安全形勢(shì)不樂觀 信息安全調(diào)查揭露五大誤區(qū)

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

日前，《信息周刊》研究部和國(guó)際商業(yè)機(jī)器公司(IBM)合作進(jìn)行了2008年“中國(guó)信息安全調(diào)查”，這也是《信息周刊》以11年全球信息安全調(diào)查為基礎(chǔ)，在中國(guó)開展的第四次安全調(diào)查，調(diào)查結(jié)果全面揭示了當(dāng)前不容樂觀的安全形勢(shì)，對(duì)首席信息官(CIO)而言，安全威脅正在增多;環(huán)境日趨復(fù)雜;威脅手段更加多樣，使得企業(yè)對(duì)安全問題愈發(fā)不敢掉以輕心。

首先，安全威脅數(shù)量的增長(zhǎng)令企業(yè)遭受到了更猛烈的攻擊?！缎畔⒅芸?008年“中國(guó)信息安全調(diào)查”的數(shù)據(jù)顯示，44.8%的CIO認(rèn)為，所在公司比去年更容易受到惡意的攻擊(原因選擇見表1)。這一擔(dān)憂在近幾年的調(diào)查中一直居高不下，意味著企業(yè)一直面臨著較高的安全威脅。目前，全球惡意程序已經(jīng)超過1,100萬個(gè)，而且70%的惡意代碼能夠竊取機(jī)密信息。“如果按照現(xiàn)在的增長(zhǎng)速度，到2015年將會(huì)有2.33億惡意程序，每小時(shí)會(huì)有26,598個(gè)新病毒需要處理?！壁厔?shì)科技(中國(guó))有限公司資深產(chǎn)品技術(shù)顧問徐學(xué)龍分析道。

龐大的黑客經(jīng)濟(jì)產(chǎn)業(yè)鏈也在為不穩(wěn)定的安全形勢(shì)推波助瀾。在互聯(lián)網(wǎng)上，只要付費(fèi)，用戶不但能訂購(gòu)惡意程序 ，還能保證該程序不被任何安全廠商檢測(cè)得到。在國(guó)外某網(wǎng)站，發(fā)送100萬封惡意郵件的報(bào)價(jià)只有8美元;竊取銀行帳號(hào)類木馬的報(bào)價(jià)是50美元;而不能檢測(cè)出來的竊取型木馬價(jià)格則略高一點(diǎn)，為80美元。

“從威脅的趨勢(shì)來看，針對(duì)數(shù)據(jù)庫(kù)的攻擊會(huì)越來越多，給企業(yè)帶來較高風(fēng)險(xiǎn),”IBM中國(guó)區(qū)安全服務(wù)首席架構(gòu)師李明表示，“除了關(guān)注應(yīng)用層的安全，企業(yè)還要留心基于客戶端的攻擊，包括針對(duì)瀏覽器 及插件(Flash、媒體播放器)的攻擊，這些威脅相對(duì)而言很難防范?！?/P>

面對(duì)瞬息萬變的安全形勢(shì)，企業(yè)并不是總能踏對(duì)鼓點(diǎn)。對(duì)癥下藥，尋找安全良方，避免種種安全的誤區(qū)，才是長(zhǎng)遠(yuǎn)的安全和發(fā)展之道。

誤區(qū)1：最需要防御的未必得到足夠重視

各類安全威脅中，企業(yè)最重視哪3類?從近幾年《信息周刊》的調(diào)查來看，病毒和蠕蟲，間諜軟件，垃圾郵件3類威脅一直高居榜首(見表2)?？墒?，在實(shí)際的安全部署中，如果你把最主要的精力用于應(yīng)對(duì)以上3類威脅上，才是最需要擔(dān)憂的非安全之舉?！缎畔⒅芸费芯坎空{(diào)查顯示，實(shí)際上，數(shù)據(jù)安全的危害性正在日益上升，如未經(jīng)授權(quán)的雇員對(duì)文件或數(shù)據(jù)的訪問、帶有公司數(shù)據(jù)的可移動(dòng)設(shè)備遺失或失竊等，但是這一點(diǎn)卻并沒有引起企業(yè)足夠的重視。

