以下的文章主要向大家講述的是全球信息安全領(lǐng)域的幾個大的現(xiàn)象大匯總，問問2008年8月因透過不安全的Wi-Fi入侵TJX等零售店而遭到起訴的11名黑客，便知─當(dāng)時有4,000萬筆信用卡與現(xiàn)金卡卡號被竊。

問問EDS承包Medicaid理賠處理專員：今年2月她承認(rèn)犯下盜賣客戶社會安全號碼與生日數(shù)據(jù)，以冒領(lǐng)退稅金。

問問猶他州大學(xué)醫(yī)院聘雇來護(hù)送磁帶到異地儲存中心的快遞人員。6月的某一天，他開了自己的車，而非公司的安保車來，結(jié)果這批包含2,200萬名病患賬單資料從前座被偷。

量化安全項目的報酬率并不容易，通常因為很難算出你從避免的危機(jī)中，可獲得多少金錢報償。今年低迷的經(jīng)濟(jì)，迫使決策者對任何預(yù)算提案都更加保守。即使如此，調(diào)查結(jié)果顯示，企業(yè)還是繼續(xù)購買、導(dǎo)入技術(shù)工具，包括入侵檢測軟件、加密和身份管理等。這倒是好消息。

然而我們研究又發(fā)現(xiàn)一個很嚴(yán)重的問題—太多企業(yè)仍然欠缺強(qiáng)制執(zhí)行的一致化、尖端的安全流程。59%的受訪者說他們有“全面性的安全策略”，PricewaterCoopers首席顧問Mark Lobel說，具有CxO層級的安全主管及發(fā)展出下述的安全策略。這兩項元素越高，安全事件的發(fā)生率越低。

但是不值得令人興奮的分?jǐn)?shù)卻在今年攀高。例如，56%的受訪者聘請了CxO層級的安全主管，比去年下滑4%。許多企業(yè)都會檢查網(wǎng)絡(luò)log看看有無可疑活動，但只有43%的人會稽核或監(jiān)控使用者有沒有遵循安全政策。這個數(shù)字比2007年上升6%，但“還不到應(yīng)有的水平。”Lobel說。

由此可知，安全仍然是被動而非主動的事情。做得更進(jìn)步的公司則會收集來自網(wǎng)絡(luò)log和其它監(jiān)控系統(tǒng)的數(shù)據(jù)，統(tǒng)合到商業(yè)智能系統(tǒng)中，以便預(yù)測出安全弱點(diǎn)進(jìn)而加以阻止。配合加密高手與認(rèn)證管理專家，安全小組還需要統(tǒng)計學(xué)和風(fēng)險分析師，以便跑在安全威脅之前，不讓自己公司成為安全新聞的主角。

雖然我們的研究顯示“革命尚未成功”，但在發(fā)現(xiàn)問題之際，我們也看到一條企業(yè)通往資料安全之路，沒錯，還是要應(yīng)用技術(shù)，同時發(fā)展一個讓安全技術(shù)融入所有人工作環(huán)境的流程。所以并不是完全沒有希望。現(xiàn)在該做的是檢討我們哪里做錯了，然后改過自新。

大方向：技術(shù)至上

有錢就有力量?在被要求指出信息安全經(jīng)費(fèi)的來源時，57%受訪者說是IT部門，60%表示，像是營銷、人力資源和法務(wù)部門等功能部門是他們的大金主。只有24%的人說公司有專屬的安全部門預(yù)算。

有了強(qiáng)大的IT部門，技術(shù)乃成為解決安全問題的主要方案。然而俗話說得好，“對一個拿槌子的人來說，什么東西都長得像釘子。”于是他們想用垃圾郵件過濾器來防堵網(wǎng)站釣魚攻擊，藉由加密公司資料阻絕筆記本電腦偷竊的發(fā)生。

如果真的有安全工具，我們的調(diào)查對象早就用上了。

例如，企業(yè)已經(jīng)了解到，他們淘汰計算機(jī)硬件的過程必須更完善，像是清除掉硬盤里的數(shù)據(jù)和應(yīng)用。目前已經(jīng)用工具這么做的受訪者有65%。為數(shù)據(jù)庫 (55%)、筆電(50%)和備份磁帶(47%)及其它媒體進(jìn)行加密的企業(yè)也比以前都多。使用入侵檢測軟件的比例也攀高：相較去年的59%，今年來到63%。安裝防火墻防護(hù)個別應(yīng)用，而不只是服務(wù)器或整個網(wǎng)絡(luò)的比例，則從去年的62%增加到67%。

雖然在技術(shù)層面有所進(jìn)展，但在安全流程與人員方面仍然存在隱憂—-某些購買安全防護(hù)的IT預(yù)算案仍然遭到否決。例如，加密機(jī)密數(shù)據(jù)似乎很有效，但此類技術(shù)卻無法防止員工藐視數(shù)據(jù)處理的公司政策。

