编者按：全球过半数的企业花了更多的钱来提高其IT系统安全性，但企业却并不认为自己比以往更加安全。

　　商业科技专业人士对IT安全正越来越迷惘。一方面，他们不断加大在信息安全方面的投入，但与此同时，他们又认为自己的企业更加脆弱，更加容易受到攻击。日前，《InformationWeek》研究部和埃森哲咨询公司（Accenture）合作进行了第10年度“全球信息安全调查”，调查全面揭示了商业计算环境所面临的各种威胁。调查显示，有55%的中国企业在信息安全领域比去年花费更多（见表2），但同时也有58%的中国企业认为自己的组织更加脆弱（见表1）。信息安全似乎走入了一个“道高一尺，魔高一丈”的迷局。

　　迷局直接来源于信息安全问题的日益复杂化。分别有49%的美国企业和46%的中国企业认为，信息安全问题的复杂性是企业面对的最大挑战（见表4）。国际商业机器公司（IBM）全球信息科技服务部大中华区企业IT安全服务产品线经理徐欢说：“2007年信息安全问题呈现多样化的趋势，而对企业信息资产的进攻正在成为突出的威胁，这就要求企业从运营角度衡量信息安全和风险，并基于风险管理的理念制订适合自身需要的安全管理架构进行有效应对。”树立风险导向意识，建立整体安全架构，跳出技术看安全才能帮助企业走出迷局，迈向整体安全的新境界。

安全威胁变局

　　同2006年的“全球信息安全调查”一样，对于半数左右的企业来说，电脑病毒、蠕虫等传统的安全问题依然是首席信息官（CIO）需要防范的重点（见表5）。前不久，高德纳公司（Gartner）发布的年度安全软件市场增长评估报告预测，2007年安全软件的销售额将在2006年全年82亿美元的基础上增长10.7%，其中将有53.8%、约为49亿美元的销售额来自反病毒市场。这说明传统威胁的压力并没有消失。

　　但是在传统威胁的背后，安全威胁的性质正在发生实质性的转变。趋势科技公司（Trend Micro）亚太区总裁兼服务事业群全球总裁刘家雍在接受《信息周刊》采访时说：“目前企业安全问题的最大特征是具有针对性的攻击越来越多，特别是银行这样的金融机构、网络游戏、电信运营商、电子商务交易平台，攻击以病毒的形式，背后是黑客的恶意行为，这样对企业的威胁就比较大。”现在的黑客和病毒编写者已经不再倾向于使网络瘫痪，他们更关注的是如何通过网络获取经济利益。通过木马程序等方式窃取商业和个人机密信息的行为，以及被远程黑客控制的计算机数量均呈上升势头。随着信息的海量增长，包括各种数据和应用的信息资产对于企业运营正发挥日益重要的作用，对企业应用和数据的进攻正在取代对企业网络环境的进攻成为主要的威胁（见表6）。

　　IBM一份专门针对中国企业安全性的调查显示，有38%的中国企业已经意识到，信息安全比实际犯罪对他们的业务更具威胁，企业的品牌和声誉很容易因此造成严重的损失。赛门铁克公司（Symantec）首席执行官（CEO）约翰·汤普森（John W. Thompson）在接受《信息周刊》采访时表示：“过去的问题更多的是关于病毒和蠕虫，同时他们现在也仍然存在。当今更大的挑战在于间谍软件、入侵防护检测系统、网络欺诈和网络犯罪，而这些恰恰是不能仅靠技术就可以解决的。”由此可见，虽然从表面上看，病毒和蠕虫依然猖獗，但各种攻击手段的不断混合，使得企业面临不断变化着的安全环境和不断加剧的威胁，这正是企业大量投入信息安全建设却仍然无法得到安全感的原因所在。“缺乏主动管理的手段，数据日志和安全报告越来越多，使得企业对于信息安全越来越没有信心。”群柏数码科技有限公司市场总监王铭杰说。

　　同时Web2.O等大量新应用的逐渐普及、无线接入以及手持移动设备的大量使用，安全威胁的渠道也变得更加多样化。拿移动电话和无线手持设备来说，现在越来越多的企业信息被储存到这些设备里。诺基亚公司（Nokia）企业解决方案事业部中国区总经理刘强说：“这些装置的核心都是微型计算机，当网络周边设备扩展至智能电话或PDA时，用户就需要考虑这些设备的安全性了。”比如在没有适当认证的情况下，不允许移动设备从公司防火墙以外访问公司的机密数据，用户配置文件不得保存在公司域外，在公司域外保存的任何企业数据都必须加密，并且必须经过认证才能访问。如果没有安全防护措施，新应用的引入之日，就是信息安全新隐患潜伏之时。