2005年中國(guó)企業(yè)信息安全調(diào)查
中國(guó)企業(yè)的網(wǎng)絡(luò)和系統(tǒng)正在遭受越來(lái)越多的攻擊,,但許多公司至今還沒(méi)有建立起完善的防護(hù)網(wǎng)來(lái)保護(hù)自身的安全���。
隨著中國(guó)經(jīng)濟(jì)的發(fā)展�,越來(lái)越多美國(guó)公司開(kāi)始積極進(jìn)入這個(gè)新興的市場(chǎng)����。但在進(jìn)入這塊新大陸前,他們需要對(duì)本土企業(yè)����,也就是那些未來(lái)可能成為他們的客戶或商業(yè)伙伴的企業(yè)的IT安全水平進(jìn)行適當(dāng)?shù)恼{(diào)查和了解。然而����,與美國(guó)同行相比���,中國(guó)企業(yè)的IT系統(tǒng)安全水平令人擔(dān)心,他們不僅正受到越來(lái)越多的攻擊�;而且對(duì)出現(xiàn)的許多威脅顯得準(zhǔn)備不足。
很多美國(guó)人以為����,美國(guó)的計(jì)算機(jī)系統(tǒng)安全性令人擔(dān)憂�����。但相比之下�,中國(guó)企業(yè)的安全環(huán)境就更薄弱些:他們不僅遇到更多的病毒、蠕蟲(chóng)�����、DOS攻擊以及身份盜用等問(wèn)題��,而且在面對(duì)攻擊時(shí)����,還存在保護(hù)不到位�����、預(yù)算比較有限等情況��。
“2005年中國(guó)企業(yè)信息安全調(diào)查”是《信息周刊》英文版與管理咨詢機(jī)構(gòu)埃森哲咨詢公司(Accenture)合作在9月進(jìn)行的“2005年全球信息安全調(diào)查”的一部分�����。這個(gè)調(diào)查通過(guò)網(wǎng)絡(luò)在線進(jìn)行�����,對(duì)700名中國(guó)企業(yè)的商業(yè)科技和安全專業(yè)人員進(jìn)行了調(diào)查��。我們將這個(gè)調(diào)查結(jié)果與對(duì)2,540名美國(guó)商業(yè)科技企業(yè)和安全專家的調(diào)查結(jié)果進(jìn)行比較分析后��,得出的大致結(jié)論是:中國(guó)企業(yè)在許多方面還需努力追趕����,同時(shí)�,中國(guó)企業(yè)也非常明白這一點(diǎn)。
對(duì)于信息安全問(wèn)題��,中國(guó)的受訪者們都表示出擔(dān)心���。接近半數(shù)(46%)的人認(rèn)為��,他們的公司要比上一年更容易受到病毒代碼的攻擊��,遭受更多的安全攻擊�。他們指出,公司的安全狀況之所以變得更加脆弱����,首當(dāng)其沖的原因就是安全威脅的手段越來(lái)越高明,攻擊方式變化多端��,攻擊的數(shù)量也越來(lái)越多�。
許多中國(guó)公司都沒(méi)有啟用高水平的安全程序����。很多受訪者表示,他們的公司在過(guò)去一年更易受到攻擊威脅�,或者受到攻擊威脅情況與上一年水平差不多。在這些受訪者當(dāng)中�,有49%的人將他們易受攻擊的原因歸咎于缺少信息安全策略,42%的人則把矛頭指向了過(guò)時(shí)的IT架構(gòu)�,還有26%的人提到軟件補(bǔ)丁程序不足這一問(wèn)題。
復(fù)雜程度(55%)�����、用戶意識(shí)(53%)和預(yù)算限制(30%)是他們面臨的最大挑戰(zhàn)?����!拔覀冋谂逃龁T工認(rèn)識(shí)IT安全的重要性���。但如果投資不夠的話��,事情就不會(huì)有多大改觀�����?����!鄙虾:銟s國(guó)際貨運(yùn)有限公司(下稱“上海恒榮貨運(yùn)公司”)首席信息官(CIO)高宏飛表示�����。上海恒榮貨運(yùn)公司兩年前就開(kāi)始實(shí)施信息安全規(guī)定����,告知員工有關(guān)行為標(biāo)準(zhǔn),但自此之后���,公司并沒(méi)有定期審查過(guò)這些規(guī)范�,高宏飛補(bǔ)充說(shuō)�。“過(guò)去一年中���,我們通過(guò)網(wǎng)絡(luò)隔離�、帶寬控制��、訪問(wèn)限制�、入口限制,以及不同部門之間的訪問(wèn)控制來(lái)加強(qiáng)內(nèi)部管理���。”高宏飛介紹說(shuō)���,“這些措施對(duì)我們的信息安全能帶來(lái)一些積極的作用��,但還遠(yuǎn)遠(yuǎn)不夠����。”