犯罪活動已成為如何部署信息安全的重心了。為Wi-Fi上鎖以免讓壞蛋侵入，但好人做出壞決策，更會為我們帶來無數(shù)安全災(zāi)難。

例如，員工有時著了網(wǎng)釣郵件的道，開啟了附件，那將會把紀(jì)錄密碼的鍵盤側(cè)錄程序，以及會取得操作系統(tǒng)控管權(quán)的rookit等惡意軟件散布出來。安全經(jīng)理的工作是教導(dǎo)使用者自我防衛(wèi)。不是要員工注意帶有特定主旨的最新郵件，而是更廣泛的事物，教導(dǎo)使用者認(rèn)識點(diǎn)下一個不熟悉的URL、開啟附件，或者將社會安全號碼告訴網(wǎng)絡(luò)上任何一人時所蘊(yùn)含的風(fēng)險。

“想用技術(shù)來保護(hù)任何人不受到任何安全風(fēng)險威脅是不可能的。我們的工作，是把我們的思維傳達(dá)給使用者。”如同Brandeis，似乎有越來越多企業(yè)正在努力這么做。今年調(diào)查中有54%的受訪者指出有提供員工信息安全課程，比去年42%增加不少。#p#

安全名單

醫(yī)療資料相關(guān)的健康保險可移植性與責(zé)任法案(Health Insurance Portability and Accountability Act, HIPAA)，財務(wù)數(shù)據(jù)相關(guān)的沙賓法案，或是和信用卡數(shù)據(jù)相關(guān)的支付卡產(chǎn)業(yè)標(biāo)準(zhǔn)(Payment Card Industry standard)仍將是企業(yè)主管強(qiáng)化安全的重要推手。罰款和吃牢飯的威脅“功不可沒”。例如，和去年的40%相較，44%的受訪企業(yè)表示，只要有法律或產(chǎn)業(yè)規(guī)范的地方，他們就會小心檢查;43%說他們會監(jiān)督使用者有沒有遵循安全政策，和去年的37%相比有長足進(jìn)展。稽核內(nèi)部遵循風(fēng)險者高達(dá)55%，去年為 49%。

但我們切忌高興得太早。雖然成績有所進(jìn)步，但距離100%還遠(yuǎn)著呢。許多公司僅僅照章行事—而且還疏忽了基本安全把關(guān)動作，曾任微軟CSO與AT&T CISO與IT風(fēng)險管理副總裁，現(xiàn)任W Risk Group主席的Karen Worstell說。

遵循法規(guī)和標(biāo)準(zhǔn)不見得保證就有完善的安全政策，Worstell說，原因有很多。其一，企業(yè)可能只制訂了政策而不說明如何執(zhí)行，但一樣可以通過遵循稽核。另外，標(biāo)準(zhǔn)其實(shí)也有漏洞。

例如PCI要求企業(yè)必須安裝防火墻來保護(hù)持卡人的數(shù)據(jù)。但Worstell指出，該標(biāo)準(zhǔn)仍然無法解決企業(yè)在安裝了防火墻之后，是不是具有流程確保它是不是定期更新或監(jiān)控其執(zhí)行效率的問題。“信息安全僅符合PCI是不夠的。”她說。Hannford超市在2007年12月到2008年3月之間就發(fā)生客戶信用卡被竊情事，該公司那時已經(jīng)取得“信用卡產(chǎn)業(yè)最高安全標(biāo)準(zhǔn)”─PCI符合認(rèn)證。

而如果貴公司監(jiān)控安全的范圍僅及自家防火墻內(nèi)，這也是不夠的。但這正是現(xiàn)今企業(yè)的狀況。今年度的調(diào)查發(fā)現(xiàn)到，企業(yè)并不知道，顯然也不是很想知道，數(shù)據(jù)交給其它公司后會發(fā)生什么事，所以請做好雞飛狗跳的心理準(zhǔn)備。

業(yè)務(wù)外包，安全拋到九霄云外

今年調(diào)查最令人擔(dān)憂的一點(diǎn)是：只有22%的受訪者，會將使用公司數(shù)據(jù)的所有外部公司記錄下來。

如果這點(diǎn)還不足以讓你打冷顫，我們還有別的數(shù)據(jù)。調(diào)查中只有37%的受訪者，有要求持有他們客戶或員工個人資料的第三方公司，遵循他們的隱私政策。對了解第三方公司進(jìn)行審查，以了解他們?nèi)绾位蚴怯袥]有數(shù)據(jù)防護(hù)措施的比例就更少了—只有28%。然而卻有75%的受訪者表示，對合作伙伴的安全效率具有信心。這不是太天真了嗎?

