我们经常会看到各种关于安全泄露事故的危言耸听的头条新闻：X公司泄露了大量敏感数据，估计价值为(插入非常大的数字)，事实上，Ponemon Institute、Evalueserve/McAfee、Information Risk Executive Council和Verizon/U.S. Secret Service/Politie等机构将这些数据整理成了更易于理解的数据。在看完他们提供的数据后，你会感觉企业正面临着一场艰难的安全战争。

　　在《云安全框架：目前状态》的文章中，我讨论了系统工程和管理的原则，这种原则的前提是很简单的：

　　- 任何系统的边界都是由参与其中的各方的集体观念而定义的，虽然有时候是错误的。

　　- 相关工作越复杂，就需要更多的交互，和更复杂的解决方案

　　- 如果你试图专注于系统的单个技术或者业务部分，而排出其他部分，那么，相关工作的成功和有效性将会受到影响

　　将这个原则应用到安全投资，你会发现，如果企业想成功地解决云安全的各种挑战，它必须保持整个生态系统的一致性。不协调的单个组件可能造成更大的损失，这也是现在大多数企业安全战略面临的问题。考虑到这一点，让我们看看图1，并想一想安全成本应该如何计算。

　　图1：安全成本

　　泰坦尼克号沉没的命运告诉我们，让你沉没的通常不是冰山可见的部分，而是水面下的巨大冰山部分。安全成本计算也是相同的道理，在一般情况下，大多数与安全相关的成本都隐藏在水面下。这是传统框架面临的挑战之一，而当你从云社区角度来看这个问题时，这代表着完全不同的情况。

　　在一个典型的企业，你所看到的安全成本是直接安全成本，这些可以量化的费用包括人员、设备和软件。

　　另一个成本是间接安全成本，虽然仍然可见，但却很难量化，这包括培训、生命周期成本(例如设备和软件)以及管理费用。事实上，安全生命周期成本是进行智能投资的最大障碍之一。

(责任编辑：)