近日,由《InformationWeek》和埃森哲咨詢公司合作發布了“2007年全球信息安全調查”
據查,商業科技專業人士對IT安全正越來越迷惘。一方面,他們不斷加大在信息安全方面的投入,但與此同時,他們又認為自己的企業更加脆弱,更加容易受到攻擊。日前,《InformationWeek》研究部和埃森哲咨詢公司(Accenture)合作進行了第10年度“全球信息安全調查”,調查全面揭示了商業計算環境所面臨的各種威脅。調查顯示,有55%的中國企業在信息安全領域比去年花費更多:
為什么你所在公司的IT系統比一年前更易受到安全攻擊?
美國 中國
70% 56% 安全威脅的手段更高明,比如SQL injection漏洞
58% 46% 攻擊公司網絡的途徑更多,包括無線攻擊
49% 42% 攻擊的數量增加
36% 41% 更多惡意企圖(比如身份盜竊、數據破壞、敲詐勒索等)
29% 20% 預算限制
21% 19% 執行安全政策不利
19% 28% 高級管理層對此缺乏關注或興趣
18% 42% 信息安全策略不完善
18% 34% 關鍵技術產品存在安全漏洞
17% 38% 補丁產品使用不當
13% 9% 采用或更多地采用外包服務
12% 15% IT架構陳舊過時
10% 20% 安全產品不兼容或互操作性差
10% 17% 安全政策和技術跟不上組織結構的變化
10% 16% 內部開發的軟件未對信息安全予以關注
9% 9% 雇用或更多地雇用臨時員工
6% 1% 其他
但同時也有58%的中國企業認為自己的組織更加脆弱:
與一年前相比,你所在的公司是否更易受到惡意代碼攻擊,并出現更多安全漏洞?
美國 中國
16% 58% 是
51% 31% 一樣
33% 11% 否
信息安全似乎走入了一個“道高一尺,魔高一丈”的迷局。迷局直接來源于信息安全問題的日益復雜化。分別有49%的美國企業和46%的中國企業認為,信息安全問題的復雜性是企業面對的最大挑戰:
你所在公司面臨的最大安全挑戰是什么?
美國 中國
49% 46% 管理安全問題的復雜性
33% 48% 預防安全漏洞的出現
33% 18% 加強安全策略
28% 35% 提高用戶安全意識
25% 16% 評估風險
21% 15% 獲得充足的資金支持
20% 23% 控制用戶對系統和數據的訪問權限
15% 15% 缺乏管理層的支持
10% 14% 缺乏專業資源和專業知識
3% 0% 其他
同2006年的“全球信息安全調查”一樣,對于半數左右的企業來說,電腦病毒、蠕蟲等傳統的安全問題依然是首席信息官(CIO)需要防范的重點:
過去一年中,你所在公司曾出現過哪類安全漏洞或遭遇過哪些類型的攻擊?
美國 中國
49% 68% 病毒
35% 55% 蠕蟲
31% 17% 網絡釣魚
17% 42% 篡改Web腳本語言
16% 21% 拒絕服務攻擊
10% 18% 應用軟件被操縱
9% 14% 身份盜竊
8% 13% 電信或未經授權的入口
7% 6% 移動(無線)應用入侵
6% 18% 數據庫受到安全威脅
6% 12% 非法的資料或數據交易
4% 15% 內容管理系統漏洞
3% 1% 其他
17% 1% 無
10% 1% 不知道
“目前企業安全問題的最大特征是具有針對性的攻擊越來越多,特別是銀行這樣的金融機構、網絡游戲、電信運營商、電子商務交易平臺,攻擊以病毒的形式,背后是黑客的惡意行為,這樣對企業的威脅就比較大。”現在的黑客和病毒編寫者已經不再傾向于使網絡癱瘓,他們更關注的是如何通過網絡獲取經濟利益。通過木馬程序等方式竊取商業和個人機密信息的行為,以及被遠程黑客控制的計算機數量均呈上升勢頭。隨著信息的海量增長,包括各種數據和應用的信息資產對于企業運營正發揮日益重要的作用,對企業應用和數據的進攻正在取代對企業網絡環境的進攻成為主要的威脅:
表5的攻擊對你公司產生了哪些后果?
