為什么一些商業科技專業人士對IT安全的看法如此矛盾？一方面，他們承認，計算機系統面臨的威脅無論就數量還是復雜性而言始終是有增無減；與此同時，他們又自以為已經控制住了局勢。而對于那些過分天真的人們來說，其公司及客戶會付出高昂的代價。

不久前，《InformationWeek》研究部和埃森哲咨詢公司（Accenture，下稱埃森哲）合作進行了第九年度“全球安全調查”，調查全面揭示了商業計算環境所面臨的各種威脅。在受訪者當中，有57%的美國公司表示在過去一年中曾遭受病毒攻擊，34%曾受到蠕蟲的攻擊，18%經歷了拒絕服務（Denial-of-Service，DoS）攻擊。另外，網絡攻擊和身份竊取發生的比例分別為9%和8%；而中國的情形更差一些，有23%的公司表示其客戶數據安全受到威脅，另有27%的公司遭受了身份竊取形式的攻擊。因此，受訪的2,193名安全專家和商業科技經理中有48%的人表示：對安全的復雜性進行管理已成為當務之急。國際商業機器公司（IBM）2005年和2006年對全球首席信息官（CIO）的兩次調查都顯示，信息安全始終在CIO關心的問題中排名首位。IBM全球信息科技服務部企業信息系統基礎架構業務大中華區技術總監周國祥分析說：“調查結果表明，生產的安全與穩定，風險的控制與防范，是CIO目前最關注的問題。”

不過當被問及與一年前相比，其公司的IT系統是否更易受到惡意代碼攻擊而出現安全漏洞時，只有11%的美國公司回答是肯定的；而其余的89%則表示，其IT系統的安全性并沒有降低或者與一年前大致相同。與去年的調研結果相比，今年企業對其系統安全顯示出更強的信心。去年，有84%的被訪者表示其公司面臨的安全風險不會增加。

當時，我們就認為他們過于樂觀了。現在，我們還要重申：IT專家中普遍存在的、已經做好應對一切問題的態度是危險的。盡管企業已為此部署了大量的防御措施（防病毒軟件、防火墻、入侵檢測和防范系統等），商業計算并非天下無敵。考慮到近年來由于各種數據系統的漏洞而產生的安全隱患，企業還需提高重視程度，更加謹慎。調查結果同時也表明，其他國家的IT專家顯然表現得更為謹慎：歐洲有13%、中國有16%、印度有24%的受訪者表示，與一年前相比，他們的公司面臨著各種風險，IT系統也更易受到攻擊。

事實上，企業面對的信息安全問題正在變得復雜化。從便攜設備到可移動存儲，再到基于Web的協作應用，乃至基于IP的語音技術（VoIP），每一類新產品都有新的安全問題與之相伴而生。系統在面臨著日趨復雜的威脅的同時，遭受攻擊的次數也日益增多。對此，安全專家和業務技術人員列出了企業所面臨的一長串挑戰，按比例依次為：提高用戶意識（41%）、加強安全策略（36%）、加強對系統訪問的控制（26%）、以及獲取更多的資源（23%）。

數據失竊倍受關注

過去一年中，最突出的安全問題是由于外部偷盜或內部疏忽而導致的數據丟失。2006年5月，美國退伍軍人事務部（Veterans Affairs Department）一臺帶有可移動硬盤的筆記本電腦失竊，該電腦裝有2,650萬條個人記錄，這無疑向其他公司發出了安全警告。埃森哲安全小組的全球管理合伙人阿拉斯泰爾?麥克威爾森（Alastair MacWillson）表示：“正是類似事件的發生，才促使企業做出相關決策。”一年前，迫使企業做出應對的事件是惡意軟件的攻擊；而今年，則是數據遺失及失竊。

客戶數據系統的漏洞越來越多。對于那些欲通過網絡欺詐或身份竊取而獲利的攻擊者而言，數據已成為其主要的攻擊目標；與此同時，安全專家也越來越多地發現，不僅是那些以恐嚇為目的、想制造麻煩的人對其系統虎視眈眈，同時旨在謀利的罪犯更是將企業IT系統當作了靶子。信息安全的首要問題從病毒轉為數據盜竊，易觀國際咨詢有限公司分析師王濤分析，這一問題增多的原因在于“電子商務和網上支付的快速發展。”