錯(cuò)誤理解
51%的中國(guó)企業(yè)2005年的信息安全投入等于或低于10萬(wàn)美元���。
經(jīng)過(guò)市場(chǎng)經(jīng)濟(jì)的多年洗禮�,中國(guó)的經(jīng)濟(jì)發(fā)展日趨活躍�����,并日益受到全球市場(chǎng)的關(guān)注���。2004年�,中國(guó)成為外國(guó)投資的第二大目的地市場(chǎng)��。2005年8月�����,雅虎公司(Yahoo)以10億美元加上其中國(guó)分公司的代價(jià)���,獲得了中國(guó)著名電子商務(wù)企業(yè)阿里巴巴公司的40%股份���。而在9月�����,通用電氣公司(GE)的保健部門又投資3,750萬(wàn)美元��,擴(kuò)建上海生產(chǎn)基地�����。數(shù)天后��,通用電氣公司又宣布購(gòu)入深圳發(fā)展銀行7%股份����,股票價(jià)值約1億美元����。通用電氣公司的目標(biāo)是,今年在中國(guó)的銷售收入將達(dá)到50億美元���。
但由于具體的國(guó)情�����,政府的一些措施還是對(duì)企業(yè)在面臨高科技威脅時(shí)的思維方式產(chǎn)生了重大影響�����?��!爸袊?guó)對(duì)互聯(lián)網(wǎng)應(yīng)用有著相當(dāng)嚴(yán)格的控制,這使得許多公司認(rèn)為中國(guó)的互聯(lián)網(wǎng)環(huán)境足夠安全���,他們無(wú)需主動(dòng)采取措施防范惡意軟件(Malware)的攻擊��?!鳖櫮芄荆℅artner)互聯(lián)網(wǎng)安全副總裁約翰·佩斯卡托(John Pescatore)分析認(rèn)為�����,“當(dāng)商業(yè)服務(wù)����、PC和互聯(lián)網(wǎng)連接缺乏適當(dāng)保護(hù)時(shí),就會(huì)成為安全威脅實(shí)現(xiàn)攻擊的理想渠道�。”
關(guān)注
這些問(wèn)題并非不能克服�。“中國(guó)企業(yè)在如何處理安全問(wèn)題上愈發(fā)成熟�?��!蹦晔杖脒_(dá)130億美元的電子元件和電腦分銷商安富利公司(Avnet)CIO愛(ài)德·卡明斯(Ed Kamins)認(rèn)為,“我們不應(yīng)為此而擔(dān)心或驚慌���。實(shí)際上����,我們需要了解安全問(wèn)題并且做好準(zhǔn)備��。他們總有一天會(huì)如我們所愿����,變帽冉險(xiǎn)!�����!?/P>
位于美國(guó)鳳凰城的安富利公司于5年前開(kāi)始進(jìn)入中國(guó)擴(kuò)展業(yè)務(wù)���,在此期間收購(gòu)了數(shù)家公司���。如今這家公司在中國(guó)大陸和香港地區(qū)分別擁有3家運(yùn)營(yíng)公司?����?偟膩?lái)看����,亞洲分公司每年的營(yíng)業(yè)額超過(guò)20億美元,其中大部分來(lái)自中國(guó)���。
安富利公司的方法�,就是將其所收購(gòu)的本土企業(yè)的系統(tǒng)與自己原有的系統(tǒng)相整合�,構(gòu)成一個(gè)全球性網(wǎng)絡(luò)和統(tǒng)一的應(yīng)用平臺(tái)。
安富利公司將公司分布在亞洲地區(qū)的企業(yè)資源計(jì)劃(ERP)系統(tǒng)整合到SAP系統(tǒng)中�,同時(shí),公司的全球網(wǎng)絡(luò)使其可以集中管理和監(jiān)控安全漏洞并安裝補(bǔ)丁�����?��!拔覀円步?jīng)歷了一些常見(jiàn)的安全威脅的攻擊���。不過(guò),我們經(jīng)受住了考驗(yàn)���?�!笨魉贡硎?�,“迄今為止����,我們的業(yè)務(wù)或數(shù)據(jù)還沒(méi)有受到什么實(shí)質(zhì)性的破壞和損失?�!?
