2006年全球安全调查(1)
2006-11-01   

文/ 田强 Larry Greenemeier 译/赵红权

为什么一些商业科技专业人士对IT安全的看法如此矛盾？一方面，他们承认，计算机系统面临的威胁无论就数量还是复杂性而言始终是有增无减；与此同时，他们又自以为已经控制住了局势。而对于那些过分天真的人们来说，其公司及客户会付出高昂的代价。

不久前，《InformationWeek》研究部和埃森哲咨询公司(Accenture，下称埃森哲)合作进行了第九年度“全球安全调查”，调查全面揭示了商业计算环境所面临的各种威胁。在受访者当中，有57%的美国公司表示在过去一年中曾遭受病毒攻击，34%曾受到蠕虫的攻击，18%经历了拒绝服务(Denial-of-Service，DoS)攻击。另外，网络攻击和身份窃取发生的比例分别为9%和8%；而中国的情形更差一些，有23%的公司表示其客户数据安全受到威胁，另有27%的公司遭受了身份窃取形式的攻击。因此，受访的2,193名安全专家和商业科技经理中有48%的人表示：对安全的复杂性进行管理已成为当务之急。国际商业机器公司(IBM)2005年和2006年对全球首席信息官(CIO)的两次调查都显示，信息安全始终在CIO关心的问题中排名首位。IBM全球信息科技服务部企业信息系统基础架构业务大中华区技术总监周国祥分析说：“调查结果表明，生产的安全与稳定，风险的控制与防范，是CIO目前最关注的问题。”

不过当被问及与一年前相比，其公司的IT系统是否更易受到恶意代码攻击而出现安全漏洞时，只有11%的美国公司回答是肯定的；而其余的89%则表示，其IT系统的安全性并没有降低或者与一年前大致相同。与去年的调研结果相比，今年企业对其系统安全显示出更强的信心。去年，有84%的被访者表示其公司面临的安全风险不会增加。

当时，我们就认为他们过于乐观了。现在，我们还要重申：IT专家中普遍存在的、已经做好应对一切问题的态度是危险的。尽管企业已为此部署了大量的防御措施(防病毒软件、防火墙、入侵检测和防范系统等)，商业计算并非天下无敌。考虑到近年来由于各种数据系统的漏洞而产生的安全隐患，企业还需提高重视程度，更加谨慎。调查结果同时也表明，其他国家的IT专家显然表现得更为谨慎：欧洲有13%、中国有16%、印度有24%的受访者表示，与一年前相比，他们的公司面临着各种风险，IT系统也更易受到攻击。

事实上，企业面对的信息安全问题正在变得复杂化。从便携设备到可移动存储，再到基于Web的协作应用，乃至基于IP的语音技术(VoIP)，每一类新产品都有新的安全问题与之相伴而生。系统在面临着日趋复杂的威胁的同时，遭受攻击的次数也日益增多。对此，安全专家和业务技术人员列出了企业所面临的一长串挑战，按比例依次为：提高用户意识(41%)、加强安全策略(36%)、加强对系统访问的控制(26%)、以及获取更多的资源(23%)。

数据失窃倍受关注

过去一年中，最突出的安全问题是由于外部偷盗或内部疏忽而导致的数据丢失。2006年5月，美国退伍军人事务部(Veterans Affairs Department)一台带有可移动硬盘的笔记本电脑失窃，该电脑装有2,650万条个人记录，这无疑向其他公司发出了安全警告。埃森哲安全小组的全球管理合伙人阿拉斯泰尔•麦克威尔森(Alastair MacWillson)表示：“正是类似事件的发生，才促使企业做出相关决策。”一年前，迫使企业做出应对的事件是恶意软件的攻击；而今年，则是数据遗失及失窃。

客户数据系统的漏洞越来越多。对于那些欲通过网络欺诈或身份窃取而获利的攻击者而言，数据已成为其主要的攻击目标；与此同时，安全专家也越来越多地发现，不仅是那些以恐吓为目的、想制造麻烦的人对其系统虎视眈眈，同时旨在谋利的罪犯更是将企业IT系统当作了靶子。信息安全的首要问题从病毒转为数据盗窃，易观国际咨询有限公司分析师王涛分析，这一问题增多的原因在于“电子商务和网上支付的快速发展。”

在去年的调查中，只有6%的美国公司表示，其客户记录安全受到某种形式的威胁，另有5%的公司表示其客户身份曾被盗。今年，这些比例几乎翻番，分别达到11%和9%。而在中国，有23%的公司表示其客户数据安全受到危及，另有27%的公司遭受了身份窃取形式的攻击。上海恒荣国际货运有限公司(下称恒荣国际)CIO高宏飞对这个调查结果表示认同，他说：“数据失窃在中国是非常严重的。通常是内部人员的行为，而且比例非常之高，主要是没有一套完整的管理约束制度，几乎所有的中国企业都面临很大的风险，在中国的一个内部人员，能够做任意处理数据的情况非常普遍。”

不断增多的安全漏洞也引起了广泛的社会关注，美国至少有33个州为此立法以强制企业报告客户数据丢失情况。美国议会也在准备出台几项法案，以阻止消费者和财务数据的丢失。医疗联盟集团公司(HealthCare Partners，下称医疗联盟)信息系统安全管理总监利奥•狄特摩尔(Leo Dittemore)认为，价值分析(VA)数据失窃可谓给保险和保健公司拉响了警报，以推动这些公司采取相应的安全防范措施。这些公司的雇员会将病人数据下载到笔记本电脑上，狄特摩尔相信肯定会有一些员工将这些信息带回家。他说：“我并不反对人们在业余时间完成工作，但同时应该对数据加以保护。”而医疗联盟很难阻止其雇员居家工作时仍然使用客户数据，因为该公司是按工作量来计酬的，而所有的工作都会涉及那些文件。“我们采用的是按业绩支付薪水的模式。”狄特摩尔说道。该公司没有相应的内部规定，以对雇员下载病人信息的时间进行限制。狄特摩尔目前正在制订相关措施，以控制对数据的使用和转移。