安全形势不乐观 信息安全调查揭露五大误区

申请免费试用、咨询电话：400-8352-114

日前，《信息周刊》研究部和国际商业机器公司(IBM)合作进行了2008年“中国信息安全调查”，这也是《信息周刊》以11年全球信息安全调查为基础，在中国开展的第四次安全调查，调查结果全面揭示了当前不容乐观的安全形势，对首席信息官(CIO)而言，安全威胁正在增多;环境日趋复杂;威胁手段更加多样，使得企业对安全问题愈发不敢掉以轻心。

首先，安全威胁数量的增长令企业遭受到了更猛烈的攻击。《信息周刊》2008年“中国信息安全调查”的数据显示，44.8%的CIO认为，所在公司比去年更容易受到恶意的攻击(原因选择见表1)。这一担忧在近几年的调查中一直居高不下，意味着企业一直面临着较高的安全威胁。目前，全球恶意程序已经超过1,100万个，而且70%的恶意代码能够窃取机密信息。“如果按照现在的增长速度，到2015年将会有2.33亿恶意程序，每小时会有26,598个新病毒需要处理。”趋势科技(中国)有限公司资深产品技术顾问徐学龙分析道。

庞大的黑客经济产业链也在为不稳定的安全形势推波助澜。在互联网上，只要付费，用户不但能订购恶意程序 ，还能保证该程序不被任何安全厂商检测得到。在国外某网站，发送100万封恶意邮件的报价只有8美元;窃取银行帐号类木马的报价是50美元;而不能检测出来的窃取型木马价格则略高一点，为80美元。

“从威胁的趋势来看，针对数据库的攻击会越来越多，给企业带来较高风险,”IBM中国区安全服务首席架构师李明表示，“除了关注应用层的安全，企业还要留心基于客户端的攻击，包括针对浏览器 及插件(Flash、媒体播放器)的攻击，这些威胁相对而言很难防范。”

面对瞬息万变的安全形势，企业并不是总能踏对鼓点。对症下药，寻找安全良方，避免种种安全的误区，才是长远的安全和发展之道。

误区1：最需要防御的未必得到足够重视

各类安全威胁中，企业最重视哪3类?从近几年《信息周刊》的调查来看，病毒和蠕虫，间谍软件，垃圾邮件3类威胁一直高居榜首(见表2)。可是，在实际的安全部署中，如果你把最主要的精力用于应对以上3类威胁上，才是最需要担忧的非安全之举。《信息周刊》研究部调查显示，实际上，数据安全的危害性正在日益上升，如未经授权的雇员对文件或数据的访问、带有公司数据的可移动设备遗失或失窃等，但是这一点却并没有引起企业足够的重视。

信息技术市场调研公司高德纳公司(Gartner)早些时候曾进行一项关于数据被窃的调查，发现被访者中，只有25%的个案是源于不法之徒的恶意攻击，60%的问题却是由于移动设备丢失或被窃。通过与赛门铁克公司(Symantec)、Check Point公司、趋势科技公司等多家安全公司的交流，本刊记者发现，便携式的移动设备，比如U盘、手机、iPod等，容量很大、携带方便，用这些移动设备读取数据时经常在不知不觉中，就充当了病毒的传播者。更可怕的是，有些移动设备一出厂的时候里面就带了木马病毒。而在企业当中，针对U盘等移动设备的控制手段相对较弱。

对策：当然，由于移动办公已经成为不可逆转的趋势，要商业人员减少使用U盘、笔记本电脑等移动IT设备是不现实的。Check Point 软件技术有限公司安全顾问吴航表示，治本的方法是协助他们加强数据安全，精确地说，是使用严谨的加密技术配合访问控制技术，令移动IT设备即使失窃，其存储的数据也会“守口如瓶”。

使用加密技术将有效减少移动设备在失窃时的数据风险。

误区2：攘外重于安内

要防范威胁，首先要了解威胁来自于哪里。“通常，人们都会认为来自于计算机黑客、恶意代码编写者等外部的安全威胁远远大于内部，实际情况并非如此。”赛门铁克公司技术经理曹如玮表示，一般企业安全范围的重点是在防范所谓的外部黑客攻击，但是超过一半的威胁恰恰来自企业内部，外部攻击仅占46%。

其中，企业内部的威胁中，50%的被调查企业表示是因为整个流程的文件处理不妥善;另外60%是员工不小心的错误。96%的内部安全威胁是来自于非蓄意的动机和错误;只有1%才是真正的恶意行为。由此看来，内部威胁之所以“为所欲为”，归根结底，还是员工安全意识薄弱。

一位业内人士曾经就这个问题拿U盘来举例，他指出，和欧美等国家相比，中国U盘传毒的问题越来越严重，并且一直没办法根绝，和员工缺乏安全意识紧密相关。通常，员工插取U盘时，很少会考虑到是否和公司的安全策略相违背，或者有可能引发公司的安全事故。

对策：尽管在防范内部威胁方面，大多数企业还没有拿出切实有效的方案。但是从《信息周刊》2008年的安全调查来看，57.6%的企业已经表示，培养并提高用户的信息安全意识，将是自己所在企业未来一年里，打算采取的最关键的安全策略。中国长江三峡工程开发总公司一位负责人表示，未来之所以越来越重视用户信息安全管理，要归结于多个因素：近几年对安全意识的讨论越来越多，为安全意识从“概念”到“落地”做好了准备;安全厂商也在推出越来越多的产品和方案;不少企业的成功应用案例，也提供了很多借鉴性的经验;当然，最关键的是，企业自身的确实存在这样的安全需求。该负责人所在的中国长江三峡工程开发总公司目前已经将落实统一身份认证管理，将加强安全意识纳入到企业的安全策略中。