和安富利公司收購(gòu)的公司一樣����,位于上海的伯靈伲ㄖ泄┗踉擻邢薰綶Bax Global (China )Co.,下稱“伯靈頓(中國(guó))公司”]已能夠通過(guò)其母公司的安全程序來(lái)保護(hù)自己免受IT威脅���。伯靈頓公司(Bax Global)位于加利福尼亞州爾灣市(Irvine)�����,是一家年?duì)I業(yè)收入達(dá)24億美元的供應(yīng)鏈和交通運(yùn)輸解決方案公司����。“我們作為中國(guó)分公司嚴(yán)格遵循總部的安全政策���?���!辈`頓(中國(guó))公司IT架構(gòu)經(jīng)理胡華表示���,“我們通過(guò)防火墻來(lái)保護(hù)我們的內(nèi)部網(wǎng)絡(luò)。公司內(nèi)還廣泛采用了訪問(wèn)限制�����、VPN和防毒軟件等配置�。另外,我們還會(huì)同公司的安全顧問(wèn)定期檢查網(wǎng)絡(luò)安全�。”伯靈頓(中國(guó))公司在過(guò)去一年內(nèi)投資建立了網(wǎng)絡(luò)安全監(jiān)測(cè)系統(tǒng)����,并且升級(jí)了其安全軟件。
時(shí)刻準(zhǔn)備著
美國(guó)國(guó)民油井公司(National Oilwell Varco)是一家油氣鉆探生產(chǎn)設(shè)備與元件的制造商和銷售商��,年收入為50億美元�。它采用了一種簡(jiǎn)單的戰(zhàn)略來(lái)防范可能出現(xiàn)的安全攻擊。公司業(yè)務(wù)發(fā)展經(jīng)理卡洛斯·卡斯蒂略(Carlos Castillo)介紹說(shuō),公司采用基于Web的系統(tǒng)跟蹤在中國(guó)購(gòu)買的產(chǎn)品����,范圍從日用品(手套)到主要設(shè)備,不一而足��。這些產(chǎn)品都是通過(guò)美國(guó)第三方物流提供商的中國(guó)運(yùn)營(yíng)公司來(lái)選購(gòu)的��。如果發(fā)生安全問(wèn)題�����,系統(tǒng)就會(huì)通過(guò)電子郵件或者傳真來(lái)報(bào)告���,然后員工通過(guò)手工來(lái)更改交付和約定日期����。
中國(guó)公司很大程度上依靠對(duì)服務(wù)器或防火墻日志和入侵檢測(cè)系統(tǒng)的分析來(lái)了解安全破壞情況���,但這些措施總是會(huì)有疏漏之處�����。去年出現(xiàn)安全問(wèn)題的中國(guó)網(wǎng)站當(dāng)中��,有一半是在實(shí)際發(fā)現(xiàn)數(shù)據(jù)或資料受損后才知道攻擊情況�����。
近一半(47%)的受訪者認(rèn)為���,破壞行為危及保密信息的安全�。超過(guò)三分之一的公司發(fā)生內(nèi)部記錄丟失或損壞的情況����,或者系統(tǒng)崩潰����。大多數(shù)中國(guó)網(wǎng)站(68%)對(duì)所受損失還沒(méi)有能夠引起足夠的重視。
這些攻擊主要鎖定操作系統(tǒng)和應(yīng)用程序的漏洞����,另外在打開(kāi)電子郵件附件時(shí)也會(huì)發(fā)生。而且和美國(guó)一樣���,這些安全攻擊大多來(lái)自計(jì)算機(jī)黑客�����、惡意編碼器(Malicious Coders)以及員工有意和無(wú)意發(fā)生的行為���。
