编者按：全球过半数的企业花了更多的钱来提高其IT系统安全性，但企业却并不认为自己比以往更加安全。

　　商业科技专业人士对IT安全正越来越迷惘。一方面，他们不断加大在信息安全方面的投入，但与此同时，他们又认为自己的企业更加脆弱，更加容易受到攻击。日前，《InformationWeek》研究部和埃森哲咨询公司（Accenture）合作进行了第10年度“全球信息安全调查”，调查全面揭示了商业计算环境所面临的各种威胁。调查显示，有55%的中国企业在信息安全领域比去年花费更多（见表2），但同时也有58%的中国企业认为自己的组织更加脆弱（见表1）。信息安全似乎走入了一个“道高一尺，魔高一丈”的迷局。

　　迷局直接来源于信息安全问题的日益复杂化。分别有49%的美国企业和46%的中国企业认为，信息安全问题的复杂性是企业面对的最大挑战（见表4）。国际商业机器公司（IBM）全球信息科技服务部大中华区企业IT安全服务产品线经理徐欢说：“2007年信息安全问题呈现多样化的趋势，而对企业信息资产的进攻正在成为突出的威胁，这就要求企业从运营角度衡量信息安全和风险，并基于风险管理的理念制订适合自身需要的安全管理架构进行有效应对。”树立风险导向意识，建立整体安全架构，跳出技术看安全才能帮助企业走出迷局，迈向整体安全的新境界。

安全威胁变局

　　同2006年的“全球信息安全调查”一样，对于半数左右的企业来说，电脑病毒、蠕虫等传统的安全问题依然是首席信息官（CIO）需要防范的重点（见表5）。前不久，高德纳公司（Gartner）发布的年度安全软件市场增长评估报告预测，2007年安全软件的销售额将在2006年全年82亿美元的基础上增长10.7%，其中将有53.8%、约为49亿美元的销售额来自反病毒市场。这说明传统威胁的压力并没有消失。

　　但是在传统威胁的背后，安全威胁的性质正在发生实质性的转变。趋势科技公司（Trend Micro）亚太区总裁兼服务事业群全球总裁刘家雍在接受《信息周刊》采访时说：“目前企业安全问题的最大特征是具有针对性的攻击越来越多，特别是银行这样的金融机构、网络游戏、电信运营商、电子商务交易平台，攻击以病毒的形式，背后是黑客的恶意行为，这样对企业的威胁就比较大。”现在的黑客和病毒编写者已经不再倾向于使网络瘫痪，他们更关注的是如何通过网络获取经济利益。通过木马程序等方式窃取商业和个人机密信息的行为，以及被远程黑客控制的计算机数量均呈上升势头。随着信息的海量增长，包括各种数据和应用的信息资产对于企业运营正发挥日益重要的作用，对企业应用和数据的进攻正在取代对企业网络环境的进攻成为主要的威胁（见表6）。

　　IBM一份专门针对中国企业安全性的调查显示，有38%的中国企业已经意识到，信息安全比实际犯罪对他们的业务更具威胁，企业的品牌和声誉很容易因此造成严重的损失。赛门铁克公司（Symantec）首席执行官（CEO）约翰·汤普森（John W. Thompson）在接受《信息周刊》采访时表示：“过去的问题更多的是关于病毒和蠕虫，同时他们现在也仍然存在。当今更大的挑战在于间谍软件、入侵防护检测系统、网络欺诈和网络犯罪，而这些恰恰是不能仅靠技术就可以解决的。”由此可见，虽然从表面上看，病毒和蠕虫依然猖獗，但各种攻击手段的不断混合，使得企业面临不断变化着的安全环境和不断加剧的威胁，这正是企业大量投入信息安全建设却仍然无法得到安全感的原因所在。“缺乏主动管理的手段，数据日志和安全报告越来越多，使得企业对于信息安全越来越没有信心。”群柏数码科技有限公司市场总监王铭杰说。