美國 中國
41% 48% 網絡癱瘓
32% 38% 包括電子郵件系統在內的業務應用系統癱瘓
24% 41% 信息的機密性遭到破壞
18% 21% 較小的經濟損失
11% 40% 其他內部記錄丟失或遭到破壞
9% 36% 系統遭到破壞
9% 17% 知識產權盜竊
8% 12% 身份盜竊
8% 8% 客戶記錄不可用
7% 15% 客戶記錄的安全性遭到破壞
5% 8% 主板/硬盤出現物理損壞
5% 3% 法律責任
5% 3% 欺詐
3% 9% 嚴重的經濟損失
1% 4% 勒索
15% 1% 其他
在單個安全威脅向混合安全威脅變化的趨勢中,企業首先需要了解有哪些風險存在,預測、評估其發生的可能性以及對企業的影響程度,盡可能量化風險,然后根據優先順序,采取適當的預防措施。從今年“全球信息安全調查”的結果可以看出,有24%的中國企業過去一年沒有進行過風險評估,有44%的中國企業只是由IT部門的普通員工進行風險評估:
你所在公司如何進行信息安全風險評估?
美國 中國
37% 44% 由內部IT團隊(沒有CIO)進行評估
32% 23% 由首席信息安全官帶領內部IT團隊進行評估
22% 24% 我們沒有定期的安全風險評估
18% 21% 采用風險評估軟件
17% 17% 內部審計團隊和首席信息安全官一起進行評估
12% 17% 外包給風險評估服務公司
管理層的參與為企業建立完整的安全架構打下了基礎。未來一年中,從戰術層面上講,你所在公司將采取下列哪些安全措施
美國 中國
37% 21% 培養并提高用戶的信息安全意識
30% 33% 安裝更好的訪問控制軟件
27% 31% 安裝監控軟件
27% 20% 確保遠程接入安全
26% 6% 監控用戶遵守安全策略的情況
23% 12% 進行安全審計
22% 18% 安裝/監控入侵檢測工具
19% 21% 進行風險評估/安全測試
19% 14% 對業務部門進行信息安全培訓
18% 11% 建立無線網絡安全
17% 10% 進行穿透性測試/審計
16% 38% 安裝應用軟件防火墻
16% 17% 整合安全系統
14% 9% 加強電信通信安全
12% 22% 部署身份管理軟件
12% 4% 提供量化的風險管理方法/指標
9% 4% 降低安全管理的操作成本
8% 5% 建立手持設備安全系統
8% 8% 將業務部門納入最佳安全業務實踐
5% 11% 創建手機/PC(終端)安全系統
3% 13% 采用BS15000/ISO 15000
5% 0% 其他
我們感謝《InformationWeek》和埃森哲咨詢公司為我們作出的精彩評估,2007年的網絡威脅較之2006年的確是有增無減,而在面對威脅時的應對方式中美還是有差距的,但可喜的是這個差距正在進一步的縮小,中國的企業家們也漸漸知道了來自網絡的威脅遠比競爭對手更可怕。競爭中的一招失誤損失的可能只是皮毛,而網絡安全上的疏忽卻有可能造成滿盤皆輸!
為此有著為全球500強中98%以上的公司做網絡安全解決方案推廣經驗的Check Point公司就為中國的中小型企業開發出了一套高性能,低成本的網絡安全方案—— Safe@Office500和Safe@Office500W。
因為采用硬件的解決方式,所以管理起來一步到位,方便快捷。那么這到底是一款什么樣的產品呢?為什么采用簡單的方式就可以取得世界企業級的安全保障,到底又是怎么實現這一切的?
Check Point作為全球首屈一指的網絡安全服務商,那么,開發出符合中小型企業的安全產品就不足為奇了。
Safe@Office? 500W整合了108Mbps擴展范圍無線訪問點技術,所以擁有強大的無線安全保護與客戶熱點功能。說到底Safe@Office500和Safe@Office500W是一款特殊網絡安全路由設備,說它特殊是因為這款產品的功能和性能是普通路由器無法比擬的,由于采用了Check Point 下屬SofaWare?Technologies 公司所開發的先進技術,這款網絡安全設備集防火墻、VPN、防病毒、入侵防御,通信量模式分析及web過濾等功能于一身。
Safe@Office? 500整合了多種功能,包括網絡防火墻、網絡入侵防御和防病毒網關。Safe@Office500還支持多種附加在線功能,包括防病毒、安全和固件升級,用戶不用手工操作可以隨時抵御網絡的各種攻擊和病毒。通過它的內置界面,用戶可以把安全管理工作外包給可信的第三方,這樣您的公司就可以高枕無憂了。
Safe@Office 500產品系列是全新的企業級安全解決方案,為小企業解決了其進退維谷的安全難題,并充分考慮了小型企業的獨特需要和經費限制,在沒有降低保護水平的同時,免去復雜的設置程序和管理工作,對于中小型企業無疑是省錢省力的最佳選擇。