《信息周刊》:中美IT安全对比

　　美国和中国受访者在许多问题上的回应是相似的，但在许多方面也存有差异。例如，两国的首要攻击方式都是针对已知的操作系统漏洞——美国公司占 43%而中国公司占了压倒性的三分之二。对第二大攻击方式--已知应用漏洞，也同样存在比例上的差异，41%的中国受访者承认受到这种方式的入侵，而对比 之下美国的比例少于四分之一。这可能是因为中国盗版软件的使用比较猖獗而导致，埃森哲的麦克威尔森分析指出，“因为这样他们就没法升级更新补丁了。”

　　受访者反馈的其他攻击方法包括在电子邮件附件中包含虚假内容(26%和25%)，攻击未知的操作系统漏洞(两国分别为24%和31%的比例)。 然而这些入侵，还不是唯一需要担心的问题。804位美国受访者承认在过去一年里发生过数据泄密和商业间谍活动，18%认为这是非法用户的问题，而16%怀 疑是合法用户和员工所致。

　　与2006年25%的公司发生过数据泄露相比，该数字今年有所下降。这真让人意外，因为员工仍然是安全链上最薄弱的环节。加里敏(Gary Min)欺诈自己的前雇主杜邦化学公司(DuPont)，企图把公司价值4亿美元的商业机密卖给杜邦的竞争对手，被公司及时发现并向美国联邦调查局 (FBI)举报。就在众人眼皮底下，加里敏可以堂而皇之地访问到杜邦的电子数据图书馆(EDL)服务器上超大容量的文档摘要和pdf文件全文。该服务器 是杜邦公司存放保密和专有信息的主要数据库之一。加里敏从这台EDL上下载了22,000份摘要并访问过16,706份文档——在事发的时候他能访问到 的文件数量比仅低他一个访问等级的人竟高出15倍之多。他最后认罪并面临10年的牢狱和25万美元的罚款和赔偿。

　　除了纯粹的欺诈行为，员工也可能无法保护存放在公司IT资产(主要指笔记本电脑)上的数据。从员工的车辆和家中被窃的笔记本和移动设备数量惊 人。上个月一台保存有超过65,000份记录，包含美国俄亥俄州政府所有员工名字和社会保险号信息的计算机备份存储设备就在一位州政府实习生的车里被盗 了。在一年多前失窃的一台笔记本电脑保存有hotels.com公司的243,000份用户数据，包含姓名、地址、信用卡和借记卡信息。被窃地点是在安永 会计师事务所(Ernst &Young)一位员工的车里。“这些大多数都是因为人为过失或糟糕的业务流程所导致的。”麦克林风险伙伴公司(MacLean Risk Partners)的首席执行官(CEO)、前美国银行和波音公司的首席安全官朗达麦克林(Rhonda MacLean)这么认为。

　　类似地，尽管只有5%的受访者认为合同服务提供商、顾问或审计人员也是数据失窃的根源。但这不意味着就可以忽略他们。

　　在今年4月份，据报道美国乔治亚州社区卫生部(Department of Community Health)一个含有290万条记录的计算机硬盘在服务提供商Affiliated Computer服务公司遗失，该公司负责处理乔治亚州医疗保健支付申请，丢失的硬盘上有包括姓名、地址、生日、医疗补助，医疗保险识别号、社会福利号等 个人信息。

　　“如果合作伙伴或服务提供商有权访问我们的数据，我们会要求在合同里加入安全条款，使我们有权对他们进行安全监督并定期执行。”Web远程会议 公司WebEx的首席安全官兰迪巴尔(Randy Barr)表示。从2004年开始，他们的安全策略就要求所有能访问公司系统的承包商都必须经过背景调查。

　　你也许认为只要对员工与合作伙伴进行一番公司安全策略教育，就足防止一个老实人通过电子邮件、即时通信、或是点对点网络泄露客户的信息。如果这 样想，那可大错特错了。虽然2007年受访美国公司最关注的安全措施就是建立和强化用户对安全的意识，占37%。但这要低于2006年的42%。一小部分 的美国公司还计划安装更好的访问控制、监控和安全远程访问系统。在中国，公司更专注的是安装应用防火墙、更好的访问控制和监控软件。