　　同时Web2.O等大量新应用的逐渐普及、无线接入以及手持移动设备的大量使用，安全威胁的渠道也变得更加多样化。拿移动电话和无线手持设备来说，现在越来越多的企业信息被储存到这些设备里。诺基亚公司（Nokia）企业解决方案事业部中国区总经理刘强说：“这些装置的核心都是微型计算机，当网络周边设备扩展至智能电话或PDA时，用户就需要考虑这些设备的安全性了。”比如在没有适当认证的情况下，不允许移动设备从公司防火墙以外访问公司的机密数据，用户配置文件不得保存在公司域外，在公司域外保存的任何企业数据都必须加密，并且必须经过认证才能访问。如果没有安全防护措施，新应用的引入之日，就是信息安全新隐患潜伏之时。

树立风险导向意识

　　面对复杂的信息安全环境，单纯地通过购置安全产品已经难以防御，企业必须从信息资产管理的宏观角度建立整体的安全防御体系。“目前中国的安全市场仍然以安全产品的销售为主。厂家和用户从购置产品的角度看待威胁，在应对病毒破坏、黑客攻击等问题时，基本停留在兵来将挡的阶段。总体而言，企业在安全项目方面的回报并不很好，花了很多钱却没有花到企业需要用的地方。”IBM的徐欢说，“其中一个原因是企业难以认识到自己的风险所在，也就难以从投资回报的角度衡量安全投资。”同时，安全又是一个涵盖很广的领域，不同的厂家、集成商和用户对安全的理解各有千秋，但有限范围内最好的选择未必在全局上发挥最好的效果。

　　在单个安全威胁向混合安全威胁变化的趋势中，企业首先需要了解有哪些风险存在，预测、评估其发生的可能性以及对企业的影响程度，尽可能量化风险，然后根据优先顺序，采取适当的预防措施。从今年“全球信息安全调查”的结果可以看出，有24%的中国企业过去一年没有进行过风险评估，有44%的中国企业只是由IT部门的普通员工进行风险评估。（见表7）

　　风险评估机制的不完善造成了企业大量的信息安全投入收不到预期的效果。“你不能把面包和钻石放在同一个保险箱里。”王铭杰说。不进行风险评估，就等于把所有安全风险等同看待，这在安全威胁愈加复杂的今天显然会造成企业疲于应付。对于企业来说，树立风险导向意识成为当务之急，以把面包和钻石用不同的方法保护起来。“这不仅仅是一个IT系统的问题，”科索路咨询公司（Cosolu）高级咨询师梁晟说，“而是指将IT系统的风险与业务风险建立联系，把影响 IT系统的因素进行量化，然后确定这些因素对业务可能产生的影响。从业务的角度出发，建立风险的可能性与影响性的矩阵表，这样就可以看出各种IT设施和应对措施的优先级别。”

　　树立风险导向的信息安全管理意识，最终目的在于提高信息安全项目的投资回报，将IT风险作为企业运营风险中的一部分加以管理，为建立完整的安全架构打下基础，彻底告别“头痛医头，脚痛医脚”的被动局面。

建立完整安全架构

　　对整体安全策略的重视正是美国企业比中国企业在信息安全方面信心更强的原因所在，有78%的美国企业在进行风险评估之后所采取的措施是完善企业的整体IT安全策略，而中国企业更多的则是选择修补漏洞（见表8）。IBM的徐欢说：“对于多数企业而言，目前都已制订了相关的制度和流程，但还没有企业级整体的信息安全规划和建设，信息安全还没有或很少从整体上进行考虑。”但类似尝试已经展开。

　　中国太平洋保险（集团）股份有限公司（下称太平洋保险）的企业IT安全体系正在建立中，目前已经完成了项目的设计和开发，进入评估阶段。由于企业 IT安全体系的建立和实施涉及整个公司的各个层面，需要企业在IT建设方面建立相应的IT管理机制。为此，太平洋保险建立了从集团信息技术工作委员会的决策层，IT管理和专家组成的监控层，以及项目团队为实施层的管理框架。

