《信息周刊》:中美IT安全对比

　　为什么您所在公司的IT系统比一年前更易受到安全攻击?

　　安全威胁的手段更高明，比如SQL注入漏洞攻击公司网络的途径更多，包括无线攻击

　　攻击的数量增加

　　更多恶意企图(比如身份盗窃、数据破坏、敲诈勒索等)

　　数据来源：《InformationWeek》与埃森哲咨询公司合作进行的2007年“全球信息安全调查”。全球3,092位商业科技和安全专业人士参与调查。该数据来自认为今年会更易受攻击的720位美国受访者。

　　最大威胁

　　下面各类安全威胁中，您所在公司最重视的是哪一种?

　　美国中国

　　65%75%病毒或蠕虫

　　56% 61%间谍软件/流氓软件

　　40% 40%垃圾邮件

　　26% 19%未经授权的雇员对文件或数据的访问

　　25% 22%外部人员偷窃客户数据

　　20% 16%网络钓鱼(Phishing)和域欺骗(Pharming)

　　19% 14%带有公司数据的可移动设备遗失或失窃

　　18% 15%知识产权失窃

　　13% 16%拒绝服务攻击或其他网络攻击

　　10% 13%僵尸网络(Botnets)对IT资源的远程控制

　　6% 5%对无线/RFID系统的攻击

　　3% 4% VoIP入侵

　　数据来源：《InformationWeek》与埃森哲咨询公司合作进行的2007年“全球信息安全调查”。全球3,092位商业科技和安全专业人士参与调查。该数据来自其中1,101位美国受访者和1,991位中国受访者。

　　量化投资

　　您所在的公司如何衡量在安全投入上的投资回报?

　　美国中国

　　43% 37%员工处理安全相关的问题的工作时间减少

　　35% 29%客户数据得到了更好的保护

　　33% 50%安全漏洞减少

　　33% 40%网络宕机时间减少

　　27% 26%改进了对知识产权的保护

　　25% 29%采取更好的风险管理策略

　　24% 46%用于处理偶发事件的时间减少

　　24% 9%我们不对此进行量化评估

　　注：允许多选。

　　数据来源：《InformationWeek》与埃森哲咨询公司合作进行的2007年“全球信息安全调查”。全球3,092位商业科技和安全专业人士参与调查。该数据来自其中1,101位美国受访者和1,991位中国受访者。

　　中国企业的惊人变革

　　尽管中国已深度参与全球化经济，但中国公司才刚迈入信息安全的早期阶段。

　　《InformationWeek》的全球信息安全调查暴露了对于中国而言的风险所在。由于中国面临着巨大的攻击威胁，我们的机构也许不会有闲暇用按部就班的方式来发展IT安全技术，常规的“进化过程”更不可能发生。

　　中国正在经历的情况与美国15年前的不同。全球化经济的需求使中国必须快速地与高级国际标准接轨。幸运的是，中国的机构为了在国际舞台上证明自己是安全和有控制力的，正加速自己发展安全技术的步伐。

　　例如，中国的公司在信息安全上的开支占全部IT预算的19%，而美国只有12%。这是个令人吃惊的数字。

　　调查显示的安全问题，无论来自美国还是中国的受访者，都与埃森哲咨询公司客户所反映的问题一致。他们需要评估IT安全风险、获得相关建议、降低安全复杂度、并量化安全投资的价值，这些要素也为安全开支提供了商业案例依据。

　　中国在这3个方面的注意力主要表现在基础架构上。这毫不奇怪，万事总要有个切入点。随着中国公司的关注深入到安全自动化领域，他们就可以从美国 公司的过往经验里获得帮助。现在美国公司开始认识到他们需要更灵活的IT系统以处理快速变化的流程和机遇，中国公司也正在逐步赶超。

　　我们的调查显示出许多中国公司已在吸取前人的教训。几年前，安全常常是亡羊补牢的事后措施。例如一家银行决定要增加一项客户服务，会在新服务已 经上线后，才考虑怎样加固它。现在的中国公司会说：“我们需要一项新服务，作为现有服务的一部分，安全需要怎样做?”于是，安全在设计初期就被考虑进去。

　　目前中国企业的安全还是采取专项解决的方式。逐渐地，庞大的修补工作量会令安全变得难以管理。如果中国机构能恰当地评估风险、制定安全策略的量 化方式而不是局限于继续对漏洞进行修修补补，他们也许就可以大步越过这个进化过程。尤其在面临先进技术如无线应用和服务导向架构时，高效的安全手段显得尤 为重要。

　　随着组织机构远离原来那种支离破碎的安全管理模式，他们就可以把安全嵌入到业务流程中，提供更好的整合度，把人工干预变得更自动化，从而提升管理和监控的效能。中国的机构也认识到，要获得高效的安全和达到真正的国际化水平，他们需要更深入与国际安全标准的接轨。