在去年的調查中，只有6%的美國公司表示，其客戶記錄安全受到某種形式的威脅，另有5%的公司表示其客戶身份曾被盜。今年，這些比例幾乎翻番，分別達到11%和9%。而在中國，有23%的公司表示其客戶數據安全受到危及，另有27%的公司遭受了身份竊取形式的攻擊。上海恒榮國際貨運有限公司（下稱恒榮國際）CIO高宏飛對這個調查結果表示認同，他說：“數據失竊在中國是非常嚴重的。通常是內部人員的行為，而且比例非常之高，主要是沒有一套完整的管理約束制度，幾乎所有的中國企業都面臨很大的風險，在中國的一個內部人員，能夠做任意處理數據的情況非常普遍。”

不斷增多的安全漏洞也引起了廣泛的社會關注，美國至少有33個州為此立法以強制企業報告客戶數據丟失情況。美國議會也在準備出臺幾項法案，以阻止消費者和財務數據的丟失。醫療聯盟集團公司（HealthCare Partners，下稱醫療聯盟）信息系統安全管理總監利奧?狄特摩爾（Leo Dittemore）認為，價值分析（VA）數據失竊可謂給保險和保健公司拉響了警報，以推動這些公司采取相應的安全防范措施。這些公司的雇員會將病人數據下載到筆記本電腦上，狄特摩爾相信肯定會有一些員工將這些信息帶回家。他說：“我并不反對人們在業余時間完成工作，但同時應該對數據加以保護。”而醫療聯盟很難阻止其雇員居家工作時仍然使用客戶數據，因為該公司是按工作量來計酬的，而所有的工作都會涉及那些文件。“我們采用的是按業績支付薪水的模式。”狄特摩爾說道。該公司沒有相應的內部規定，以對雇員下載病人信息的時間進行限制。狄特摩爾目前正在制訂相關措施，以控制對數據的使用和轉移。

訪問控制隱患

安全漏洞導致的最常見結果便是網絡和應用的癱瘓。而這對企業造成的經濟損失難以估量。在那些曾出現安全漏洞的企業中，分別有四分之一的美國和歐洲公司以及將近半數的中國公司無法量化其財務損失。但很明顯，損失極為慘重。瑞士銀行潘恩韋伯公司（UBS PaineWebber）的一位前系統管理員，即因在該公司的系統中部署了一顆邏輯炸彈而正在受審，其造成的損失非常高昂：全美約2,000臺服務器出現宕機，8,000多名經紀人的工作被中斷。該公司用于對系統進行備份并使其恢復運行的成本估計約為310萬美元，其中包括用于支付加班以及其他應急措施的費用。此外，該公司也無法量化此次攻擊對其營業額所造成的影響。

超過半數的業務技術專家表示，當企業現有和以前的雇員企圖危及系統安全時，安全技術、政策和培訓在阻止其制造安全漏洞方面幾乎起不到什么作用。與其他國家相比，內部威脅對美國公司來說更成問題。去年，將近四分之一的美國公司表示，授權用戶和雇員是引起攻擊的原因之一，印度公司、中國公司和歐洲公司的相應比例為22%、15%和11%。

許多IT安全經理表示，迅速膨脹的外部威脅占據了其太多時間，以致無暇顧及來自內部的攻擊。西門子威迪歐汽車集團（VDO Automotive）信息安全管理員喬?戴厄爾（Joe Dial）表示：“那些人真是瘋狂，很難阻止他們。”他又補充說，如果對內部安全威脅做出過激反應，還會阻止企業雇員使用其工作所需的信息。“我不能讓安全問題阻礙生產力的發展，但這確實是個兩難選擇。”狄特摩爾表示，最大的內部威脅往往來自那些未經批準就濫用數據訪問權限的系統管理員或檔案管理員；但他同時也承認，采取措施防止他們這樣做也并非什么上策。更艱巨的工作在于公司須對數據進行控制以及對外部威脅進行管理。