間諜軟件在美國(guó)一般只會(huì)引起一些小麻煩�����,比如降低PC的性能等�����。而在中國(guó)����,44%的公司認(rèn)為��,間諜軟件會(huì)導(dǎo)致較為嚴(yán)重的損失��,比如財(cái)務(wù)損失和身份被盜�����。其中一個(gè)可能的原因在于���,只有18%的中國(guó)受訪者表示�����,公司采用了防間諜軟件����。其他用來(lái)保護(hù)信息系統(tǒng)的工具包括基本用戶密碼(82%)、網(wǎng)絡(luò)防火墻(67%)�、VPN(44%)和安全套接層(SSL)協(xié)議(46%)。中國(guó)公司在這些方面均落后于美國(guó)公司����。例如,僅有58%的中國(guó)公司采用了病毒檢測(cè)軟件�,與此相比,美國(guó)公司在這方面則達(dá)到了73%����。
中國(guó)企業(yè)認(rèn)識(shí)到���,他們?nèi)菀资艿皆絹?lái)越多的尖端威脅的攻擊�����,并且發(fā)現(xiàn)他們將不得不“修改信息安全方法�,要從如今小打小鬧、零零碎碎的戰(zhàn)術(shù)行動(dòng)變?yōu)楦邞?zhàn)略性質(zhì)的系統(tǒng)計(jì)劃���?����!卑I茏稍児救虬踩稍兪聞?wù)所主管合伙人阿拉斯泰爾·邁克威爾森(Alastair MacWillson)表示�����。
盡管如此����,中國(guó)公司在安全開(kāi)支方面����,投入仍然比較有限。受訪企業(yè)中�,僅有11%預(yù)計(jì)他們今年將投入10萬(wàn)美元以上的資金,用于安全產(chǎn)品�、服務(wù)以及相關(guān)員工的薪水(與此相比,美國(guó)達(dá)到35%)�,還有51%則表示他們將只投入10萬(wàn)美元或更少的資金。好的消息是���,近一半(49%)的公司說(shuō)����,他們公司今年已增加安全開(kāi)支。
路漫漫其修遠(yuǎn)兮
一旦安全計(jì)劃到位�,中國(guó)公司必須堅(jiān)持采用強(qiáng)大的、可擴(kuò)展的集成架構(gòu)���,這樣他們才能有效地管理風(fēng)險(xiǎn)�����,對(duì)抗安全威脅���,并為國(guó)際業(yè)務(wù)提供一個(gè)穩(wěn)定的環(huán)境,邁克威爾森這樣認(rèn)為���。
“明年我們要做很多事情來(lái)保護(hù)我們的網(wǎng)絡(luò)?����!敝袊?guó)電信公司江蘇分公司的一名IT主管表示�����。該公司擬訂的安全投資包括附加Web安全軟件、數(shù)據(jù)庫(kù)備份���、VPN���、防病毒軟件、入侵檢測(cè)系統(tǒng)和流量分析軟件�����。該公司還緊密注視那些可添加到其IT基礎(chǔ)架構(gòu)中的新系統(tǒng)����,如將要配置的數(shù)臺(tái)新服務(wù)器?!霸谧鲞@件事之前,我們應(yīng)采取措施���,確保他們對(duì)我們的網(wǎng)絡(luò)安全可靠�?����!边@名IT主管說(shuō)。
正是基于這樣的現(xiàn)實(shí)�����,美國(guó)商業(yè)科技人士對(duì)于中國(guó)市場(chǎng)反而增加了一定的信心����。而且這一點(diǎn)看上去似乎有增無(wú)減,沒(méi)有逆轉(zhuǎn)的趨勢(shì)���?���!翱偟膩?lái)說(shuō)��,我們認(rèn)為中國(guó)的機(jī)會(huì)將會(huì)越來(lái)越多��?���!卑哺焕镜目魉拐f(shuō)道。
美國(guó)企業(yè)家在尋找機(jī)會(huì)時(shí)不能完全跟著感覺(jué)走���?���!耙獙?duì)什么是自己可以接受的����,做到心中有數(shù)?�!笨魉寡a(bǔ)充說(shuō)���,“如果這些無(wú)法使你得到最大的利益�����,那么就只能離開(kāi)�?�!?
