文/ 田強(qiáng) Larry Greenemeier 譯/趙紅權(quán)

為什么一些商業(yè)科技專業(yè)人士對(duì)IT安全的看法如此矛盾？一方面，他們承認(rèn)，計(jì)算機(jī)系統(tǒng)面臨的威脅無(wú)論就數(shù)量還是復(fù)雜性而言始終是有增無(wú)減；與此同時(shí)，他們又自以為已經(jīng)控制住了局勢(shì)。而對(duì)于那些過(guò)分天真的人們來(lái)說(shuō)，其公司及客戶會(huì)付出高昂的代價(jià)。

不久前，《InformationWeek》研究部和埃森哲咨詢公司(Accenture，下稱埃森哲)合作進(jìn)行了第九年度“全球安全調(diào)查”，調(diào)查全面揭示了商業(yè)計(jì)算環(huán)境所面臨的各種威脅。在受訪者當(dāng)中，有57%的美國(guó)公司表示在過(guò)去一年中曾遭受病毒攻擊，34%曾受到蠕蟲(chóng)的攻擊，18%經(jīng)歷了拒絕服務(wù)(Denial-of-Service，DoS)攻擊。另外，網(wǎng)絡(luò)攻擊和身份竊取發(fā)生的比例分別為9%和8%；而中國(guó)的情形更差一些，有23%的公司表示其客戶數(shù)據(jù)安全受到威脅，另有27%的公司遭受了身份竊取形式的攻擊。因此，受訪的2,193名安全專家和商業(yè)科技經(jīng)理中有48%的人表示：對(duì)安全的復(fù)雜性進(jìn)行管理已成為當(dāng)務(wù)之急。國(guó)際商業(yè)機(jī)器公司(IBM)2005年和2006年對(duì)全球首席信息官(CIO)的兩次調(diào)查都顯示，信息安全始終在CIO關(guān)心的問(wèn)題中排名首位。IBM全球信息科技服務(wù)部企業(yè)信息系統(tǒng)基礎(chǔ)架構(gòu)業(yè)務(wù)大中華區(qū)技術(shù)總監(jiān)周國(guó)祥分析說(shuō)：“調(diào)查結(jié)果表明，生產(chǎn)的安全與穩(wěn)定，風(fēng)險(xiǎn)的控制與防范，是CIO目前最關(guān)注的問(wèn)題。”

不過(guò)當(dāng)被問(wèn)及與一年前相比，其公司的IT系統(tǒng)是否更易受到惡意代碼攻擊而出現(xiàn)安全漏洞時(shí)，只有11%的美國(guó)公司回答是肯定的；而其余的89%則表示，其IT系統(tǒng)的安全性并沒(méi)有降低或者與一年前大致相同。與去年的調(diào)研結(jié)果相比，今年企業(yè)對(duì)其系統(tǒng)安全顯示出更強(qiáng)的信心。去年，有84%的被訪者表示其公司面臨的安全風(fēng)險(xiǎn)不會(huì)增加。

當(dāng)時(shí)，我們就認(rèn)為他們過(guò)于樂(lè)觀了。現(xiàn)在，我們還要重申：IT專家中普遍存在的、已經(jīng)做好應(yīng)對(duì)一切問(wèn)題的態(tài)度是危險(xiǎn)的。盡管企業(yè)已為此部署了大量的防御措施(防病毒軟件、防火墻、入侵檢測(cè)和防范系統(tǒng)等)，商業(yè)計(jì)算并非天下無(wú)敵。考慮到近年來(lái)由于各種數(shù)據(jù)系統(tǒng)的漏洞而產(chǎn)生的安全隱患，企業(yè)還需提高重視程度，更加謹(jǐn)慎。調(diào)查結(jié)果同時(shí)也表明，其他國(guó)家的IT專家顯然表現(xiàn)得更為謹(jǐn)慎：歐洲有13%、中國(guó)有16%、印度有24%的受訪者表示，與一年前相比，他們的公司面臨著各種風(fēng)險(xiǎn)，IT系統(tǒng)也更易受到攻擊。

事實(shí)上，企業(yè)面對(duì)的信息安全問(wèn)題正在變得復(fù)雜化。從便攜設(shè)備到可移動(dòng)存儲(chǔ)，再到基于Web的協(xié)作應(yīng)用，乃至基于IP的語(yǔ)音技術(shù)(VoIP)，每一類新產(chǎn)品都有新的安全問(wèn)題與之相伴而生。系統(tǒng)在面臨著日趨復(fù)雜的威脅的同時(shí)，遭受攻擊的次數(shù)也日益增多。對(duì)此，安全專家和業(yè)務(wù)技術(shù)人員列出了企業(yè)所面臨的一長(zhǎng)串挑戰(zhàn)，按比例依次為：提高用戶意識(shí)(41%)、加強(qiáng)安全策略(36%)、加強(qiáng)對(duì)系統(tǒng)訪問(wèn)的控制(26%)、以及獲取更多的資源(23%)。