為了避免百密一疏，對數據訪問的控制在某些特殊的行業已經引起高度重視。如從事軟件外包的群碩軟件開發（上海）有限公司（下稱群碩）對數據的保護十分嚴格。群碩主要從事面向歐美的軟件外包業務，為微軟公司（Microsoft）、英特爾公司（Intel）等歐美大客戶從事最新技術的開發，保密性要求極高。在群碩，不同的項目組分割在不同辦公區，依靠門禁系統憑卡進入，謝絕外來人員入內，開發人員的電腦不能使用可移動存儲設備，辦公室里不設打印機和傳真機。群碩董事長兼總裁劉英武笑稱：“除了記在大腦里外，任何數據都沒有辦法帶出辦公室。”
在公司，內部控制訪問正在變得越來越普遍。互助保險公司Amerisure公司(下稱Amerisure)采用RSA安全公司的雙重認證來保護其IT系統。同時，該公司也已開始采用思杰（Citrix）瘦客戶機訪問慧智（Wyse）終端，遠程工作的員工不必再通過撥號上網了。這些終端既沒有硬盤也沒有軟驅，這樣用戶就難以攜帶數據。“如果你盜走的是臺瘦客戶機，那就等于什么也沒偷。”公司的企業架構師杰克?威爾遜（Jack Wilson）表示。Amerisure目前約有80臺筆記本電腦投入使用，多數為經理級人員所用，威爾遜計劃在明年初將這些筆記本電腦轉換為Citrix瘦客戶機。

在保護客戶數據方面，美國公司要領先于其他國家的企業，其具體做法包括：提醒雇員遵守隱私標準（64%）、保護網上交易（52%）以及通信加密（42%）。幾近半數的美國公司對雇員的內部電子郵件和網站使用情況進行監測，有多于四分之一的企業對即時通訊和外部電子郵件的內容進行監測。只有28%的美國安全政策規定：必須對客戶數據加密；那些丟失數據的企業正因為缺少此類規定而損失慘重。而中國公司和印度公司的安全政策則更傾向于強調：必須對所有的客戶數據加密。

在保護數據方面，身份管理系統等面向雇員的技術扮演著越來越重要的角色，有時它起著最根本的作用。醫療聯盟最近將其雇員口令由原來的六位延長至八位，同時它也在考慮采用單用戶同時登錄多系統的做法。更先進的安全手段包括感應卡和生物測定工具，用于控制對由多個保健專家共用的工作站的訪問。在醫療聯盟這樣的醫療保健環境中應用生物測定手段，有一個特別的問題，即有時用戶會拒絕觸摸傳感器，以免沾染上細菌。狄特摩爾說，雇員不愿意脫掉橡膠手套來留下指紋。受訪的美國公司中只有9%采用生物測定工具作為其訪問權限控制系統的組成部分。

換個角度看安全

許多企業都在不斷擴大安全開支，但并非每家公司都是如此。預計今年將有57%的印度公司、近一半的美國公司、42%的中國企業以及25%的歐洲公司會增加其用于信息安全的開支。據恒榮國際的高宏飛介紹，他所在公司今年在信息安全上的投入有所增加，占到整個IT預算的10%左右。這與全球信息安全調查顯示相吻合：平均而言，目前企業中多于10%的IT預算被用于信息安全。

不過也不是所有行業都是如此，由于中國證券行業的不景氣，中國的券商在信息安全方面的投入就顯得捉襟見肘。中信建投證券有限公司副總裁周志鋼介紹說：“由于證券行業普遍低迷，所以在信息安全上的投入減少。有些證券公司由于安全投入的不足，遭到病毒攻擊，或者由于設備的可靠性問題，導致交易系統崩潰。”

