概述

随着企业对IT的依赖程度越来越高,对安全的投入也越来越高。安全建设的投入应该是多少呢?这个不能一概而论,需要根据企业的业务和阶段来分析,这个可以参考之前的《安全建设的原则》《安全建设的任务》

一、业界情况

美国白宫公布的2021年预算为例美国联邦政府一直高度重视网络安全投入,其2021财年IT总预算为922亿美元,其中网络安全领域总预算188亿美元,比2020财年高出14亿美元。网络安全预算占IT预算的20.4%,也就是说,美国政府在IT上每投入10块钱,就有2块钱花在安全上。事实上,美国政府在网络安全上的实际花费往往高于公布的预算,2020财年美国联邦政府申请的网络安全预算是174亿美元,但实际支出184亿美元。

我国网络安全投入占信息化的比重低于世界平均水平。IDC数据显示,我国网络安全市场占信息市场的比重为1.87%,和美国政府20.4%的比重相差十倍,同时也低于全球3.74%的平均水平,无法满足数字化发展的需求。

所以在政协北京市第十三届委员会第四次会议上,北京市政协委员、奇安信集团董事长齐向东建议:在重大信息化项目和关键信息基础设施中,将网络安全投入占比提高至15%以上,打造标杆项目。


二、国内政策

国内等级保护是对网络安全投入建设的一个主要法律法规。等级保护的分成五个级别

  • 第一级 自主保护级:(无需备案,对测评周期无要求)此类信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成一般损害,不损害国家安全、社会秩序和公共利益。

  • 第二级 指导保护级:(公安部门备案,建议两年测评一次)此类信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成严重损害。会对社会秩序、公共利益造成一般损害,不损害国家安全。

  • 第三级 监督保护级:(公安部门备案,要求每年测评一次)此类信息系统受到破坏后,会对国家安全、社会秩序造成损害,对公共利益造成严重损害,对公民、法人和其他组织的合法权益造成特别严重的损害。

  • 第四级 强制保护级:(公安部门备案,要求半年一次)此类信息系统受到破坏后,会对国家安全造成严重损害,对社会秩序、公共利益造成特别严重损害。

  • 第五级 专控保护级:(公安部门备案,依据特殊安全需求进行)此类信息系统受到破坏后会对国家安全造成特别严重损害。

信息安全等级保护工作包括定级、备案、安全建设和整改、信息安全等级测评、信息安全检查五个阶段。等保是企业安全的基准,帮助企业搭建安全框架,建立安全标准和安全制度,让企业的网络架构、核心资产、管理制度等每一个环节都有标准可循,完善企业安全纵深防御体系。

从实际投入来看,主要是咨询和买设备为主,价格差异也很大,就从二级看,投入有一二十万到大几十万甚至上百万的都有。


当然在建设安全的过程中还可以参考其他的模型比如:

网络安全成熟度模型CMMC

CMMC是一个基于数据保护为中心的安全成熟度评价体系。这个体系分成了17个域,每个域里面包含多个安全实践,CMMC体系文档中对每一条实践的描述说明并不详细,所以在实际的落地过程活动中,需要结合行业和组织的业务场景来开发细粒度的实践指南,通过安全运营实现PDCA。

十七个域分别是:访问控制、资产管理、审计和问责、意识和培训、配置管理、身份认证、事件响应、运维、介质保护、人员安全、物理保护、恢复、风险管理、安全评估、态势感知、系统与通讯保护、系统和信息完整性。

  • 一级基础级,需要满足17安全实践

  • 二级中等级:需要满足72安全实践。

  • 三级良好级:需要满足130安全实践。

  • 四级前瞻级:需要满足156安全实践。

  • 五级先进级:需要满足171安全实践。

三、成本分布

只要做安全建设都需要有成本,成本主要包括管理成本、人员成本、设备(软硬件)成本三部分

假设每年在信息化投入有1000万。按照比较高的5%的安全投入比例,每年大概有50万左右,在比例不变的情况下,如何分配就比较重要了。

国内情况从企业性质来看,越是偏向互联网行业越喜欢在人员成本上进行投入;越是传统行业越喜欢在设备上进行投入

比如互联网行业,可能招聘一个50万薪资的人员,或者一个30万一个20万左右的两个人员。至于怎么做就是你个人的事情,想在买点别的东西,大概率是不太可能的。所以他们大多数选择找开源或者免费的产品加上比较强的执行力和个人能力,也能很好的满足需求。

