文/ 田強 Larry Greenemeier 譯/趙紅權(quán)

為什么一些商業(yè)科技專業(yè)人士對IT安全的看法如此矛盾？一方面，他們承認，計算機系統(tǒng)面臨的威脅無論就數(shù)量還是復(fù)雜性而言始終是有增無減；與此同時，他們又自以為已經(jīng)控制住了局勢。而對于那些過分天真的人們來說，其公司及客戶會付出高昂的代價。

不久前，《InformationWeek》研究部和埃森哲咨詢公司(Accenture，下稱埃森哲)合作進行了第九年度“全球安全調(diào)查”，調(diào)查全面揭示了商業(yè)計算環(huán)境所面臨的各種威脅。在受訪者當(dāng)中，有57%的美國公司表示在過去一年中曾遭受病毒攻擊，34%曾受到蠕蟲的攻擊，18%經(jīng)歷了拒絕服務(wù)(Denial-of-Service，DoS)攻擊。另外，網(wǎng)絡(luò)攻擊和身份竊取發(fā)生的比例分別為9%和8%；而中國的情形更差一些，有23%的公司表示其客戶數(shù)據(jù)安全受到威脅，另有27%的公司遭受了身份竊取形式的攻擊。因此，受訪的2,193名安全專家和商業(yè)科技經(jīng)理中有48%的人表示：對安全的復(fù)雜性進行管理已成為當(dāng)務(wù)之急。國際商業(yè)機器公司(IBM)2005年和2006年對全球首席信息官(CIO)的兩次調(diào)查都顯示，信息安全始終在CIO關(guān)心的問題中排名首位。IBM全球信息科技服務(wù)部企業(yè)信息系統(tǒng)基礎(chǔ)架構(gòu)業(yè)務(wù)大中華區(qū)技術(shù)總監(jiān)周國祥分析說：“調(diào)查結(jié)果表明，生產(chǎn)的安全與穩(wěn)定，風(fēng)險的控制與防范，是CIO目前最關(guān)注的問題。”

不過當(dāng)被問及與一年前相比，其公司的IT系統(tǒng)是否更易受到惡意代碼攻擊而出現(xiàn)安全漏洞時，只有11%的美國公司回答是肯定的；而其余的89%則表示，其IT系統(tǒng)的安全性并沒有降低或者與一年前大致相同。與去年的調(diào)研結(jié)果相比，今年企業(yè)對其系統(tǒng)安全顯示出更強的信心。去年，有84%的被訪者表示其公司面臨的安全風(fēng)險不會增加。

當(dāng)時，我們就認為他們過于樂觀了。現(xiàn)在，我們還要重申：IT專家中普遍存在的、已經(jīng)做好應(yīng)對一切問題的態(tài)度是危險的。盡管企業(yè)已為此部署了大量的防御措施(防病毒軟件、防火墻、入侵檢測和防范系統(tǒng)等)，商業(yè)計算并非天下無敵。考慮到近年來由于各種數(shù)據(jù)系統(tǒng)的漏洞而產(chǎn)生的安全隱患，企業(yè)還需提高重視程度，更加謹慎。調(diào)查結(jié)果同時也表明，其他國家的IT專家顯然表現(xiàn)得更為謹慎：歐洲有13%、中國有16%、印度有24%的受訪者表示，與一年前相比，他們的公司面臨著各種風(fēng)險，IT系統(tǒng)也更易受到攻擊。

事實上，企業(yè)面對的信息安全問題正在變得復(fù)雜化。從便攜設(shè)備到可移動存儲，再到基于Web的協(xié)作應(yīng)用，乃至基于IP的語音技術(shù)(VoIP)，每一類新產(chǎn)品都有新的安全問題與之相伴而生。系統(tǒng)在面臨著日趨復(fù)雜的威脅的同時，遭受攻擊的次數(shù)也日益增多。對此，安全專家和業(yè)務(wù)技術(shù)人員列出了企業(yè)所面臨的一長串挑戰(zhàn)，按比例依次為：提高用戶意識(41%)、加強安全策略(36%)、加強對系統(tǒng)訪問的控制(26%)、以及獲取更多的資源(23%)。

