日前,《信息周刊》研究部和国际商业机器公司(IBM)合作进行了2008年“中国信息安全调查”,这也是《信息周刊》以11年全球信息安全调查为基础,在中国开展的第四次安全调查,调查结果全面揭示了当前不容乐观的安全形势,对首席信息官(CIO)而言,安全威胁正在增多;环境日趋复杂;威胁手段更加多样,使得企业对安全问题愈发不敢掉以轻心。
首先,安全威胁数量的增长令企业遭受到了更猛烈的攻击。《信息周刊》2008年“中国信息安全调查”的数据显示,44.8%的CIO认为,所在公司比去年更容易受到恶意的攻击(原因选择见表1)。这一担忧在近几年的调查中一直居高不下,意味着企业一直面临着较高的安全威胁。目前,全球恶意程序已经超过1,100万个,而且70%的恶意代码能够窃取机密信息。“如果按照现在的增长速度,到2015年将会有2.33亿恶意程序,每小时会有26,598个新病毒需要处理。”趋势科技(中国)有限公司资深产品技术顾问徐学龙分析道。
庞大的黑客经济产业链也在为不稳定的安全形势推波助澜。在互联网上,只要付费,用户不但能订购恶意程序 ,还能保证该程序不被任何安全厂商检测得到。在国外某网站,发送100万封恶意邮件的报价只有8美元;窃取银行帐号类木马的报价是50美元;而不能检测出来的窃取型木马价格则略高一点,为80美元。
“从威胁的趋势来看,针对数据库的攻击会越来越多,给企业带来较高风险,”IBM中国区安全服务首席架构师李明表示,“除了关注应用层的安全,企业还要留心基于客户端的攻击,包括针对浏览器 及插件(Flash、媒体播放器)的攻击,这些威胁相对而言很难防范。”
面对瞬息万变的安全形势,企业并不是总能踏对鼓点。对症下药,寻找安全良方,避免种种安全的误区,才是长远的安全和发展之道。误区1:最需要防御的未必得到足够重视
各类安全威胁中,企业最重视哪3类?从近几年《信息周刊》的调查来看,病毒和蠕虫,间谍软件,垃圾邮件3类威胁一直高居榜首(见表2)。可是,在实际的安全部署中,如果你把最主要的精力用于应对以上3类威胁上,才是最需要担忧的非安全之举。《信息周刊》研究部调查显示,实际上,数据安全的危害性正在日益上升,如未经授权的雇员对文件或数据的访问、带有公司数据的可移动设备遗失或失窃等,但是这一点却并没有引起企业足够的重视。
信息技术市场调研公司高德纳公司(Gartner)早些时候曾进行一项关于数据被窃的调查,发现被访者中,只有25%的个案是源于不法之徒的恶意攻击,60%的问题却是由于移动设备丢失或被窃。通过与赛门铁克公司(Symantec)、Check Point公司、趋势科技公司等多家安全公司的交流,本刊记者发现,便携式的移动设备,比如U盘、手机、iPod等,容量很大、携带方便,用这些移动设备读取数据时经常在不知不觉中,就充当了病毒的传播者。更可怕的是,有些移动设备一出厂的时候里面就带了木马病毒。而在企业当中,针对U盘等移动设备的控制手段相对较弱。
对策:当然,由于移动办公已经成为不可逆转的趋势,要商业人员减少使用U盘、笔记本电脑等移动IT设备是不现实的。Check Point 软件技术有限公司安全顾问吴航表示,治本的方法是协助他们加强数据安全,精确地说,是使用严谨的加密技术配合访问控制技术,令移动IT设备即使失窃,其存储的数据也会“守口如瓶”。
使用加密技术将有效减少移动设备在失窃时的数据风险。误区2:攘外重于安内
要防范威胁,首先要了解威胁来自于哪里。“通常,人们都会认为来自于计算机黑客、恶意代码编写者等外部的安全威胁远远大于内部,实际情况并非如此。”赛门铁克公司技术经理曹如玮表示,一般企业安全范围的重点是在防范所谓的外部黑客攻击,但是超过一半的威胁恰恰来自企业内部,外部攻击仅占46%。
其中,企业内部的威胁中,50%的被调查企业表示是因为整个流程的文件处理不妥善;另外60%是员工不小心的错误。96%的内部安全威胁是来自于非蓄意的动机和错误;只有1%才是真正的恶意行为。由此看来,内部威胁之所以“为所欲为”,归根结底,还是员工安全意识薄弱。
一位业内人士曾经就这个问题拿U盘来举例,他指出,和欧美等国家相比,中国U盘传毒的问题越来越严重,并且一直没办法根绝,和员工缺乏安全意识紧密相关。通常,员工插取U盘时,很少会考虑到是否和公司的安全策略相违背,或者有可能引发公司的安全事故。
对策:尽管在防范内部威胁方面,大多数企业还没有拿出切实有效的方案。但是从《信息周刊》2008年的安全调查来看,57.6%的企业已经表示,培养并提高用户的信息安全意识,将是自己所在企业未来一年里,打算采取的最关键的安全策略。中国长江三峡工程开发总公司一位负责人表示,未来之所以越来越重视用户信息安全管理,要归结于多个因素:近几年对安全意识的讨论越来越多,为安全意识从“概念”到“落地”做好了准备;安全厂商也在推出越来越多的产品和方案;不少企业的成功应用案例,也提供了很多借鉴性的经验;当然,最关键的是,企业自身的确实存在这样的安全需求。该负责人所在的中国长江三峡工程开发总公司目前已经将落实统一身份认证管理,将加强安全意识纳入到企业的安全策略中。误区3:头痛医头,缺乏全局眼光
