2005年中國企業(yè)信息安全調查
中國企業(yè)的網絡和系統(tǒng)正在遭受越來越多的攻擊,���,但許多公司至今還沒有建立起完善的防護網來保護自身的安全�����。
隨著中國經濟的發(fā)展,越來越多美國公司開始積極進入這個新興的市場。但在進入這塊新大陸前����,他們需要對本土企業(yè),也就是那些未來可能成為他們的客戶或商業(yè)伙伴的企業(yè)的IT安全水平進行適當?shù)恼{查和了解���。然而����,與美國同行相比��,中國企業(yè)的IT系統(tǒng)安全水平令人擔心��,他們不僅正受到越來越多的攻擊��;而且對出現(xiàn)的許多威脅顯得準備不足����。
很多美國人以為,美國的計算機系統(tǒng)安全性令人擔憂�����。但相比之下���,中國企業(yè)的安全環(huán)境就更薄弱些:他們不僅遇到更多的病毒���、蠕蟲��、DOS攻擊以及身份盜用等問題����,而且在面對攻擊時��,還存在保護不到位���、預算比較有限等情況����。
“2005年中國企業(yè)信息安全調查”是《信息周刊》英文版與管理咨詢機構埃森哲咨詢公司(Accenture)合作在9月進行的“2005年全球信息安全調查”的一部分�����。這個調查通過網絡在線進行��,對700名中國企業(yè)的商業(yè)科技和安全專業(yè)人員進行了調查����。我們將這個調查結果與對2,540名美國商業(yè)科技企業(yè)和安全專家的調查結果進行比較分析后�����,得出的大致結論是:中國企業(yè)在許多方面還需努力追趕,同時�����,中國企業(yè)也非常明白這一點��。
對于信息安全問題���,中國的受訪者們都表示出擔心���。接近半數(shù)(46%)的人認為,他們的公司要比上一年更容易受到病毒代碼的攻擊�,遭受更多的安全攻擊。他們指出�����,公司的安全狀況之所以變得更加脆弱�����,首當其沖的原因就是安全威脅的手段越來越高明,攻擊方式變化多端��,攻擊的數(shù)量也越來越多���。
許多中國公司都沒有啟用高水平的安全程序�����。很多受訪者表示��,他們的公司在過去一年更易受到攻擊威脅��,或者受到攻擊威脅情況與上一年水平差不多���。在這些受訪者當中,有49%的人將他們易受攻擊的原因歸咎于缺少信息安全策略�,42%的人則把矛頭指向了過時的IT架構,還有26%的人提到軟件補丁程序不足這一問題����。
復雜程度(55%)、用戶意識(53%)和預算限制(30%)是他們面臨的最大挑戰(zhàn)��?�!拔覀冋谂逃龁T工認識IT安全的重要性。但如果投資不夠的話��,事情就不會有多大改觀�。”上海恒榮國際貨運有限公司(下稱“上海恒榮貨運公司”)首席信息官(CIO)高宏飛表示�����。上海恒榮貨運公司兩年前就開始實施信息安全規(guī)定�,告知員工有關行為標準�,但自此之后,公司并沒有定期審查過這些規(guī)范���,高宏飛補充說��?!斑^去一年中���,我們通過網絡隔離����、帶寬控制�����、訪問限制、入口限制�����,以及不同部門之間的訪問控制來加強內部管理�����?!备吆觑w介紹說,“這些措施對我們的信息安全能帶來一些積極的作用���,但還遠遠不夠���。”
錯誤理解
51%的中國企業(yè)2005年的信息安全投入等于或低于10萬美元���。
經過市場經濟的多年洗禮���,中國的經濟發(fā)展日趨活躍,并日益受到全球市場的關注。2004年���,中國成為外國投資的第二大目的地市場����。2005年8月����,雅虎公司(Yahoo)以10億美元加上其中國分公司的代價,獲得了中國著名電子商務企業(yè)阿里巴巴公司的40%股份����。而在9月���,通用電氣公司(GE)的保健部門又投資3,750萬美元����,擴建上海生產基地�。數(shù)天后,通用電氣公司又宣布購入深圳發(fā)展銀行7%股份��,股票價值約1億美元��。通用電氣公司的目標是����,今年在中國的銷售收入將達到50億美元��。
但由于具體的國情�,政府的一些措施還是對企業(yè)在面臨高科技威脅時的思維方式產生了重大影響��?!爸袊鴮ヂ?lián)網應用有著相當嚴格的控制,這使得許多公司認為中國的互聯(lián)網環(huán)境足夠安全���,他們無需主動采取措施防范惡意軟件(Malware)的攻擊���。”顧能公司(Gartner)互聯(lián)網安全副總裁約翰·佩斯卡托(John Pescatore)分析認為���,“當商業(yè)服務��、PC和互聯(lián)網連接缺乏適當保護時���,就會成為安全威脅實現(xiàn)攻擊的理想渠道?����!?