　　在推进方法上，太平洋保险按照计划、开发、评估、推广4个阶段分步实施。在计划阶段，在分类和收集公司IT资产的基础上，进行安全风险评估工作。同时，通过安全需求分析，从管理体系和技术架构两方面设计了IT安全总体解决方案，确定IT安全管理体系框架。在开发阶段，对总体解决方案进行全面展开，将管理体系方面解析为安全策略、管理规范、用户行为守则等管理文档；并将技术架构分为用户管理与认证、安全事件的收集与分析等子系统进行单独设计。太平洋保险IT安全项目负责人、副总经理徐敬惠表示：“太平洋保险进行企业IT安全体系建设，目的在于通过科学、灵活地规划信息安全管理体系，真正达到规避风险，保障业务发展的目标。”现在，类似的整体信息安全体系建设已经在中国移动通信集团天津有限公司等企业进行建设。

　　可见，企业管理者已经不再将信息安全看作一个孤立的或是纯技术的问题，而是从企业运营的全局角度整体看待，制订与企业特点和成长潜力相适应的安全管理架构。值得一提的是，很多企业已经意识到了这一点。“全球信息安全调查”的结果表明，分别有44%的中国企业在制订企业IT策略时，总裁、CEO等管理层参与其中，美国这一比例为37%。（见表9）管理层的参与为企业建立完整的安全架构打下了基础。

表1：与一年前相比，你所在的公司是否更易受到恶意代码攻击，并出现更多安全漏洞？

　　美国    中国

　　16%    58% 是

　　51%    31% 一样

　　33%    11% 否

　　数据来源：《InformationWeek》和埃森哲咨询公司合作进行的2007年“全球信息安全调查”

表2：为什么你所在公司的IT系统比一年前更易受到安全攻击？

　　美国  中国

　　70%   56%  安全威胁的手段更高明，比如SQL injection漏洞

　　58%   46%  攻击公司网络的途径更多，包括无线攻击

　　49%   42%  攻击的数量增加

　　36%   41%  更多恶意企图（比如身份盗窃、数据破坏、敲诈勒索等）

　　29%   20%  预算限制

　　21%   19%  执行安全政策不利

　　19%   28%  高级管理层对此缺乏关注或兴趣

　　18%   42%  信息安全策略不完善

　　18%   34%  关键技术产品存在安全漏洞

　　17%   38%  补丁产品使用不当

　　13%    9%  采用或更多地采用外包服务

　　12%   15%  IT架构陈旧过时

　　10%   20%  安全产品不兼容或互操作性差

　　10%   17%  安全政策和技术跟不上组织结构的变化

　　10%   16%  内部开发的软件未对信息安全予以关注

　　9%    9%   雇用或更多地雇用临时员工

　　6%    1%  其他

　　数据来源：《InformationWeek》和埃森哲咨询公司合作进行的2007年“全球信息安全调查”

表3：与2006年相比，2007年你所在的企业在信息安全方面的投入有什么变化？

　　美国     中国

　　39%     55%  增加

　　4%      5%  减少

　　44%     29%  保持不变

　　13%     11%  不知道

表4：你所在公司面临的最大安全挑战是什么？

　　美国    中国

　　49%    46%   管理安全问题的复杂性

　　33%    48%   预防安全漏洞的出现

　　33%    18%   加强安全策略

　　28%    35%   提高用户安全意识

　　25%    16%   评估风险

　　21%    15%   获得充足的资金支持

　　20%    23%   控制用户对系统和数据的访问权限

　　15%    15%   缺乏管理层的支持

　　10%    14%   缺乏专业资源和专业知识

　　3%     0%   其他

　　数据来源：《InformationWeek》和埃森哲咨询公司合作进行的2007年“全球信息安全调查”

表5：过去一年中，你所在公司曾出现过哪类安全漏洞或遭遇过哪些类型的攻击？

　　美国   中国

　　49%   68% 病毒

　　35%   55% 蠕虫

　　31%   17% 网络钓鱼

　　17%   42% 篡改Web脚本语言

　　16%   21% 拒绝服务攻击

　　10%   18% 应用软件被操纵

　　9%   14% 身份盗窃

　　8%   13% 电信或未经授权的入口

　　7%    6% 移动（无线）应用入侵

　　6%   18% 数据库受到安全威胁

　　6%   12% 非法的资料或数据交易

　　4%   15% 内容管理系统漏洞

　　3%    1% 其他

　　17%    1% 无

　　10%    1% 不知道

　　数据来源：《InformationWeek》和埃森哲咨询公司合作进行的2007年“全球信息安全调查”

