文/ 田強 Larry Greenemeier 譯/趙紅權

為什么一些商業科技專業人士對IT安全的看法如此矛盾？一方面，他們承認，計算機系統面臨的威脅無論就數量還是復雜性而言始終是有增無減；與此同時，他們又自以為已經控制住了局勢。而對于那些過分天真的人們來說，其公司及客戶會付出高昂的代價。

不久前，《InformationWeek》研究部和埃森哲咨詢公司(Accenture，下稱埃森哲)合作進行了第九年度“全球安全調查”，調查全面揭示了商業計算環境所面臨的各種威脅。在受訪者當中，有57%的美國公司表示在過去一年中曾遭受病毒攻擊，34%曾受到蠕蟲的攻擊，18%經歷了拒絕服務(Denial-of-Service，DoS)攻擊。另外，網絡攻擊和身份竊取發生的比例分別為9%和8%；而中國的情形更差一些，有23%的公司表示其客戶數據安全受到威脅，另有27%的公司遭受了身份竊取形式的攻擊。因此，受訪的2,193名安全專家和商業科技經理中有48%的人表示：對安全的復雜性進行管理已成為當務之急。國際商業機器公司(IBM)2005年和2006年對全球首席信息官(CIO)的兩次調查都顯示，信息安全始終在CIO關心的問題中排名首位。IBM全球信息科技服務部企業信息系統基礎架構業務大中華區技術總監周國祥分析說：“調查結果表明，生產的安全與穩定，風險的控制與防范，是CIO目前最關注的問題。”

不過當被問及與一年前相比，其公司的IT系統是否更易受到惡意代碼攻擊而出現安全漏洞時，只有11%的美國公司回答是肯定的；而其余的89%則表示，其IT系統的安全性并沒有降低或者與一年前大致相同。與去年的調研結果相比，今年企業對其系統安全顯示出更強的信心。去年，有84%的被訪者表示其公司面臨的安全風險不會增加。

當時，我們就認為他們過于樂觀了。現在，我們還要重申：IT專家中普遍存在的、已經做好應對一切問題的態度是危險的。盡管企業已為此部署了大量的防御措施(防病毒軟件、防火墻、入侵檢測和防范系統等)，商業計算并非天下無敵。考慮到近年來由于各種數據系統的漏洞而產生的安全隱患，企業還需提高重視程度，更加謹慎。調查結果同時也表明，其他國家的IT專家顯然表現得更為謹慎：歐洲有13%、中國有16%、印度有24%的受訪者表示，與一年前相比，他們的公司面臨著各種風險，IT系統也更易受到攻擊。

事實上，企業面對的信息安全問題正在變得復雜化。從便攜設備到可移動存儲，再到基于Web的協作應用，乃至基于IP的語音技術(VoIP)，每一類新產品都有新的安全問題與之相伴而生。系統在面臨著日趨復雜的威脅的同時，遭受攻擊的次數也日益增多。對此，安全專家和業務技術人員列出了企業所面臨的一長串挑戰，按比例依次為：提高用戶意識(41%)、加強安全策略(36%)、加強對系統訪問的控制(26%)、以及獲取更多的資源(23%)。

數據失竊倍受關注

過去一年中，最突出的安全問題是由于外部偷盜或內部疏忽而導致的數據丟失。2006年5月，美國退伍軍人事務部(Veterans Affairs Department)一臺帶有可移動硬盤的筆記本電腦失竊，該電腦裝有2,650萬條個人記錄，這無疑向其他公司發出了安全警告。埃森哲安全小組的全球管理合伙人阿拉斯泰爾•麥克威爾森(Alastair MacWillson)表示：“正是類似事件的發生，才促使企業做出相關決策。”一年前，迫使企業做出應對的事件是惡意軟件的攻擊；而今年，則是數據遺失及失竊。

客戶數據系統的漏洞越來越多。對于那些欲通過網絡欺詐或身份竊取而獲利的攻擊者而言，數據已成為其主要的攻擊目標；與此同時，安全專家也越來越多地發現，不僅是那些以恐嚇為目的、想制造麻煩的人對其系統虎視眈眈，同時旨在謀利的罪犯更是將企業IT系統當作了靶子。信息安全的首要問題從病毒轉為數據盜竊，易觀國際咨詢有限公司分析師王濤分析，這一問題增多的原因在于“電子商務和網上支付的快速發展。”

在去年的調查中，只有6%的美國公司表示，其客戶記錄安全受到某種形式的威脅，另有5%的公司表示其客戶身份曾被盜。今年，這些比例幾乎翻番，分別達到11%和9%。而在中國，有23%的公司表示其客戶數據安全受到危及，另有27%的公司遭受了身份竊取形式的攻擊。上海恒榮國際貨運有限公司(下稱恒榮國際)CIO高宏飛對這個調查結果表示認同，他說：“數據失竊在中國是非常嚴重的。通常是內部人員的行為，而且比例非常之高，主要是沒有一套完整的管理約束制度，幾乎所有的中國企業都面臨很大的風險，在中國的一個內部人員，能夠做任意處理數據的情況非常普遍。”

不斷增多的安全漏洞也引起了廣泛的社會關注，美國至少有33個州為此立法以強制企業報告客戶數據丟失情況。美國議會也在準備出臺幾項法案，以阻止消費者和財務數據的丟失。醫療聯盟集團公司(HealthCare Partners，下稱醫療聯盟)信息系統安全管理總監利奧•狄特摩爾(Leo Dittemore)認為，價值分析(VA)數據失竊可謂給保險和保健公司拉響了警報，以推動這些公司采取相應的安全防范措施。這些公司的雇員會將病人數據下載到筆記本電腦上，狄特摩爾相信肯定會有一些員工將這些信息帶回家。他說：“我并不反對人們在業余時間完成工作，但同時應該對數據加以保護。”而醫療聯盟很難阻止其雇員居家工作時仍然使用客戶數據，因為該公司是按工作量來計酬的，而所有的工作都會涉及那些文件。“我們采用的是按業績支付薪水的模式。”狄特摩爾說道。該公司沒有相應的內部規定，以對雇員下載病人信息的時間進行限制。狄特摩爾目前正在制訂相關措施，以控制對數據的使用和轉移。