比如传统行业按照等保二级或者三级的要求,内部人员做成本相对低些,然后买一些防火墙,ips,杀毒软件,日志分析,堡垒机等产品堆起来。


国外的企业由于人力成本巨大,分两种情况:大多中大型企业比较倾向购买产品,中小企业倾向于托管,就是用云的方式减少成本。

如果金钱和技术可以解决安全问题,这个问题就不会成为今天的问题。这也是大多数人认可的管理和流程是解决安全的重要因素。大多数业务流程的搭建方式都是为了让它们尽可能地高效顺畅。搭建完成后,就会将它们交给IT团队来确保安全。

3.1管理成本

安全在大多数公司都是一个小部门,人数都比较少,管理成本“一般”不单列出来,或者说在整个成本占比中几乎可以忽略掉。

3.2人力成本

随着安全的发展,人员相对稀缺的矛盾凸显,尤其是高端安全人才的稀缺导致现在安全人员的整体工资居高不下。笔者没有找到近期权威的网络安全人才报告,只能从朋友圈和一些公司的招聘中初步分析,在稍微大的甲方中的安全负责人或者高级安全工程师的大概年薪在50-100万左右,当然也有一些超级大牛身价更高的。大多数中等的网络安全人有三五年工作经验的年薪最少在20-50万之间,甚至很多刚毕业的985,211的高校人才年薪都在这个范围内。


下面是收集到的这个行业的开发工程师的薪资可以做为参考:

国内的薪资:

图片

国外的薪资:

图片

图片

从中可以看出人力成本在安全中的占比是很大的。

3.3 设备成本

我们对安全设备投入假设一个保守的投入,这些设备包括:防火墙、杀毒软件、waf、日志分析、流量分析、堡垒机等几个。这些设备不同的公司差异非常大,但这些产品大多一次购买后都可以用三年,后面维保费用大多在5-15%左右。声明:这些数字是本人经过经验拍脑袋写出来的,不具有实际对照价值,仅仅是为了说明安全建设的投入所列出来的参考。

  • 高端:大概在150万之间。中端:大概在100万左右。低端:大概在50万左右。

  • 开源或者免费:采购成本0元左右。

这些仅仅是设备的成本,绝对不是安全建设的成本,刚才的介绍中安全建设还有很多人和管理要参与进来。

从整体投入看有个边界问题,就是当设备越多环境越复杂的时候,投入人加开源或者免费的成本越划算,当设备不是太多环境简单的时候投入人加商业产品的成本越划算,当设备非常少的时候比如在10台以内,投入托管的成本最低,这个情况更适合用云等。


四、开源免费产品或者商业的选择

开源或者免费产品,他们的安装包的获取是“免费”。当然,“免费”并不是意味着无成本。引用自由软件基金会的话:

“自由软件”是一个自由的问题,而不是价格。可以这么理解这个概念,应该把“自由”理解为获取自由,而不是使用免费。

自己酿造VS买现成的

我们用其他非IT行业来举例,比如啤酒。自己酿啤酒是很容易的,花点钱准备下硬件,研究一下如何使用,自己买些麦芽、啤酒花和酵母,就可以开始制作了。但大多数的人没有去自己做啤酒。如果酿啤酒是你的爱好,你喜欢尝试不同的技术,也有闲钱购买大玻璃瓶,专用设备和你自建的粮食加工厂等等,你就做吧。要酿出一杯好啤酒,有很多恼人的事情需要做。清洁、消毒,各种注意事项,不断重复,然后等待。。。等待。。。就为成功的发酵。你可能会省很多钱(如果你酿的多的话),但你肯定会浪费大量时间。对于多数公司来说,时间比金钱更宝贵。有时,你只是立刻需要一杯啤酒!而自酿啤酒的难点就是怎么确保每次都是最好的效果?