表6：表5的攻击对你公司产生了哪些后果？

　　美国    中国

　　41%     48%  网络瘫痪

　　32%     38%  包括电子邮件系统在内的业务应用系统瘫痪

　　24%     41%  信息的机密性遭到破坏

　　18%     21%  较小的经济损失
　
　　11%     40%  其他内部记录丢失或遭到破坏

　　9%     36%  系统遭到破坏

　　9%     17%  知识产权盗窃

　　8%     12%  身份盗窃

　　8%      8%  客户记录不可用

　　7%     15%  客户记录的安全性遭到破坏

　　5%      8%   主板/硬盘出现物理损坏

　　5%      3%  法律责任

　　5%      3%  欺诈

　　3%      9%  严重的经济损失

　　1%      4%  勒索

　　15%      1%  其他

　　数据来源：《InformationWeek》和埃森哲咨询公司合作进行的2007年“全球信息安全调查”

表7：你所在公司如何进行信息安全风险评估？

　　美国    中国

　　37%    44%   由内部IT团队（没有CIO）进行评估

　　32%    23%  由首席信息安全官带领内部IT团队进行评估

　　22%    24%   我们没有定期的安全风险评估

　　18%    21%   采用风险评估软件

　　17%    17%   内部审计团队和首席信息安全官一起进行评估

　　12%    17%   外包给风险评估服务公司

　　数据来源：《InformationWeek》和埃森哲咨询公司合作进行的2007年“全球信息安全调查”

表8：你所在的公司如何处理信息安全风险评估得出的结果？

　　美国   中国

　　71%    48%   完善IT安全策略降低风险

　　72%    60%   修补信息安全漏洞

　　34%    39%   策略性地应用评估结果来争取更多预算

　　5%    10%   没有采取特别的补救措施

　　数据来源：《InformationWeek》和埃森哲咨询公司合作进行的2007年“全球信息安全调查”

表9：你所在公司的信息安全策略由谁制定？

　　美国  中国

　　43%   23%  首席信息官（CIO）/副总裁/信息系统总监

　　37%   44%  总裁/首席执行官（CEO）/管理总监

　　27%   24%  经理/信息安全部门负责人/IT部门

　　24%   34%  安全管理部门

　　20%   14%  首席信息安全官(CISO)

　　19%   21%  安全管理员

　　12%    7%  内部审计部门

　　11%    8%  风险管理部门

　　9%   11%  首席财务官（CFO）/财务总监

　　8%    7%  监察委员会

　　8%    9%  顾问

　　数据来源：《InformationWeek》和埃森哲咨询公司合作进行的2007年“全球信息安全调查”

表10：未来一年中，从战术层面上讲，你所在公司将采取下列哪些安全措施？

　　美国    中国

　　37%    21% 培养并提高用户的信息安全意识

　　30%    33% 安装更好的访问控制软件

　　27%    31% 安装监控软件

　　27%    20% 确保远程接入安全

　　26%     6% 监控用户遵守安全策略的情况

　　23%    12% 进行安全审计

　　22%    18% 安装/监控入侵检测工具

　　19%    21% 进行风险评估/安全测试

　　19%    14% 对业务部门进行信息安全培训

　　18%    11% 建立无线网络安全

　　17%    10% 进行穿透性测试/审计

　　16%    38% 安装应用软件防火墙

　　16%    17% 整合安全系统

　　14%     9% 加强电信通信安全

　　12%    22% 部署身份管理软件

　　12%     4% 提供量化的风险管理方法/指标

　　9%     4% 降低安全管理的操作成本

　　8%     5% 建立手持设备安全系统

　　8%     8% 将业务部门纳入非常好的安全业务实践

　　5%    11% 创建手机/PC（终端）安全系统

　　3%    13% 采用BS15000/ISO 15000

　　5%     0% 其他

　　数据来源：《InformationWeek》和埃森哲咨询公司合作进行的2007年“全球信息安全调查”

（信息周刊）