埃森哲的麥克威爾森警告說：將安全開支作為管理經費或者業務成本處理，以獲取更多資金投入的做法是錯誤的。相反，“關鍵在于要讓大家明白安全的IT環境如何有助于業務的發展。”他說，“在線銀行是信息安全起作用的最好例子，如果沒有安全系統作為保證，沒人敢將自己的賬戶信息放到網站上。”周志鋼也認為，如果經營狀況正常，券商一定會關注網上交易的安全問題。同樣地，當企業尋求與合作伙伴建立安全的合作關系時，信息安全對供應鏈整合也是至關重要的。

鎮北銀行（Town North Bank）的IT開支日益增加。但其CIO加里?法勒（Gary Farrar）表示，很難確定其中到底有多少用在了信息安全方面。“我無法弄清楚哪些錢是用于信息安全的，”他說，“每次實施一個新項目，安全都在我們的考慮范圍之內。”而在醫療聯盟，安全預算在IT總開支中所占的比例甚至不足1%。狄特摩爾不得不為獲得更多的預算而與公司所有其他部門，包括其他IT部門而爭個面紅耳赤。佛羅里達電力公司（Florida Power & Lights）將其IT預算的4%用于信息安全，但由于其正在部署用于身份和訪問管理的用戶配置管理系統，這一比例今年有望增加。

而且，企業幾乎無法確定信息安全的投資回報率。客戶數據系統出現一個漏洞，一下子就會花去企業上百萬美元；而如果根本沒出現漏洞，那么對完美工作的回報又是什么呢？用于評估安全投資回報率的主要方法包括：花在網絡安全上的勞動時間、網絡宕機時間的縮短、以及漏洞數量的減少。對此，群柏數碼科技有限公司市場總監王慧呼吁企業換個思維前進，他說：“隨著越來越多的企業和單位開始進行電子商務、電子政務、企業資源計劃（ERP）、辦公自動化（OA）等系統的部署，企業需要的是行之有效的安全架構來避免問題，或者說終結問題。企業應該系統地設計完善的安全架構，然后在關鍵節點投點小錢就好，這好過不斷地去添置防火墻。畢竟保護整個國家的是整個社會的穩定，不是士兵手中的那幾桿槍。”

好在有些企業已經開始告別“頭痛醫頭、腳痛醫腳”的被動局面。銀河證券有限責任公司（下稱銀河證券）部署的企業安全計劃（Enterprise Security Planning，ESP)就是一個有益的嘗試。銀河證券信息管理中心主任王恒說：“銀河證券的ESP屬于熱門的安全運營中心范疇，該方案是一個企業整體的安全管理流程，如果該流程運用合理，是有效地解決企業的網絡信息安全、管理安全等問題的最佳途徑。”

其實完全依靠金錢堆砌出來的信息安全防線看似固若金湯，但可能只是外強中干的“馬其諾防線”。信息產業部電信研究院信息管理中心主任武駿說：“企業應該有信息安全的規劃，按年度逐步實施。安全更多的是管理層面的問題，不是軟件技術所能夠全部解決的。”安全堡壘最容易從內部攻破，因此與花費昂貴的硬件產品相比，對內部員工進行良好的安全教育和風險管理事半功倍。美訊智網絡安全有限公司中國區銷售總監謝旭東說：“安全教育的手段非常多樣，沒有一個定式，不同的企業可以根據不同的情況發揮創新思維。”比如，在入職培訓時進行系統訪問安全、密碼安全、電子郵件使用、上網指南、軟件安裝、防病毒、加密、備份等基本安全知識培訓；編寫員工安全指南和安全期刊等。謝旭東說：“事實上，最大的安全元素還是人，企業要激勵員工參與到整體安全策略當中。”

信息安全無小事

盡管整體的安全架構十分重要，但企業并不能忽視一些“小事”。病毒、蠕蟲、間諜軟件以及垃圾郵件絕不只是令人討厭那么簡單，它們在任何地區都被當作最為重大的安全隱患――全球不同地區，分別有低至四分之一、高達三分之二的企業都對之非常重視。同時，破壞性的電子郵件附件攻擊并未徹底消失；30%的美國公司去年仍然遭受了很多此類攻擊。

