商业科技专业人士对IT安全正越来越迷惘。一方面，他们不断加大在信息安全方面的投入，但与此同时，他们又认为自己的企业更加脆弱，更加容易受到攻击。日前，《InformationWeek》研究部和埃森哲咨询公司(Accenture)合作进行了第10年度“全球信息安全调查”，调查全面揭示了商业计算环境所面临的各种威胁。调查显示，有55%的中国企业在信息安全领域比去年花费更多(见表2)，但同时也有58%的中国企业认为自己的组织更加脆弱(见表1)。信息安全似乎走入了一个“道高一尺，魔高一丈”的迷局。

　　迷局直接来源于信息安全问题的日益复杂化。分别有49%的美国企业和46%的中国企业认为，信息安全问题的复杂性是企业面对的最大挑战(见表4)。国际商业机器公司(IBM)全球信息科技服务部大中华区企业IT安全服务产品线经理徐欢说：“2007年信息安全问题呈现多样化的趋势，而对企业信息资产的进攻正在成为突出的威胁，这就要求企业从运营角度衡量信息安全和风险，并基于风险管理的理念制订适合自身需要的安全管理架构进行有效应对。”树立风险导向意识，建立整体安全架构，跳出技术看安全才能帮助企业走出迷局，迈向整体安全的新境界。

　　安全威胁变局

　　同2006年的“全球信息安全调查”一样，对于半数左右的企业来说，电脑病毒、蠕虫等传统的安全问题依然是首席信息官(CIO)需要防范的重点(见表5)。前不久，高德纳公司(Gartner)发布的年度安全软件市场增长评估报告预测，2007年安全软件的销售额将在2006年全年82亿美元的基础上增长10.7%，其中将有53.8%、约为49亿美元的销售额来自反病毒市场。这说明传统威胁的压力并没有消失。

　　但是在传统威胁的背后，安全威胁的性质正在发生实质性的转变。趋势科技公司(Trend Micro)亚太区总裁兼服务事业群全球总裁刘家雍在接受《信息周刊》采访时说：“目前企业安全问题的最大特征是具有针对性的攻击越来越多，特别是银行这样的金融机构、网络游戏、电信运营商、电子商务交易平台，攻击以病毒的形式，背后是黑客的恶意行为，这样对企业的威胁就比较大。”现在的黑客和病毒编写者已经不再倾向于使网络瘫痪，他们更关注的是如何通过网络获取经济利益。通过木马程序等方式窃取商业和个人机密信息的行为，以及被远程黑客控制的计算机数量均呈上升势头。随着信息的海量增长，包括各种数据和应用的信息资产对于企业运营正发挥日益重要的作用，对企业应用和数据的进攻正在取代对企业网络环境的进攻成为主要的威胁(见表6)。

　　IBM一份专门针对中国企业安全性的调查显示，有38%的中国企业已经意识到，信息安全比实际犯罪对他们的业务更具威胁，企业的品牌和声誉很容易因此造成严重的损失。赛门铁克公司(Symantec)首席执行官(CEO)约翰·汤普森(John W. Thompson)在接受《信息周刊》采访时表示：“过去的问题更多的是关于病毒和蠕虫，同时他们现在也仍然存在。当今更大的挑战在于间谍软件、入侵防护检测系统、网络欺诈和网络犯罪，而这些恰恰是不能仅靠技术就可以解决的。”由此可见，虽然从表面上看，病毒和蠕虫依然猖獗，但各种攻击手段的不断混合，使得企业面临不断变化着的安全环境和不断加剧的威胁，这正是企业大量投入信息安全建设却仍然无法得到安全感的原因所在。“缺乏主动管理的手段，数据日志和安全报告越来越多，使得企业对于信息安全越来越没有信心。”群柏数码科技有限公司市场总监王铭杰说。

