sidebar2外包服务商助企业修补安全漏洞

　　被访问的美国公司中有四分之一至少将其部分安全业务外包给专业的管理服务公司。

　　其实，每位IT经理都有“第三只手”可用。如今，许多公司都采用将安全业务外包的形式来弥补其IT资源的不足，以此来降服企业所面对的日益增多的各种安全威胁。

　　实践表明，对于中小型企业而言，外包服务尤其具有吸引力。因为这些企业由于自身资源不足，而很难完成对大公司而言通常不在话下的任务：对防火墙、防病毒软件、入侵检测和防范系统进行昼夜管理。

　　被访问的美国公司中有四分之一至少将其部分安全业务外包给专业的管理服务公司。与去年相比，23%的美国公司计划增加其安全业务外包开支，相应地，有45%的印度公司、24%的中国公司和16%的欧洲企业有同样的计划。

　　医疗联盟集团公司（HealthCare Partners）属于私有企业，拥有40家办事处和3,500名雇员，它所面临的最为严重的安全挑战是防止基于网络的攻击，因此该公司考虑将监测防火墙和入侵检测系统的任务外包出去。“那样的话，我们的网络就能受到24×7的全天候监控，而现在我们还无法做到这一点。”公司信息安全管理总监利奥·狄特摩尔（Leo Dittemore）表示。同时，该公司计划支付给外包服务商的费用仅为现在公司网络工程师总薪水的60%。

　　另一家互助保险公司Amerisure 公司，过去五年中一直将管理拒绝服务（DoS）检测、入侵攻击报警、以及防病毒软件升级的任务外包给了VeriSign公司，其为此支付的服务费用为每年7.5万美元。

　　尽管这比Amerisure自行完成这些工作的花费至少要高出25%，但这样做的好处在于信息安全工作可以不受公司规模扩大的影响。而VeriSign则负责研究Amerisure 的入侵检测记录并将相应数据列入常规报告中。

sidebar3安全措施因地而异

　　在全球各地，IT安全的基本内容都大同小异，但就保护业务数据和系统而言，在中国、欧洲、印度和美国却又不尽相同。

　　调查表明，上述四个国家和地区的企业都将病毒和蠕虫列为最受重视的三种安全隐患之一。但只有略微多于半数的中国公司购买了病毒检测软件，这与美国公司（84%）、印度公司（73%）和欧洲公司（72%）相比形成了鲜明对照。

　　不过中国公司的首席信息官（CIO）们对此并不认同，他们认为如果算上单机版的杀毒软件的话，中国的比例不会如此之低。不过许多中国公司的CIO还是承认：如果是指网关防病毒设备或企业网络防病毒软件，大致与这个比例相符。去年，中国公司和印度公司遭受到的病毒攻击最为严重，相应比例分别为85%和70%。

　　与其他三个地区相比，中国公司受到的蠕虫、篡改Web脚本语言、以及网络欺诈等类攻击也最多；但其遇到的网络钓鱼攻击却少于另外三个地区：只有16%的中国公司表示曾遭受过此类攻击。群柏数码科技有限公司市场总监王慧分析，这是因为中国的电子商务、电子银行本身没有美国普及，“用得少，自然被钓鱼的少”。

　　印度公司则对雇员未经授权访问数据和知识产权失窃表示担忧，相应地，在应用生物测定技术确定用户身份方面他们也领先于其他地区：16%的印度公司采用生物测定工具保护其系统，与此相对，美国公司中只有9%、欧洲公司和中国公司各有4%这样做。

　　分别有64%的美国公司和印度公司喜欢对那些违犯安全政策或程序的雇员采取罚款或其他惩罚手段。而欧洲公司的态度却不那么鲜明：分别有35%赞成和反对采用惩罚手段，余下的30%不确定。美国公司和印度公司也更趋向于要求供应商从法律和财务角度对产品中的安全漏洞负责。

　　与一年前相比，只有11%的美国公司和13%的欧洲公司表示，其系统更易于受到恶意代码攻击并出现安全漏洞。而中国和印度公司却没有如此自信：相应的比例分别为16%和24%。

　　未来一年中，42%的印度公司和36%的美国公司已将对用户遵守安全政策的情况进行监测列为安全工作重点。与此相对，只有12%的中国公司计划要这么做；这些中国企业更指望IT能助其揭示安全隐患：43%的中国公司开始计划安装应用软件防火墙。

（信息周刊）