關注
這些問題并非不能克服?�!爸袊髽I(yè)在如何處理安全問題上愈發(fā)成熟���?��!蹦晔杖脒_130億美元的電子元件和電腦分銷商安富利公司(Avnet)CIO愛德·卡明斯(Ed Kamins)認為,“我們不應為此而擔心或驚慌�����。實際上�,我們需要了解安全問題并且做好準備���。他們總有一天會如我們所愿���,變帽冉險!��!?/P>
位于美國鳳凰城的安富利公司于5年前開始進入中國擴展業(yè)務���,在此期間收購了數(shù)家公司�。如今這家公司在中國大陸和香港地區(qū)分別擁有3家運營公司?���?偟膩砜矗瑏喼薹止久磕甑臓I業(yè)額超過20億美元��,其中大部分來自中國�����。
安富利公司的方法�,就是將其所收購的本土企業(yè)的系統(tǒng)與自己原有的系統(tǒng)相整合,構成一個全球性網絡和統(tǒng)一的應用平臺���。
安富利公司將公司分布在亞洲地區(qū)的企業(yè)資源計劃(ERP)系統(tǒng)整合到SAP系統(tǒng)中����,同時�,公司的全球網絡使其可以集中管理和監(jiān)控安全漏洞并安裝補丁?��!拔覀円步洑v了一些常見的安全威脅的攻擊�。不過,我們經受住了考驗����。”卡明斯表示����,“迄今為止,我們的業(yè)務或數(shù)據(jù)還沒有受到什么實質性的破壞和損失����。”
和安富利公司收購的公司一樣��,位于上海的伯靈伲ㄖ泄┗踉擻邢薰綶Bax Global (China )Co.��,下稱“伯靈頓(中國)公司”]已能夠通過其母公司的安全程序來保護自己免受IT威脅���。伯靈頓公司(Bax Global)位于加利福尼亞州爾灣市(Irvine)����,是一家年營業(yè)收入達24億美元的供應鏈和交通運輸解決方案公司�����?�!拔覀冏鳛橹袊止緡栏褡裱偛康陌踩?���。”伯靈頓(中國)公司IT架構經理胡華表示�����,“我們通過防火墻來保護我們的內部網絡�。公司內還廣泛采用了訪問限制、VPN和防毒軟件等配置�。另外,我們還會同公司的安全顧問定期檢查網絡安全�。”伯靈頓(中國)公司在過去一年內投資建立了網絡安全監(jiān)測系統(tǒng)�,并且升級了其安全軟件。
時刻準備著
美國國民油井公司(National Oilwell Varco)是一家油氣鉆探生產設備與元件的制造商和銷售商��,年收入為50億美元��。它采用了一種簡單的戰(zhàn)略來防范可能出現(xiàn)的安全攻擊��。公司業(yè)務發(fā)展經理卡洛斯·卡斯蒂略(Carlos Castillo)介紹說�,公司采用基于Web的系統(tǒng)跟蹤在中國購買的產品����,范圍從日用品(手套)到主要設備��,不一而足���。這些產品都是通過美國第三方物流提供商的中國運營公司來選購的�。如果發(fā)生安全問題��,系統(tǒng)就會通過電子郵件或者傳真來報告����,然后員工通過手工來更改交付和約定日期。
中國公司很大程度上依靠對服務器或防火墻日志和入侵檢測系統(tǒng)的分析來了解安全破壞情況����,但這些措施總是會有疏漏之處。去年出現(xiàn)安全問題的中國網站當中�����,有一半是在實際發(fā)現(xiàn)數(shù)據(jù)或資料受損后才知道攻擊情況�����。
近一半(47%)的受訪者認為�����,破壞行為危及保密信息的安全���。超過三分之一的公司發(fā)生內部記錄丟失或損壞的情況���,或者系統(tǒng)崩潰。大多數(shù)中國網站(68%)對所受損失還沒有能夠引起足夠的重視�。
這些攻擊主要鎖定操作系統(tǒng)和應用程序的漏洞,另外在打開電子郵件附件時也會發(fā)生�����。而且和美國一樣���,這些安全攻擊大多來自計算機黑客�����、惡意編碼器(Malicious Coders)以及員工有意和無意發(fā)生的行為����。
間諜軟件在美國一般只會引起一些小麻煩,比如降低PC的性能等��。而在中國����,44%的公司認為,間諜軟件會導致較為嚴重的損失���,比如財務損失和身份被盜���。其中一個可能的原因在于,只有18%的中國受訪者表示����,公司采用了防間諜軟件。其他用來保護信息系統(tǒng)的工具包括基本用戶密碼(82%)�����、網絡防火墻(67%)�、VPN(44%)和安全套接層(SSL)協(xié)議(46%)。中國公司在這些方面均落后于美國公司����。例如����,僅有58%的中國公司采用了病毒檢測軟件�����,與此相比�,美國公司在這方面則達到了73%��。