　　只有19%的受访者表示安全技术和政策培训对消除与员工相关的安全威胁有重大影响，该数字与去年持平。“这可不只是给他们放几个视频就了事。”顾问麦克林回应道，“你要跟踪员工的培训，确保至少在培训结束后员工对你希望灌输给他们的安全理念有个基本认识。”

　　在过去一年里，加利福尼亚州兰乔米拉奇(Rancho Mirage)市艾森豪威尔医疗中心(Eisenhower Medical Center)正面临巨大变更，因为该机构开始从纸质病历向电子病历系统转移，这也给安全带来巨大的影响。“这给我们带来更重大的责任，以确保病人的数据 是安全的。”CIO大卫佩雷兹(David Perez)表示，“挑战不单是因为现在要改用在线数据，而且数据的超大容量也是个问题。几年前一次CAT扫描会生成250到500张图片，而我们的新系 统则会产生高达5,000张图片。”

　　随着越来越多的医生和医疗人员登陆艾森豪威尔医疗中心的内部网门户处理工作，佩雷兹和他的团队必须提高对安全的监控，并确保其符合健康保险流通 与责任法案(Health Insurance Portability and Accountability Act)的相关规定，使医生和员工只能访问各自的病历资料。“使用者在加入医疗中心时必须要签订保密协议，”佩雷兹说。“我们还会在员工门户站点张贴相应 的提示信息。”

　　老大哥式的做法

　　有些公司宁愿采用老大哥式的监控方法。在美国受访者中有的公司监控员工行为，其中51%的监控电子邮件，40%监控网站浏览，35%监控电话， 大致与去年的数字相同。然而，其它的数据泄露源头就较少受到关注：只有29%监控即时通信的使用，22%检查电子邮件的附件，20%监控向外发送的电子邮 件内容。而只有寥寥几个公司密切关注移动存储设备的使用。

　　然而，42%的受访者认为数据泄密是严重事故，一旦经过培训，员工就应该为导致安全泄密而受到解雇或惩罚。而顾问麦克林的做法则更严苛：“开除的处理是很严厉。但在某些事例上，这样的处理是恰当的，甚至可以提请民事甚至刑事诉讼。”

　　相当大一部分的受访者希望填补安全漏洞的责任由提供技术的安全厂商承担。46%的美国公司和47%的中国公司认为安全厂商应该对他们产品和服务里的安全漏洞负法律和经济责任。

　　公司机构对IT安全的不安也许可以归咎于大多数公司都缺乏一个集中式的安全主管来评估风险和威胁，并针对这些威胁进行整治。在大多数公司，安全 策略的设置都是合作进行的，包括CIO、CEO、IT管理人员和安全管理人员组成的团队都会提出自己的意见。艾森豪威尔医疗中心也没有首席信息安全官 (CISO)，而是依靠他的顾问组把握对常规管理条例的决策，而CIO佩雷兹则和系统管理员一起设置安全策略。“我们从各部门主管那儿收集信息，以确定他 们需要访问哪些系统和数据。"佩雷兹总结说，"这个你进我退，讨价还价的过程很有意思。医生们希望访问更便捷，而我们则尽量使系统更安全。”

　　在过去一年里，CISO的数量大大地增长了。大约四分之三的受访者表示他们的公司有CISO，对比2006年只有39%。CISO都是直接向CEO或CIO汇报工作。

　　就投资决策而言，半数的美国公司表示由CEO决定安全开支。在美国，高达37%的受访者表示公司的风险和威胁评估没有CISO的意见参与，而令人震惊的是有22%的公司说他们根本不会定期进行安全风险和威胁评估。

　　在美国，IT预算里用于安全的比例仍然很低;今年公司平均计划在安全上使用12%的IT预算，对比去年为13%。

　　而中国，则是另一种情况，他们在安全开销上相对大方得多：今年用于安全的IT预算占19%，对比2006为16%。有意思的是，39%的美国公司和55%的中国公司都期望2007年的安全开销水平超过去年。

　　情况听起来不妙，但也不用太紧张。随着信息安全变得越来越复杂——攻击者不断改变攻击手段和目标，而公司运用到业务中的安全产品也越来越多。所 谓魔高一尺，道高一丈。好的一面是大多数安全漏洞的处理方式已逐渐为人们熟知。安全的态度已经成为优秀员工或经理人的一种职业素养。