“好了，大功告成了”。我相信每个人都不难看出其中的圈套，问题被确认、执行解决方案、问题解决了、又出现了新的问题———如是往复不断……也许这就是整个信息安全产业最好的总结。

　　编写网络协议和软件系统的人根本就不会把安全放在心上，为什么是这样？如果因特网只限于学术和军事等有限的范围的话，那么大量的IT公司将不会存在。但是用户的大量增加和系统安全的缺乏也的确成了一个难题。为了解决这一难题，必须要对网络进行重重设防。几乎每个公司的网络都装置了复杂的防火墙、侵入追踪系统、网关防护和反病毒软件等进行保护。即便如此，仍然会不断出现一些安全问题和漏洞，这样的现状不能再持续下去了，必须要有新的变化。

　　让我们从最实际的问题说起，几乎所有的总裁在投入每一美元时都期望得知回报率是多大，然而投入网络安全的回报率是很难计算的，因此大多数公司因缺乏网络安全保护资金而暴露在攻击者的视野之下。每个人都希望新技术能带来新的收益，增加产量并减少成本。因此，每一个新的系统可能会带来丰厚的预期商业回报，但是一旦这个系统连入了网络，收益就并不是那么确定了。在这个因特网的世界里，安全是每一次商业投资取得回报的成本，也是这个充满网络邪恶的年代所应付出的代价。如果你为了节约开支而取消或减少了安全支出，你的公司和你的职业都可能会被你这种愚蠢的想法所葬送。

　　CEO们不能只为网络安全开一些“空头支票”，安全预算和投入应当与商业风险和收益联系到一起。IT业必须放弃以前把自己封锁起来的想法，考虑实际的商务环境和具体的基本安全问题，最终制定合理的用来安全防护的预算。这一切都要从最基本和最重要的安全分析入手：公司可能遇到的潜在的危险在哪儿？

　　一旦公司的系统受到攻击会遇到多大的损失？

　　谁有可能进入最关键的系统？系统的总体表现如何等等。

　　强大的信息安全已经变成了一个商业现实，MyDoom已经证实了这一点。IT公司在实施一项保护关键商务数据的全面安全计划时，肯定经过了对可能遇到的风险和安全系统投入成本之间的权衡。病毒不再会给你留下犹豫的时间，这似乎听起来有点耸人听闻，但残酷的事实已经发生或正在发生。随着无线技术、纳米技术以及IPV6的革新把信息技术的潜力进一步推向极致，安全问题只能变得更为复杂和昂贵。

　　当然安全防护也存在一个底线，那些及早解决安全问题的公司肯定会降低风险，而拖延甚至回避解决安全问题的公司不可避免会遇到商业波折、股票大跌或遭遇官司。