信息技術(shù)市場(chǎng)調(diào)研公司高德納公司(Gartner)早些時(shí)候曾進(jìn)行一項(xiàng)關(guān)于數(shù)據(jù)被竊的調(diào)查，發(fā)現(xiàn)被訪者中，只有25%的個(gè)案是源于不法之徒的惡意攻擊，60%的問題卻是由于移動(dòng)設(shè)備丟失或被竊。通過與賽門鐵克公司(Symantec)、Check Point公司、趨勢(shì)科技公司等多家安全公司的交流，本刊記者發(fā)現(xiàn)，便攜式的移動(dòng)設(shè)備，比如U盤、手機(jī)、iPod等，容量很大、攜帶方便，用這些移動(dòng)設(shè)備讀取數(shù)據(jù)時(shí)經(jīng)常在不知不覺中，就充當(dāng)了病毒的傳播者。更可怕的是，有些移動(dòng)設(shè)備一出廠的時(shí)候里面就帶了木馬病毒。而在企業(yè)當(dāng)中，針對(duì)U盤等移動(dòng)設(shè)備的控制手段相對(duì)較弱。

對(duì)策：當(dāng)然，由于移動(dòng)辦公已經(jīng)成為不可逆轉(zhuǎn)的趨勢(shì)，要商業(yè)人員減少使用U盤、筆記本電腦等移動(dòng)IT設(shè)備是不現(xiàn)實(shí)的。Check Point 軟件技術(shù)有限公司安全顧問吳航表示，治本的方法是協(xié)助他們加強(qiáng)數(shù)據(jù)安全，精確地說，是使用嚴(yán)謹(jǐn)?shù)募用芗夹g(shù)配合訪問控制技術(shù)，令移動(dòng)IT設(shè)備即使失竊，其存儲(chǔ)的數(shù)據(jù)也會(huì)“守口如瓶”。

使用加密技術(shù)將有效減少移動(dòng)設(shè)備在失竊時(shí)的數(shù)據(jù)風(fēng)險(xiǎn)。

誤區(qū)2：攘外重于安內(nèi)

要防范威脅，首先要了解威脅來自于哪里?！巴ǔ?，人們都會(huì)認(rèn)為來自于計(jì)算機(jī)黑客、惡意代碼編寫者等外部的安全威脅遠(yuǎn)遠(yuǎn)大于內(nèi)部，實(shí)際情況并非如此?！辟愰T鐵克公司技術(shù)經(jīng)理曹如瑋表示，一般企業(yè)安全范圍的重點(diǎn)是在防范所謂的外部黑客攻擊，但是超過一半的威脅恰恰來自企業(yè)內(nèi)部，外部攻擊僅占46%。

其中，企業(yè)內(nèi)部的威脅中，50%的被調(diào)查企業(yè)表示是因?yàn)檎麄€(gè)流程的文件處理不妥善;另外60%是員工不小心的錯(cuò)誤。96%的內(nèi)部安全威脅是來自于非蓄意的動(dòng)機(jī)和錯(cuò)誤;只有1%才是真正的惡意行為。由此看來，內(nèi)部威脅之所以“為所欲為”，歸根結(jié)底，還是員工安全意識(shí)薄弱。

一位業(yè)內(nèi)人士曾經(jīng)就這個(gè)問題拿U盤來舉例，他指出，和歐美等國(guó)家相比，中國(guó)U盤傳毒的問題越來越嚴(yán)重，并且一直沒辦法根絕，和員工缺乏安全意識(shí)緊密相關(guān)。通常，員工插取U盤時(shí)，很少會(huì)考慮到是否和公司的安全策略相違背，或者有可能引發(fā)公司的安全事故。

對(duì)策：盡管在防范內(nèi)部威脅方面，大多數(shù)企業(yè)還沒有拿出切實(shí)有效的方案。但是從《信息周刊》2008年的安全調(diào)查來看，57.6%的企業(yè)已經(jīng)表示，培養(yǎng)并提高用戶的信息安全意識(shí)，將是自己所在企業(yè)未來一年里，打算采取的最關(guān)鍵的安全策略。中國(guó)長(zhǎng)江三峽工程開發(fā)總公司一位負(fù)責(zé)人表示，未來之所以越來越重視用戶信息安全管理，要?dú)w結(jié)于多個(gè)因素：近幾年對(duì)安全意識(shí)的討論越來越多，為安全意識(shí)從“概念”到“落地”做好了準(zhǔn)備;安全廠商也在推出越來越多的產(chǎn)品和方案;不少企業(yè)的成功應(yīng)用案例，也提供了很多借鑒性的經(jīng)驗(yàn);當(dāng)然，最關(guān)鍵的是，企業(yè)自身的確實(shí)存在這樣的安全需求。該負(fù)責(zé)人所在的中國(guó)長(zhǎng)江三峽工程開發(fā)總公司目前已經(jīng)將落實(shí)統(tǒng)一身份認(rèn)證管理，將加強(qiáng)安全意識(shí)納入到企業(yè)的安全策略中。