對(duì)于有的公司來(lái)說(shuō)��,缺乏安全的計(jì)算機(jī)系統(tǒng)將成為阻礙公司業(yè)務(wù)發(fā)展的重要障礙����。最好的辦法是現(xiàn)在就開(kāi)始著手安全調(diào)查,而不是亡羊補(bǔ)牢。
一次市場(chǎng)機(jī)遇����?
中國(guó)企業(yè)增強(qiáng)信息安全的需求,是否將成為安全工具和服務(wù)供應(yīng)商新一輪的收入增長(zhǎng)點(diǎn)呢�����?迄今為止����,這一點(diǎn)依然撲朔迷離�����。
“中國(guó)未來(lái)可能會(huì)選擇本土供應(yīng)商�,構(gòu)筑其國(guó)家安全策略?�!鳖櫮芄荆℅artner)互聯(lián)網(wǎng)安全部副總裁約翰·佩斯卡托(John Pescatore)這樣認(rèn)為�。此外,中國(guó)的特殊國(guó)情也會(huì)使安全市場(chǎng)的開(kāi)放受到一定的限制��。
但并非所有人都這樣看��。“政府禁止使用國(guó)外供應(yīng)商的安全工具的控制措施���,將主要用于限制政府機(jī)構(gòu)或軍方網(wǎng)絡(luò)的特定要求?����!?Com公司企業(yè)發(fā)展部副總裁安尼克·博斯(Anik Bose)表示��,“中國(guó)政府認(rèn)識(shí)到缺乏信息安全是一項(xiàng)確實(shí)存在的商業(yè)問(wèn)題����,并允許中國(guó)公司自由采購(gòu)合適的技術(shù)來(lái)保護(hù)其網(wǎng)絡(luò)?!?
3Com公司于2003年11月成立華為3Com公司,開(kāi)始進(jìn)入中國(guó)市場(chǎng)��。最初這家合資公司的主打產(chǎn)品為公司的路由器和交換機(jī)�。后來(lái)為了向客戶提供更完備的系統(tǒng),公司產(chǎn)品中添加了入侵防護(hù)系統(tǒng)���。
“中國(guó)政府可從增強(qiáng)的公司安全中直接受益���。”博斯認(rèn)為,“如果它想要防范一些特定的活動(dòng)���,如非法點(diǎn)對(duì)點(diǎn)傳輸��,那么已安裝到位的高級(jí)安全技術(shù)(如入侵防護(hù)系統(tǒng))可能會(huì)起到實(shí)際作用?����!?
顯然��,IT安全產(chǎn)品確實(shí)存在著一定的市場(chǎng)��。在700家參加《信息周刊》英文版和埃森哲咨詢公司(Accenture)聯(lián)合進(jìn)行的“2005年全球信息安全調(diào)查”的中國(guó)企業(yè)中����,有五分之二的企業(yè)希望在接下來(lái)的12個(gè)月內(nèi)安裝應(yīng)用程序防火墻�����,三分之一的網(wǎng)站將投資監(jiān)控軟件����,同時(shí)還有四分之一的網(wǎng)站希望提高應(yīng)用程序安全�����,安裝入侵監(jiān)測(cè)工具并集成其安全系統(tǒng)����。
——文/Helen D’Antoni 譯/Simon Cheung