隨著企業(yè)開始將各種工作外包出去，對任何處理公司資料的外部業(yè)者進(jìn)行審查，也就變得空前重要了，專精于商業(yè)機(jī)密防護(hù)的業(yè)界分析機(jī)構(gòu)Security Constructs執(zhí)行總監(jiān)Tom Bowers說。在這方面，藥廠的經(jīng)驗可作為其它產(chǎn)業(yè)殷鑒，他說。

Bowers加入Security Constructs之前曾在惠氏大藥廠(Wyeth Pharmaceuticals)擔(dān)任全球信息安全營運(yùn)部門資深經(jīng)理長達(dá)7年之久。Bowers的安全小組就必須對惠氏藥廠的合作伙伴仔細(xì)檢查安全措施。他們也不得不。“我們有責(zé)任保護(hù)智慧財產(chǎn)，不論它位于何處。不論是在我們公司，還是在都柏林的外包臨床試驗公司，或是其它不知名的地方，一處也不能漏。”

Shaklee CIO Ken Harris指出，所有企業(yè)都必須確定，外包廠商的安全水平和他們一樣高—甚至更高。“你怎么檢驗自家的安全與災(zāi)難回復(fù)機(jī)制，你就那樣檢驗?zāi)愕耐獍鼜S商。”他補(bǔ)充說：“這都是要花時間花資源去做的。”

然而企業(yè)卻因為成本或時間花費(fèi)而省略安全檢驗，PwC的Lobel說。檢驗合作伙伴的安全和隱私措施，最少得用上一名全職員工兩天時間來檢查最小型的公司，他估算。“而一家大型公司一般的伙伴有上千家。”他說。

不只防護(hù)系統(tǒng)，更要防護(hù)信息

一個地方只要存有信息，安全經(jīng)理就得時時牽腸掛肚。在我們調(diào)查中，過去一年發(fā)生過1~49件安全事件的公司有38%;而另外35%的經(jīng)理不知道公司是不是有被攻擊過。這和去年結(jié)果相去不遠(yuǎn)。

在這些曾經(jīng)受害的受訪者中，有39%是透過服務(wù)器或防火墻log發(fā)現(xiàn)，37%是安裝了入侵偵測或入侵防御系統(tǒng)。但也有很大一部份 ─36%─表示，是同事告訴他們的。這些數(shù)據(jù)反映出一個千古不變的道理，就是想建構(gòu)良好的信息安全環(huán)境，人的重要性不亞于技術(shù)。這再度證明定期員工訓(xùn)練的重要性。

灌輸員工數(shù)據(jù)防護(hù)與完整的責(zé)任觀念，是確保公司免于安全威脅最好方法，大陸航空CISO Tim Stanley說。

Stanley將公司的所有檔案依據(jù)3種變項來分類：所有人、商業(yè)價值和風(fēng)險層次。政府有“絕對機(jī)密”、“極機(jī)密”、“機(jī)密”3種等級，但大陸航空要求的更細(xì)，更靈活，分成層次和子層次。該公司會這么想，使得它比其它公司走得都要前面。只有24%的人表示，公司信息政策包含根據(jù)數(shù)據(jù)的商業(yè)價值來分類。雖然有68%根據(jù)風(fēng)險程度來分類，但有30%從來沒有執(zhí)行過。

此類項目的復(fù)雜性，說明了為什么比例這么低的原因。Lobel說：“這個項目要做很多工作，除非有法令規(guī)定，否則許多人不可能投入。”

Stanley預(yù)計一個項目得花3~4年。“任何和飛機(jī)飛上天，以及和錢相關(guān)的數(shù)據(jù)都算第一層。”她解釋。這包含機(jī)組人員排程、貨機(jī)和油料需求，以及信用卡處理數(shù)據(jù)。第二層或第三層也很重要，不過是非關(guān)飛行的信息，例如讓員工存取退休年金賬戶相關(guān)數(shù)據(jù)。

安全技術(shù)和程序必須和數(shù)據(jù)所有人定義的數(shù)據(jù)風(fēng)險和層級相對應(yīng)。層級一可能要求一天兩次備份及雙因素認(rèn)證。“我可以依據(jù)數(shù)據(jù)的價值來投入適當(dāng)?shù)馁Y源，并因此幫公司省下錢。”他說：“不用再花10元來保護(hù)價值僅5元的數(shù)據(jù)。”CEO聽到這番話一定很高興。

【編輯推薦】

1. 企事業(yè)單位局域網(wǎng)的信息安全技術(shù)詳細(xì)解析
2. 信息安全發(fā)展的難點(diǎn)與對策
3. 云計算使信息安全進(jìn)入結(jié)盟時代
4. 云計算信息安全前景不明
5. 誰來保護(hù)在云中的信息安全