今年企业用户已在信息安全产品上耗资数十亿美元。企业对操作系统进行了漏洞修补和补丁升级，努力增强计算机用户对身份偷窃威胁的安全意识，但即便是这样，大多数机构仍然不觉得今年比去年更安全。

　　《InformationWeek》研究部和埃森哲咨询公司(Accenture，下称埃森哲)合作进行的第十年度“全球信息安全调查”显示，美国1,101位受访者中的三分之二和中国1,991位受访者中的89%觉得和前一年相比，今年受到攻击的可能性依然没有降低，甚至危机感还有升级的趋势。

　　危机的起因是人们日益认识到，安全技术已变得过于复杂。对几乎一半的美国受访者来说，首要的安全挑战就是“安全管理的复杂度”。所谓“深度防卫”(Defense-In-Depth)只是意味着“尽管拥有一堆重复的技术，但你却没法以一种直接有效的方式处理安全问题”，埃森哲的安全应用全球管理总监阿拉斯泰尔·麦克威尔森(Alastair MacWillson)指出。“这就像你不得不给大门加了20把锁，原因是无法确定其中哪一把是真正有效的。”

　　我们的结论显示，受访者的担心甚至还不够，特别是针对公司和客户资料的丢失与偷窃问题。仅三分之一的美国受访公司和少于一半的中国公司把“预防泄密”作为最大的安全挑战。只有四分之一的美国受访者把未经授权的员工对文件或数据的访问，或外部人员做的客户数据盗窃列为最需要重视的3项安全隐患。除此以外，包含公司数据的手机设备的丢失和偷窃，以及知识产权的失窃，是更为缺乏关注的安全问题。公司对这些安全隐患还普遍缺乏认识，但现实中已有大量令人十分尴尬的报道——在过去一年半里除了零售企业TJX公司、美国退伍军人事务部(Department of Veterans Affairs)和美国乔治亚州社区卫生部(Community Health Department)都发生过数据丢失事件，当然，此外还有更多《InformationWeek》报道过的前车之鉴。

　　实际上，在过去一年里，最受重视的安全隐患是病毒和蠕虫(65%的美国受访者和75%的中国受访者)、间谍软件、恶意软件、以及垃圾邮件(中美两国都是40%)。

　　看错了方向?

　　那是不是我们的安全专家把注意力投错了地方呢?美国国土安全局(Homeland Security)的国家网络安全办公室(National Cyber Security Division)的杰瑞·迪克逊(Jerry Dixon)同意这个观点。

　　“你需要知道你的数据都存放在哪里，以及谁有权访问它们。”迪克逊表示。“这些决定了数据库中的数据完整性，而这些数据是开展业务的基础。”

　　当被问到安全专家需要注意什么的时候，IT服务供应商BT Counterpane公司的首席技术官(CTO)布鲁斯·施奈尔(Bruce Schneier)感慨道：“第一是非法行为、第二是非法行为、第三还是非法行为，然后才是合规。”

　　看起来安全专家确实没抓到重点，他们倾向于选择自己熟悉的安全问题来应对，而不是针对现在日益猖獗的，从客户数据和知识产权盗窃上获利的行为。然而，认真审视我们的调查结果，也显示机构正在觉醒，开始意识到客户信息和知识产权很容易受到数据盗贼的攻击。

　　在调查中，对70%的美国受访者来说，今年更易受到攻击的首要原因是日益复杂，手段高明的攻击，包括SQL注入攻击。这是一种针对网站提交的数据请求进行攻击的技术，SQL注入的目的只有一个：通过访问网站应用从数据库里偷取信息。

　　紧随其后的3个原因是：攻击公司网络的途径增多(包括无线接入点);攻击数量的增加;攻击者更多地出于恶意目的(如数据偷窃、数据毁坏、勒索等)。我们的调查显示，尽管网络攻击的主要后果常常是网络瘫痪，但受访者认为攻击的主要目的与其说是令网络瘫痪，还不如说为盗窃财产(如客户或企业数据)。只有13%的美国受访者认为他们最重视的3类攻击包括DOS(Denial of Service，拒绝服务攻击)和其他损害网络的攻击。这个数字比去年的26%大大降低。而在中国，仅有比该比例略高的受访者担心DOS攻击。

　　某些安全专家也许过于乐观或是无知。僵尸网络(Botnets)可以远程控制IT资源(编者注：例如个人电脑)，用于发动攻击和窃取信息(参见《逃离僵尸网络》)。尽管目前还只有10%的美国受访者和13%的中国受访者把他列入最主要的3类攻击方式之一，这种安全威胁在去年的调查中已经上榜。对此安全意识的不足也许是因为公司通常没有意识到他们受到僵尸网络的感染，而这也正是僵尸网络控制者所希望的。

　　同样，病毒、蠕虫和钓鱼欺骗是美国受访者最看重的3类安全漏洞。身份盗窃位列其中的第七位。但这不代表可以忽视身份盗窃的威胁。身份盗窃和欺诈对发生过数据泄露的公司来说就是最糟糕的噩梦，而还没有发生这类事故未必意味着安全措施足够，也许仅仅是运气问题。TJX公司就非常不走运，该公司IT系统中的457万客户记录几年前遭到偷窃，直到今年早些时候才在美国佛罗里达州被发现。这些信息被用来制作伪造的信用卡，并在几个沃尔玛商场欺诈消费了几百万美元。去年数据泄密的一个典型的案例就是退伍军人事务部的数据失窃案，该机构的一台笔记本电脑在一位员工的家里失窃，其上有2,700万条记录。但到目前为止，还没有发现任何身份盗窃和欺诈活动与这起安全事故相关。

　　另一个数据安全日益获得重视的标志是：美国受访者衡量安全投资回报时最看重的是可以削减多少与安全问题相关的工作时间(43%的受访者)，第二优先考虑的是这些安全措施能否更好地保护客户记录(35%的受访者)，排在第三位的是能减少的安全漏洞数量(33%)。

　　也许整个调查里最令人震惊的是，将近四分之一的美国受访者根本不评