中國企業(yè)認識到����,他們容易受到越來越多的尖端威脅的攻擊,并且發(fā)現(xiàn)他們將不得不“修改信息安全方法����,要從如今小打小鬧、零零碎碎的戰(zhàn)術行動變?yōu)楦邞?zhàn)略性質的系統(tǒng)計劃�。”埃森哲咨詢公司全球安全咨詢事務所主管合伙人阿拉斯泰爾·邁克威爾森(Alastair MacWillson)表示����。
盡管如此,中國公司在安全開支方面,投入仍然比較有限����。受訪企業(yè)中,僅有11%預計他們今年將投入10萬美元以上的資金����,用于安全產品、服務以及相關員工的薪水(與此相比�,美國達到35%),還有51%則表示他們將只投入10萬美元或更少的資金���。好的消息是��,近一半(49%)的公司說�,他們公司今年已增加安全開支�����。
路漫漫其修遠兮
一旦安全計劃到位�,中國公司必須堅持采用強大的、可擴展的集成架構��,這樣他們才能有效地管理風險���,對抗安全威脅���,并為國際業(yè)務提供一個穩(wěn)定的環(huán)境��,邁克威爾森這樣認為���。
“明年我們要做很多事情來保護我們的網絡����。”中國電信公司江蘇分公司的一名IT主管表示���。該公司擬訂的安全投資包括附加Web安全軟件���、數(shù)據(jù)庫備份、VPN��、防病毒軟件����、入侵檢測系統(tǒng)和流量分析軟件。該公司還緊密注視那些可添加到其IT基礎架構中的新系統(tǒng)�,如將要配置的數(shù)臺新服務器。“在做這件事之前��,我們應采取措施�,確保他們對我們的網絡安全可靠?�!边@名IT主管說����。
正是基于這樣的現(xiàn)實,美國商業(yè)科技人士對于中國市場反而增加了一定的信心����。而且這一點看上去似乎有增無減,沒有逆轉的趨勢���?�!翱偟膩碚f����,我們認為中國的機會將會越來越多�。”安富利公司的卡明斯說道���。
美國企業(yè)家在尋找機會時不能完全跟著感覺走����。“要對什么是自己可以接受的�����,做到心中有數(shù)��?!笨魉寡a充說���,“如果這些無法使你得到最大的利益���,那么就只能離開?�!?
對于有的公司來說��,缺乏安全的計算機系統(tǒng)將成為阻礙公司業(yè)務發(fā)展的重要障礙����。最好的辦法是現(xiàn)在就開始著手安全調查�����,而不是亡羊補牢���。
一次市場機遇?
中國企業(yè)增強信息安全的需求�����,是否將成為安全工具和服務供應商新一輪的收入增長點呢���?迄今為止��,這一點依然撲朔迷離�����。
“中國未來可能會選擇本土供應商�����,構筑其國家安全策略���?!鳖櫮芄荆℅artner)互聯(lián)網安全部副總裁約翰·佩斯卡托(John Pescatore)這樣認為���。此外�����,中國的特殊國情也會使安全市場的開放受到一定的限制����。
但并非所有人都這樣看�����?�!罢故褂脟夤痰陌踩ぞ叩目刂拼胧?,將主要用于限制政府機構或軍方網絡的特定要求�。”3Com公司企業(yè)發(fā)展部副總裁安尼克·博斯(Anik Bose)表示�,“中國政府認識到缺乏信息安全是一項確實存在的商業(yè)問題,并允許中國公司自由采購合適的技術來保護其網絡����?����!?
3Com公司于2003年11月成立華為3Com公司�����,開始進入中國市場����。最初這家合資公司的主打產品為公司的路由器和交換機����。后來為了向客戶提供更完備的系統(tǒng),公司產品中添加了入侵防護系統(tǒng)�。
“中國政府可從增強的公司安全中直接受益?��!辈┧拐J為�����,“如果它想要防范一些特定的活動�,如非法點對點傳輸���,那么已安裝到位的高級安全技術(如入侵防護系統(tǒng))可能會起到實際作用����。”
顯然�����,IT安全產品確實存在著一定的市場��。在700家參加《信息周刊》英文版和埃森哲咨詢公司(Accenture)聯(lián)合進行的“2005年全球信息安全調查”的中國企業(yè)中�,有五分之二的企業(yè)希望在接下來的12個月內安裝應用程序防火墻,三分之一的網站將投資監(jiān)控軟件��,同時還有四分之一的網站希望提高應用程序安全����,安裝入侵監(jiān)測工具并集成其安全系統(tǒng)。
——文/Helen D’Antoni 譯/Simon Cheung
