爱华网文/季瑞华
今年3月7日到5月4日,普华永道与CIO杂志、CSO杂志共同进行了一项全球范围的信息安全状况调查,超过119个国家、来自各个行业的7200位IT、安全、商务主管人士接受了这项调查。 其中有11%、760份的反馈是来自中国大陆和香港,数量仅次于美国。这项调查普华永道已经进行了9年,但是如此高比例的中国受访对象数量还是第一次出现,也非常出乎我们的意料,这说明有越来越多的中国公司开始对信息安全感兴趣。 不过,令人不太高兴的是,调查结果显示,尽管中国在信息安全人员方面投入得更多,但在常见的有关隐私安全与信息安全等大多数方面均处于落后状态。 中国信息安全的不成熟已经影响到了经济发展。调查显示,中国受访机构的金融损失比例为23%,知识产权盗窃比例为18%,这些指数均为受访各国的最高值。在“定期的威胁与易受攻击性评估”、“制订知识产权保护策略与措施”等方面,中国受访者的情况也都落后于全球平均水平。 另外,中国的公司还忽略了一些信息安全战略和管理流程,比如,74%的中国公司没有首席信息安全官(调查总数平均值为68%),59%的中国公司没有总体信息安全战略(调查总平均值为43%)。 更为突出的是,只有很少部分的中国公司有知识产权的政策流程——这可能解释了为什么在中国非法利用已知操作系统和应用系统弱点是恶意攻击的主要方式,因为在中国盗版软件很常见,而盗版软件不支持软件“补丁”,很容易造成系统漏洞,给人可乘之机。 与中国类似,印度在受到敲诈勒索、欺诈、窃取知识产权、金融损失等方面的比例也很高。但相比而言,印度从2006年起在信息安全实施与保护方面做出了明显改进,聘用首席安全官(CSO)和首席信息安全官(CISO)的比例、执行整体安全战略的比例、使用密码的比例从2006年到2007年都有不同程度的上升。 我认为,中国各机构要赶上世界水平,首先要设立首席安全官和首席信息安全官等岗位,并由有适当经验的人员担任,同时聘请信息安全顾问。其次,应检查它们在信息技术监管基础设施方面的有效性,同时加强有效信息安全战略、策略及相关管理流程的制定和落实。 调查结果值得注意的还有,雇员首次被列为最有可能制造信息安全事件的起因。大多数受访者把现任雇员和前任雇员作为最有可能的攻击源,超过了把黑客作为攻击源的比例。电子信箱、滥用有效用户账号与许可是进行这种攻击的主要方法。