“企业安全管理过于分散也是不容忽视的问题。”Check Point 软件技术有限公司安全顾问吴航表示。虽然市场上不乏优良的安全技术,但其部署往往是“头痛医头,脚痛医脚”,彼此间不能妥善协作,这不但会造成资源浪费,还会在安全部署上留下漏洞。此外,为了抵御更多的威胁,安全产品的功能越来越强大,但太复杂的安全部署会造成网络堵塞,又为CIO增添了新的烦恼。
由于缺乏全局眼光,大多数企业仍然专注于保护网络,或是提供端点解决方案来抵御威胁,而没有建立以信息为中心的安全策略。《信息周刊》安全调查表明,23.1%的CIO认为,所在企业的信息安全策略有待改进;还有21.4%的CIO认为,信息安全策略、标准的执行力不够,导致企业抵御威胁的能力下降。
对策:普华永道会计师事务所系统与流程管理部合伙人傅毓敏建议,在战略及管理流程方面,企业应该制定整体信息安全战略、业务持续及灾难恢复战略和计划、配置架构的标准和流程以及致力于知识产权和信息保护的政策和流程,并执行定期的穿透测试、威胁和弱点评估及风险评估。
误区4:首席安全官继续缺位
要想制订统一的信息安全政策,首席安全官应该是一个恰当的人选。某大型清洁能源集团是下辖众多子公司的国有企业,管理难度大,复杂度高。
该公司CIO抱怨,连防病毒软件都很难做到统一使用和分发,更不用说建立一个统一的安全策略。因为公司体系庞大,各有汇报条线,几乎不可能制定统一的策略。这也是很多企业的困惑。不过,如果设立了首席安全官一职,就有可能跨越组织架构的障碍。首席安全官通常会被赋予跨部门协调作战的使命,能够更方便地调用资源,下达命令。从《信息周刊》的调查来看,目前,只有13.9%的企业设立了这一职位。在28.2%的企业里,IT部门负责人兼任首席安全官;有27.8%的企业,由安全管理员担负该职责。IBM李明表示,首席信息安全官的设立可以视企业的规模、信息化推进的程度等具体程度情况来定,但不论是设立专职,还是兼职而为,安全策略都需要企业管理层的积极参与,并从安全管理者的角度来制定和推行整个策略。
对策:其实,除了首席安全官,所有的企业负责人都应该参与到策略设置中,包括首席信息官、首席财务官(CFO)、首席运营官(COO)等,以及企业上下所有的主管人员。毕竟,如果将IT安全作为业务的保障者,所有参与业务运营的人也都应当参与到安全策略的设置中来。
误区5:一味被动抵抗,很难先知先觉
企业得知受到攻击,通常都是在事发之后。这是一个让人颇为沮丧的事实。《信息周刊》2008年“中国信息安全调查”数据发现, 63.9%的企业表示:直到系统资源无法正常运行和服务,声誉和资产都遭到损失时,才着手开始弥补过错。
安永会计师事务所上海分所科技与信息安全咨询服务部合伙人阮祺康讲述了这样一个案例,某大型零售商的交易系统遭遇非法访问,数百万人的信用卡交易数据遭到泄露。在事件曝光之前,黑客就已经瞄准了该公司的金融数据库,并且不断进行攻击、侵入,然而该公司始终没有发现黑客入侵的迹象。客户资料被黑客多次窃取后,最终导致数千万顾客的信用卡和借记卡信息被泄露。这造成了严重的后果,不法分子利用窃取信息制造假信用卡或者诈骗其他零售商,累计损失达到了数百万美元。对策:从被动抵抗到主动防御,正成为企业当前面临的新考验。而安全厂商们也在着手改变被动的现状。趋势科技刚刚发布了基于云安全的产品路线图,Trend Micro Smart Protection Network。这种服务的核心思想是借助威胁信息汇总的全球网络,在源端阻挡来自网络世界的威胁。其实在去年,趋势就推出了具有软件即服务(SaaS)特征的Web信誉服务。瑞星公司也在7月16日正式推出“瑞星卡卡6.0”暨“云安全(Cloud Security)”计划(详见后文《安全在云端》)。
对CIO们来说,保证IT系统的高可用性和业务的稳定性始终是第一位的。稳定是创新的基础,也是企业快速发展的保证。因此,深入了解当前的趋势,掌握未来的方向,防范可能出现的风险,对于任何企业都显得至关重要。IBM李明表示,安全重在知已知彼,对CIO而言,知己比知彼更加重要。因为知道自己的弱点才能明晰采用何种应对的安全措施。以前瞻性防护为例,要想拥有一套精准的安全“天气预报系统”,企业需要具备充足的信息来源和高效率的防御工具,才能做到事前预警。
安全威胁无处不在,制定全面的安全政策和计划,紧密关注安全市场的前瞻趋势,可以使企业获得可持续的竞争优势。