數(shù)據(jù)失竊倍受關(guān)注

過去一年中，最突出的安全問題是由于外部偷盜或內(nèi)部疏忽而導(dǎo)致的數(shù)據(jù)丟失。2006年5月，美國退伍軍人事務(wù)部(Veterans Affairs Department)一臺帶有可移動硬盤的筆記本電腦失竊，該電腦裝有2,650萬條個人記錄，這無疑向其他公司發(fā)出了安全警告。埃森哲安全小組的全球管理合伙人阿拉斯泰爾•麥克威爾森(Alastair MacWillson)表示：“正是類似事件的發(fā)生，才促使企業(yè)做出相關(guān)決策。”一年前，迫使企業(yè)做出應(yīng)對的事件是惡意軟件的攻擊；而今年，則是數(shù)據(jù)遺失及失竊。

客戶數(shù)據(jù)系統(tǒng)的漏洞越來越多。對于那些欲通過網(wǎng)絡(luò)欺詐或身份竊取而獲利的攻擊者而言，數(shù)據(jù)已成為其主要的攻擊目標；與此同時，安全專家也越來越多地發(fā)現(xiàn)，不僅是那些以恐嚇為目的、想制造麻煩的人對其系統(tǒng)虎視眈眈，同時旨在謀利的罪犯更是將企業(yè)IT系統(tǒng)當(dāng)作了靶子。信息安全的首要問題從病毒轉(zhuǎn)為數(shù)據(jù)盜竊，易觀國際咨詢有限公司分析師王濤分析，這一問題增多的原因在于“電子商務(wù)和網(wǎng)上支付的快速發(fā)展。”

在去年的調(diào)查中，只有6%的美國公司表示，其客戶記錄安全受到某種形式的威脅，另有5%的公司表示其客戶身份曾被盜。今年，這些比例幾乎翻番，分別達到11%和9%。而在中國，有23%的公司表示其客戶數(shù)據(jù)安全受到危及，另有27%的公司遭受了身份竊取形式的攻擊。上海恒榮國際貨運有限公司(下稱恒榮國際)CIO高宏飛對這個調(diào)查結(jié)果表示認同，他說：“數(shù)據(jù)失竊在中國是非常嚴重的。通常是內(nèi)部人員的行為，而且比例非常之高，主要是沒有一套完整的管理約束制度，幾乎所有的中國企業(yè)都面臨很大的風(fēng)險，在中國的一個內(nèi)部人員，能夠做任意處理數(shù)據(jù)的情況非常普遍。”

不斷增多的安全漏洞也引起了廣泛的社會關(guān)注，美國至少有33個州為此立法以強制企業(yè)報告客戶數(shù)據(jù)丟失情況。美國議會也在準備出臺幾項法案，以阻止消費者和財務(wù)數(shù)據(jù)的丟失。醫(yī)療聯(lián)盟集團公司(HealthCare Partners，下稱醫(yī)療聯(lián)盟)信息系統(tǒng)安全管理總監(jiān)利奧•狄特摩爾(Leo Dittemore)認為，價值分析(VA)數(shù)據(jù)失竊可謂給保險和保健公司拉響了警報，以推動這些公司采取相應(yīng)的安全防范措施。這些公司的雇員會將病人數(shù)據(jù)下載到筆記本電腦上，狄特摩爾相信肯定會有一些員工將這些信息帶回家。他說：“我并不反對人們在業(yè)余時間完成工作，但同時應(yīng)該對數(shù)據(jù)加以保護。”而醫(yī)療聯(lián)盟很難阻止其雇員居家工作時仍然使用客戶數(shù)據(jù)，因為該公司是按工作量來計酬的，而所有的工作都會涉及那些文件。“我們采用的是按業(yè)績支付薪水的模式。”狄特摩爾說道。該公司沒有相應(yīng)的內(nèi)部規(guī)定，以對雇員下載病人信息的時間進行限制。狄特摩爾目前正在制訂相關(guān)措施，以控制對數(shù)據(jù)的使用和轉(zhuǎn)移。