为什么IT行业自己酿造的机会多呢?这和分工有关系,大多数公司有运维部门,这些人是不太关注业务的。自己维护会有几个成本:

  • 学习使用的成本; 

  • 换软件的成本;

  • 人员流动带来的成本;

  • 业务理解和软件结合的成本。

更合理的角度看,甲方的人应该更多的成为自己公司领域的产品及业务的专家。获取这些所谓专家知识的精力,本来应该花在自己的产品上如果同样的时间和资源花在产品上,能否更好,更快,更稳定?你如何理解你对数据的需求?

当我们的其中一个客户有问题时,我们看到它的日志数据量以10倍甚至更大倍数增长。谁没有过在生产环境错误地启用了调试日志开关?当我们能管理尽量多日志时,这都不是问题,但如果你只是做了一个简单的日志方案时,这就是大问题了。这就是为什么任何日志管理系统都需要建立大量冗余以及强大的队列机制的主要原因。


如何让工具更好的服务于核心业务?

总的来说,开源免费软件VS商业软件的辩论,问题不在谁更好或更强大上。大多数时候,会简化为自建VS购买的讨论,要考虑使用、支持和维护等问题。

事实上,很多商业解决方案都是基于开源基础之上的,归究起来,问题就是:你是投钱和资源构建并维护自己的解决方案,还是购买给你的业务带来最好回报的解决方案?

如果你正在开发的初期,相比资金来说,更不缺时间,用开源免费可能是一个不错的选择。(至少应该是一次有趣的尝试);如果你已经不是早期发展阶段,你会发现作为单个个体的用户,你是很难从头学习掌握的非常好。你还需要处理维护、升级、中断、对接等。.


五、如何选择产品

不考虑投入产出比的选择都是耍流氓,每种方式各有优缺点。

首先要评估自身的情况,安全的需求,人员的技能,管理的方式等等。

然后根据目标确定是用更多的人更少的商业工具,还是更少的人更多的商业工具。可以从以下几个方面去选择产品:

1、产品

企业在考虑产品时,首先要考虑自身IT环境的需求,包括对操作系统的支持等等;其次要考虑整体平台和分享的需求,比如工具部署的复杂程度,是否支持分布式方案,是否支持大数据集群方案等等;最后再考虑产品本身的能力,比如工具的稳定性,大数据处理的性能如何,对可视化、权限管理等方面的支撑度等能力。

2、性价比

工具选型最后一个需要考量的标准就是性价比,对于企业来说保证以上三点的前提下,性价比一定是越高越好,而性价比也需要从成本和价格两个方面来看。

成本:主要是学习能力、使用成本;价格:价格是否在企业的预算之内。

3、服务

很多人都将关注重点放在了产品能力上,而忽视了服务的重要性,一旦工具在使用中出现问题,如果服务得不到保证,那么企业就需要再投入成本进行后期维护,这个过程将是及其困难和繁重的。

4、测试使用

很多产品在宣传上都下足了功夫,从宣传看,每个产品都无所不能,都很强大。但如何去辨别的,只能自己亲自测试使用下。很多产品是提供测试版本的,如果都不提供测试版本的只能说明你不是他们的目标客户群。

5、市场

所谓大浪淘沙,市场就是最好的试金石。激烈的市场竞争会自动淘汰掉产品能力差、生命周期短的工具,因此工具的市场占有率、行业地位、领先程度在很大程度上说明了其优越性,是IT进行选型的需要考虑的因素。


总结

整体上,安全建设成本没有一个标准公式,需要结合自身的情况去投入,但选择不同的方式不同的产品,会是投入上有很大的差异。不一定要最好的最贵的,适合自己的才是最好的。




相关分享:

安全建设的原则

安全建设的任务