值得注意的是，過去一年中，由于操作系統的漏洞而遭受攻擊的企業有所減少，只有28%，而2005年是43%；同時，來自病毒和蠕蟲的攻擊也減少了。但不幸的是，在這些威脅減弱的同時，來自其他方面的威脅卻極大地加重了。

在中國，有四分之一的受訪者表示，過去一年中，他們所在的企業經歷了身份竊取類攻擊；而在美國和歐洲，這一數字幾乎翻了三倍。在印度，病毒和蠕蟲可謂最常被提及的安全漏洞。佛州電力的信息安全總監約耳?加爾蒙（Joel Garmon）表示，盡管過去沒有比某些破壞性蠕蟲更嚇人的東西了，但“還是有很多新麻煩。現在每人都在用防病毒軟件，幾乎所有人都用防火墻，很多公司也都裝上了防范入侵系統。”

但上述這些基礎安全系統只不過是防御體系的第一道防線罷了，那些破釜沉舟的網絡騙子們還會如其過去一貫所為――照樣破門而入。CIO們一定深知，在信息安全方面，完美工作得到的獎賞遠不如對百密一疏的懲罰來得大方，但他們卻不得不努力讓企業更安全。 

sidebar1

企業聯手面對軟件安全漏洞

超過半數的受訪者表示，供應商應該從法律和財務的角度對產品的安全漏洞負責。

有缺陷的軟件是引起嚴重的安全隱患的罪魁禍首。對此，美國的商業科技專業人士們已經受夠了：超過半數的受訪者表示，從法律和財務的角度講，供應商應該對產品的安全漏洞負責。

總部位于美國弗吉尼亞州紐波特紐斯市（Newport News）的汽車電子廠商西門子威迪歐汽車集團（VDO Automotive，下稱威迪歐）的信息安全管理員喬?戴厄爾（Joe Dial）表示，為管理安全補丁軟件所要做的事簡直“令人痛苦之極”。盡管同時還負責管理公司的互聯網和其他網絡項目，但他還是將多數工作時間都用于給系統打補丁上了。

在管理補丁軟件方面，企業需要對軟件供應商給予足夠的信任，因為后者通常為了保護其知識產權而對他們是如何修復軟件漏洞的問題避而不談。微軟公司（Microsoft）就是這樣一家企業。它一般會在“補丁日”，即每個月的第二個星期二發布其系統補丁包，故這一天被業內的安全專家“親切”地稱為“Patch Tuesday”（補丁星期二）。戴厄爾說：“過去，這些補丁很容易被破解，這樣，你就得格外小心，但當你并不知曉微軟所提供的補丁包里都包括些什么內容時，這點就很難做到了。”

但他表示，至少微軟還能及時發布補丁包。甲骨文公司（Oracle）每季度才發布一次針對其軟件的補丁包，而那會中斷威迪歐IT系統的正常運轉。由于今年微軟在發布用于修復Windows Meta File格式文件漏洞的補丁軟件方面行動遲緩，第三方補丁軟件贏得了用戶的青睞，但威迪歐并不打算采用此辦法。“我可不會私下去訪問黑客或者解密高手的網站，僅僅為了對付我們的網絡所面臨的種種威脅而與他們私下達成協議。”戴厄爾說道。

盡管通用汽車公司（GM）將其IT業務全部外包了，但公司首席安全官（CSO）埃里克?里特（Eric Litt）仍然要為公司的系統和數據安全最終負責。雖然通用汽車公司獨立進行所有與IT相關的決策，但同時也需要軟件供應商的大力協助。里特希望供應商能提供足夠的有關新安全漏洞的信息，公司就能在供應商發布補丁軟件之前保護好其系統。但這并非易事。他說，真正的解決之道還在于供應商要提供更多安全產品。

sidebar2

外包服務商助企業修補安全漏洞

被訪問的美國公司中有四分之一至少將其部分安全業務外包給專業的管理服務公司。

其實，每位IT經理都有“第三只手”可用。如今，許多公司都采用將安全業務外包的形式來彌補其IT資源的不足，以此來降服企業所面對的日益增多的各種安全威脅。

實踐表明，對于中小型企業而言，外包服務尤其具有吸引力。因為這些企業由于自身資源不足，而很難完成對大公司而言通常不在話下的任務：對防火墻、防病毒軟件、入侵檢測和防范系統進行晝夜管理。