數(shù)據(jù)失竊倍受關(guān)注

過(guò)去一年中，最突出的安全問(wèn)題是由于外部偷盜或內(nèi)部疏忽而導(dǎo)致的數(shù)據(jù)丟失。2006年5月，美國(guó)退伍軍人事務(wù)部(Veterans Affairs Department)一臺(tái)帶有可移動(dòng)硬盤(pán)的筆記本電腦失竊，該電腦裝有2,650萬(wàn)條個(gè)人記錄，這無(wú)疑向其他公司發(fā)出了安全警告。埃森哲安全小組的全球管理合伙人阿拉斯泰爾•麥克威爾森(Alastair MacWillson)表示：“正是類似事件的發(fā)生，才促使企業(yè)做出相關(guān)決策。”一年前，迫使企業(yè)做出應(yīng)對(duì)的事件是惡意軟件的攻擊；而今年，則是數(shù)據(jù)遺失及失竊。

客戶數(shù)據(jù)系統(tǒng)的漏洞越來(lái)越多。對(duì)于那些欲通過(guò)網(wǎng)絡(luò)欺詐或身份竊取而獲利的攻擊者而言，數(shù)據(jù)已成為其主要的攻擊目標(biāo)；與此同時(shí)，安全專家也越來(lái)越多地發(fā)現(xiàn)，不僅是那些以恐嚇為目的、想制造麻煩的人對(duì)其系統(tǒng)虎視眈眈，同時(shí)旨在謀利的罪犯更是將企業(yè)IT系統(tǒng)當(dāng)作了靶子。信息安全的首要問(wèn)題從病毒轉(zhuǎn)為數(shù)據(jù)盜竊，易觀國(guó)際咨詢有限公司分析師王濤分析，這一問(wèn)題增多的原因在于“電子商務(wù)和網(wǎng)上支付的快速發(fā)展。”

在去年的調(diào)查中，只有6%的美國(guó)公司表示，其客戶記錄安全受到某種形式的威脅，另有5%的公司表示其客戶身份曾被盜。今年，這些比例幾乎翻番，分別達(dá)到11%和9%。而在中國(guó)，有23%的公司表示其客戶數(shù)據(jù)安全受到危及，另有27%的公司遭受了身份竊取形式的攻擊。上海恒榮國(guó)際貨運(yùn)有限公司(下稱恒榮國(guó)際)CIO高宏飛對(duì)這個(gè)調(diào)查結(jié)果表示認(rèn)同，他說(shuō)：“數(shù)據(jù)失竊在中國(guó)是非常嚴(yán)重的。通常是內(nèi)部人員的行為，而且比例非常之高，主要是沒(méi)有一套完整的管理約束制度，幾乎所有的中國(guó)企業(yè)都面臨很大的風(fēng)險(xiǎn)，在中國(guó)的一個(gè)內(nèi)部人員，能夠做任意處理數(shù)據(jù)的情況非常普遍。”

不斷增多的安全漏洞也引起了廣泛的社會(huì)關(guān)注，美國(guó)至少有33個(gè)州為此立法以強(qiáng)制企業(yè)報(bào)告客戶數(shù)據(jù)丟失情況。美國(guó)議會(huì)也在準(zhǔn)備出臺(tái)幾項(xiàng)法案，以阻止消費(fèi)者和財(cái)務(wù)數(shù)據(jù)的丟失。醫(yī)療聯(lián)盟集團(tuán)公司(HealthCare Partners，下稱醫(yī)療聯(lián)盟)信息系統(tǒng)安全管理總監(jiān)利奧•狄特摩爾(Leo Dittemore)認(rèn)為，價(jià)值分析(VA)數(shù)據(jù)失竊可謂給保險(xiǎn)和保健公司拉響了警報(bào)，以推動(dòng)這些公司采取相應(yīng)的安全防范措施。這些公司的雇員會(huì)將病人數(shù)據(jù)下載到筆記本電腦上，狄特摩爾相信肯定會(huì)有一些員工將這些信息帶回家。他說(shuō)：“我并不反對(duì)人們?cè)跇I(yè)余時(shí)間完成工作，但同時(shí)應(yīng)該對(duì)數(shù)據(jù)加以保護(hù)。”而醫(yī)療聯(lián)盟很難阻止其雇員居家工作時(shí)仍然使用客戶數(shù)據(jù)，因?yàn)樵摴臼前垂ぷ髁縼?lái)計(jì)酬的，而所有的工作都會(huì)涉及那些文件。“我們采用的是按業(yè)績(jī)支付薪水的模式。”狄特摩爾說(shuō)道。該公司沒(méi)有相應(yīng)的內(nèi)部規(guī)定，以對(duì)雇員下載病人信息的時(shí)間進(jìn)行限制。狄特摩爾目前正在制訂相關(guān)措施，以控制對(duì)數(shù)據(jù)的使用和轉(zhuǎn)移。