　　同时Web2.O等大量新应用的逐渐普及、无线接入以及手持移动设备的大量使用，安全威胁的渠道也变得更加多样化。拿移动电话和无线手持设备来说，现在越来越多的企业信息被储存到这些设备里。诺基亚公司(Nokia)企业解决方案事业部中国区总经理刘强说：“这些装置的核心都是微型计算机，当网络周边设备扩展至智能电话或PDA时，用户就需要考虑这些设备的安全性了。”比如在没有适当认证的情况下，不允许移动设备从公司防火墙以外访问公司的机密数据，用户配置文件不得保存在公司域外，在公司域外保存的任何企业数据都必须加密，并且必须经过认证才能访问。如果没有安全防护措施，新应用的引入之日，就是信息安全新隐患潜伏之时。

　　树立风险导向意识

　　面对复杂的信息安全环境，单纯地通过购置安全产品已经难以防御，企业必须从信息资产管理的宏观角度建立整体的安全防御体系。“目前中国的安全市场仍然以安全产品的销售为主。厂家和用户从购置产品的角度看待威胁，在应对病毒破坏、黑客攻击等问题时，基本停留在兵来将挡的阶段。总体而言，企业在安全项目方面的回报并不很好，花了很多钱却没有花到企业需要用的地方。”IBM的徐欢说，“其中一个原因是企业难以认识到自己的风险所在，也就难以从投资回报的角度衡量安全投资。”同时，安全又是一个涵盖很广的领域，不同的厂家、集成商和用户对安全的理解各有千秋，但有限范围内最好的选择未必在全局上发挥最好的效果。

　　在单个安全威胁向混合安全威胁变化的趋势中，企业首先需要了解有哪些风险存在，预测、评估其发生的可能性以及对企业的影响程度，尽可能量化风险，然后根据优先顺序，采取适当的预防措施。从今年“全球信息安全调查”的结果可以看出，有24%的中国企业过去一年没有进行过风险评估，有44%的中国企业只是由IT部门的普通员工进行风险评估。(见表7)

　　风险评估机制的不完善造成了企业大量的信息安全投入收不到预期的效果。“你不能把面包和钻石放在同一个保险箱里。”王铭杰说。不进行风险评估，就等于把所有安全风险等同看待，这在安全威胁愈加复杂的今天显然会造成企业疲于应付。对于企业来说，树立风险导向意识成为当务之急，以把面包和钻石用不同的方法保护起来。“这不仅仅是一个IT系统的问题，”科索路咨询公司(Cosolu)高级咨询师梁晟说，“而是指将IT系统的风险与业务风险建立联系，把影响IT系统的因素进行量化，然后确定这些因素对业务可能产生的影响。从业务的角度出发，建立风险的可能性与影响性的矩阵表，这样就可以看出各种IT设施和应对措施的优先级别。”

　　树立风险导向的信息安全管理意识，最终目的在于提高信息安全项目的投资回报，将IT风险作为企业运营风险中的一部分加以管理，为建立完整的安全架构打下基础，彻底告别“头痛医头，脚痛医脚”的被动局面。

　　建立完整安全架构

　　对整体安全策略的重视正是美国企业比中国企业在信息安全方面信心更强的原因所在，有78%的美国企业在进行风险评估之后所采取的措施是完善企业的整体IT安全策略，而中国企业更多的则是选择修补漏洞(见表8)。IBM的徐欢说：“对于多数企业而言，目前都已制订了相关的制度和流程，但还没有企业级整体的信息安全规划和建设，信息安全还没有或很少从整体上进行考虑。”但类似尝试已经展开。

　　中国太平洋保险(集团)股份有限公司(下称太平洋保险)的企业IT安全体系正在建立中，目前已经完成了项目的设计和开发，进入评估阶段。由于企业IT安全体系的建立和实施涉及整个公司的各个层面，需要企业在IT建设方面建立相应的IT管理机制。为此，太平洋保险建立了从集团信息技术工作委员会的决策层，IT管理和专家组成的监控层，以及项目团队为实施层的管理框架。