被訪問的美國公司中有四分之一至少將其部分安全業務外包給專業的管理服務公司。與去年相比，23%的美國公司計劃增加其安全業務外包開支，相應地，有45%的印度公司、24%的中國公司和16%的歐洲企業有同樣的計劃。

醫療聯盟集團公司（HealthCare Partners）屬于私有企業，擁有40家辦事處和3,500名雇員，它所面臨的最為嚴重的安全挑戰是防止基于網絡的攻擊，因此該公司考慮將監測防火墻和入侵檢測系統的任務外包出去。“那樣的話，我們的網絡就能受到24×7的全天候監控，而現在我們還無法做到這一點。”公司信息安全管理總監利奧?狄特摩爾（Leo Dittemore）表示。同時，該公司計劃支付給外包服務商的費用僅為現在公司網絡工程師總薪水的60%。

另一家互助保險公司Amerisure 公司，過去五年中一直將管理拒絕服務（DoS）檢測、入侵攻擊報警、以及防病毒軟件升級的任務外包給了VeriSign公司，其為此支付的服務費用為每年7.5萬美元。

盡管這比Amerisure自行完成這些工作的花費至少要高出25%，但這樣做的好處在于信息安全工作可以不受公司規模擴大的影響。而VeriSign則負責研究Amerisure 的入侵檢測記錄并將相應數據列入常規報告中。

sidebar3

安全措施因地而異

在全球各地，IT安全的基本內容都大同小異，但就保護業務數據和系統而言，在中國、歐洲、印度和美國卻又不盡相同。

調查表明，上述四個國家和地區的企業都將病毒和蠕蟲列為最受重視的三種安全隱患之一。但只有略微多于半數的中國公司購買了病毒檢測軟件，這與美國公司（84%）、印度公司（73%）和歐洲公司（72%）相比形成了鮮明對照。

不過中國公司的首席信息官（CIO）們對此并不認同，他們認為如果算上單機版的殺毒軟件的話，中國的比例不會如此之低。不過許多中國公司的CIO還是承認：如果是指網關防病毒設備或企業網絡防病毒軟件，大致與這個比例相符。去年，中國公司和印度公司遭受到的病毒攻擊最為嚴重，相應比例分別為85%和70%。

與其他三個地區相比，中國公司受到的蠕蟲、篡改Web腳本語言、以及網絡欺詐等類攻擊也最多；但其遇到的網絡釣魚攻擊卻少于另外三個地區：只有16%的中國公司表示曾遭受過此類攻擊。群柏數碼科技有限公司市場總監王慧分析，這是因為中國的電子商務、電子銀行本身沒有美國普及，“用得少，自然被釣魚的少”。

印度公司則對雇員未經授權訪問數據和知識產權失竊表示擔憂，相應地，在應用生物測定技術確定用戶身份方面他們也領先于其他地區：16%的印度公司采用生物測定工具保護其系統，與此相對，美國公司中只有9%、歐洲公司和中國公司各有4%這樣做。

分別有64%的美國公司和印度公司喜歡對那些違犯安全政策或程序的雇員采取罰款或其他懲罰手段。而歐洲公司的態度卻不那么鮮明：分別有35%贊成和反對采用懲罰手段，余下的30%不確定。美國公司和印度公司也更趨向于要求供應商從法律和財務角度對產品中的安全漏洞負責。

與一年前相比，只有11%的美國公司和13%的歐洲公司表示，其系統更易于受到惡意代碼攻擊并出現安全漏洞。而中國和印度公司卻沒有如此自信：相應的比例分別為16%和24%。

未來一年中，42%的印度公司和36%的美國公司已將對用戶遵守安全政策的情況進行監測列為安全工作重點。與此相對，只有12%的中國公司計劃要這么做；這些中國企業更指望IT能助其揭示安全隱患：43%的中國公司開始計劃安裝應用軟件防火墻。