高科技泡沫，房地產(chǎn)泡沫，所有人都在談?wù)撝菽幌胍獊睃c(diǎn)新鮮的么？看看IT安全預(yù)算的泡沫吧：他已經(jīng)破了。

上一個(gè)十年，每個(gè)財(cái)政年度的IT安全預(yù)算都是以30%甚至更高的比例在增長(zhǎng)。這種情況持續(xù)了很久，因?yàn)槠髽I(yè)高層認(rèn)為這很重要，而且經(jīng)濟(jì)的發(fā)展也足以承擔(dān)。然而，就像其他牽涉金錢的領(lǐng)域一樣，有人開始思考一些正確的問題了。伴隨著全球經(jīng)濟(jì)衰退，這個(gè)問題到來的越來越迅速，也越來越清晰。

簡(jiǎn)單來說，我們已經(jīng)知道：企業(yè)無法繼續(xù)負(fù)荷IT安全維護(hù)方面的支出。這與大幅削減用于員工，承包商，合同，和新項(xiàng)目預(yù)算等各方面的支出一樣明顯。CIO們必須向家庭婦女一樣把一分錢掰成6瓣得去做預(yù)算了。當(dāng)被問及IT安全支出的預(yù)期時(shí)，一位經(jīng)理這樣說：“我就像個(gè)賣鞋的皮匠一樣缺錢，怎么可能再去負(fù)擔(dān)一個(gè)如此荒謬的IT安全成本？”

即使是最大型的商業(yè)組織也被這個(gè)問題所困擾，一個(gè)CEO說道：“所有的員工都需要明白一點(diǎn)：從現(xiàn)在開始，我們都是一些隨時(shí)可以被替換的東西。”

在得到必要保護(hù)后， BILL（某金融服務(wù)公司CIO）講述了他的預(yù)估：“我們面臨著來自預(yù)算的巨大壓力。雖然近幾年這些花費(fèi)因?yàn)樘幚砹嗽S多重大風(fēng)險(xiǎn)而逐漸變得物有所值，但是我們已經(jīng)無力承載傳統(tǒng)型IT安全服務(wù)沉重的金錢支出，而這就是我們的現(xiàn)狀。”

因此當(dāng)被問及有效削減的具體計(jì)劃時(shí)，BILL是這樣說的： “作為一個(gè)組織，我們發(fā)現(xiàn)傳統(tǒng)的IT服務(wù)所消耗的金錢是無法削減的，無論哪個(gè)方面都是如此，比如內(nèi)部郵件等核心服務(wù)，一切支出都是出于安全需求和法規(guī)要求。我們一直在期待某個(gè)SaaS（軟件即服務(wù)）供應(yīng)商可以來幫我們砍掉近一半的維護(hù)郵件系統(tǒng)和桌面軟件運(yùn)行的開支；也期待一個(gè)云服務(wù)商能夠同時(shí)滿足法規(guī)約束，URL過濾和業(yè)務(wù)安全三個(gè)目標(biāo)，而這往往也意味著不低于甚至高于現(xiàn)在已有的負(fù)荷程度；但如果我們不這么做，安全預(yù)算的缺口將會(huì)把整條船拉進(jìn)冰冷的絕境之下。”

他隨即補(bǔ)充道：“據(jù)我所知，IT服務(wù)商的‘補(bǔ)救工作’簡(jiǎn)直就是無本生意，而新技術(shù)又總是讓他們愈發(fā)投機(jī)取巧——但是IT預(yù)算做的油水十足的日子一去不復(fù)返了；整個(gè)IT產(chǎn)業(yè)日新月異，相關(guān)直屬部門將持續(xù)減少，商業(yè)化程度將持續(xù)提高，這當(dāng)然也包括IT安全領(lǐng)域。安全工程師將來都會(huì)被轉(zhuǎn)化為會(huì)計(jì)或者商務(wù)人員，我們也會(huì)把許多技術(shù)/業(yè)務(wù)安全方面工作轉(zhuǎn)包給SaaS或者其他類似的供應(yīng)商。我們甚至希望由內(nèi)網(wǎng)私有云來進(jìn)一步壓縮安全開支以及提高開發(fā)周期效率。所有東西都擺在桌面上了，等到塵埃落定，我敢打賭安全預(yù)算和安全進(jìn)程將得到新生。”

 “這場(chǎng)賭博的大頭，比如微軟，已經(jīng)開始為那些用自身人力資源管理基礎(chǔ)設(shè)施的企業(yè)在云計(jì)算中提供傳統(tǒng)服務(wù)項(xiàng)目了。”

一位微軟的部門主管聲稱：Windows Intune（云工具）是為那些擁有超過500臺(tái)PC，又希望只要寥寥數(shù)人就可以對(duì)其進(jìn)行管理的公司開發(fā)的。

在當(dāng)今IT安全的震蕩中成功轉(zhuǎn)型是必要的，但是一旦基礎(chǔ)組件與飛速前進(jìn)的必須條件脫節(jié)，其結(jié)果將無法想象。在云產(chǎn)品的世界中，這些條件還隱藏在各企業(yè)基本需求的差異背后，在BILL所描繪的背景下，即使各類產(chǎn)品尚不能于眾多企業(yè)不同的需求同步，也堅(jiān)持盲目的轉(zhuǎn)型，其后果會(huì)是什么？

最近邁克菲（McAfee）的一項(xiàng)調(diào)查發(fā)現(xiàn)：仍然有近四分之三的中小企業(yè)(Small and Medium Business，SMBs)對(duì)來年的安全預(yù)算進(jìn)行了壓縮甚至凍結(jié)——盡管其中超過七成的管理者認(rèn)為只要一次嚴(yán)重的打擊就會(huì)使他們無法經(jīng)營(yíng)。預(yù)算的削減以及員工相關(guān)知識(shí)的匱乏意味著這些企業(yè)將被扔到一個(gè)恐怖的大漩渦當(dāng)中。松散的組織往往不能在必要領(lǐng)域取得所需的安全知識(shí)，或者不愿支付相關(guān)費(fèi)用，最終將在IT安全之路上走入歧途。

支付預(yù)算的壓力，不支付預(yù)算的危機(jī)，我們必然會(huì)在這一切重新得到控制之前，發(fā)現(xiàn)更多的違約案件，更大的經(jīng)濟(jì)損失。但是未來并非一片灰暗。

從目前的條件來看，云服務(wù)必將更快的成熟，就像分娩前的必然陣痛一樣，你會(huì)發(fā)現(xiàn)在允許范圍內(nèi)的IT安全服務(wù)，隨著更多的經(jīng)濟(jì)效率，將提供更大的成效；這意味著在未來即使是夫妻店這樣的小鋪面也能夠第一時(shí)間解決自己的IT安全預(yù)算。給這些種子足夠的發(fā)育時(shí)間，我們會(huì)看到更優(yōu)秀的IT防護(hù)林矗立起來。

（原文：The Unsustainable IT Data Center Security Budget）

wangliang