当5年前CIO杂志与普华永道联合开展首次“全球信息安全状况调查”时，只有极少数的人知道信息安全状况到底有多糟糕。但在“全球信息安全状况调查”进行到了第5届的今天，每个人都已经意识到了安全问题的严重性，而人们所不知道的只是如何去解决这些安全问题。

　　如今，人们对于信息安全问题的关注度已经达到了有史以来的最高峰，在1美元的IT投入中就有15美分是用在了信息安全方面，同时，负责信息安全的员工的雇佣比率也在逐年攀升。 然而，令人不解的是，相对于不小的投入，企业的信息安全状况却并没得到多大的改善。

　　而信息安全的持续升温让CIO与普华永道携手开展的“全球信息安全状况调查”进行到了第5年，可以说这是全球最大、最全面的年度信息安全调查，这其中包括了对这一年中全球范围内的信息安全状况的深入分析和总结。

　　调查中的首要问题就是，您对现在企业的安全状况感到担忧吗?还有就是，您感到担忧的原因是在于您无法确保自己企业的安全?还是恼于认识到无论花多少时间、多少金钱来努力防止这些“现代瘟疫”——垃圾邮件、bots、rootkits等，但它们仍将持续对您的企业发动攻击?也或者是由于您终于意识到了自己不知道的安全问题实在是太多了。

　　如果是这样的，那您的感觉就对了。您之所以有这样的感受，正是因为您现在能够实时地了解自己企业的安全状况。据2007年全球信息安全状况调查，在对遍及全球的7200位受访者进行了深入的调查之后发现，今年的信息安全问题比以往的任何时候都更为突显。当然，您会有这样的发现，也要归功于您所创建的用来观察信息安全状况的工具和系统。包括以下几个部分。

　　部署了安全策略3年前，在所有被调查的企业中，仅有37%的企业部署了整体的安全策略，而今年这一比率则上升到了57%。此外，在这些部署了整体安全策略的企业中，约有4/5的企业实施了企业风险评估。

　　部署了技术调查发现，在每10位受访者中就有9位表示他们在使用防火墙、用户监控技术和入侵检测设备。如果将受访者的范围缩小到较为大型的企业 (年收入在10亿美元以上)时，这一比率就接近了98%。另外，加密技术的使用达到了有史以来的最高点，有72%的受访者都使用到这一技术，而去年这一比率仅为48%。

　　雇拥了安全人员对CISO(首席信息安全官)和CSO(首席安全官)的雇佣比率持续上升，而负责企业信息安全的工作人员的人数也在不断增加。

　　事实上，现在企业一般都设置了智能的基础设施，这可以让它们很好地了解到企业的安全状况，这也正是您开始对信息安全问题感到担忧的原因所在。企业正经历着从对计算机安全状况懵然不懂而有几分沾沾自喜，到对信息安全状况了解后感到失落的巨大转变。

　　如今，企业的安全意识可能是达到了历史的最高峰，但知道并不等于做到，意识也并没有带来改进。更可悲的是，迄今为止所做的一切努力也并没实现从意识到行动的飞跃。

　　“现在，信息安全还远未达到一个成熟的水平。”普华永道咨询服务相关负责人表示，“我们是掌握了技术，但我们现在仍围绕着"哪些信息是重要的 "、"哪些信息我们应给予监控和保护的"等问题打转。因此，我们经常会听到控制台有这类的对话"信用卡号码正穿过防火墙泄露出去，这是PCI的问题吗?会对实际业务有影响吗?"”

　　“盲人”终于见到“光明”

　　回忆5年前的全球信息安全状况，调查报告中显示，36%的受访者表示他们没有发生信息安全事件，而今天这一比率已经下降到了22%。

　　这是否意味着今天的信息安全事件更多了呢?当然事实并不是这样的。我们认为，这仅能说明有更多的企业意识到了安全的问题，而事实上，这些企业一直以来都有发生安全事件，只是他们并没有意识到这些事件的属性，直到现在他们才意识到这些都是安全问题。

　　现在，人们知道了以往那些莫名其妙的网络停机也是安全事件。也许在此之前，垃圾邮件的爆发并不被认为是安全事件，但现在电子邮件有可能会携带恶意软件，因此它也被列入是安全事件的范畴。当然，现在人们的安全意识提高了，也不得不归功于企业花了过去5年的时间创建了很多能够了解到安全问题的基础设施。

　　在今天的企业，人员、策略和技术的部署都呈现出了持续稳步的增长，有时还会出现大幅上扬的趋势。但在那些仍未适当部署信息安全技术的企业中，技术的增加仍在其任务优先级中排在极靠后的位置，这也显示出了大多数人虽然认为他们需要这些技术，但现在却仍未真正落实。

　　安全事件的“元凶” 可能就是你自己

　　在2007年，“员工”第一次打败了“黑客”，这成为了信息安全领域中具有标志性意义的事件。其实，在安全领域，信息安全主管是对安全事件最有发言权的人，他们现在甚至认为可能最直接的安全事件“元凶”就是自己的员工。认识到了内部的威胁是安全意识提高的一个重要标志。

　　是不是因为员工忽然带有了更多的恶意?是不是因为内部工作忽然比过去更为高效了呢?也许并不是。大多数安全专家会告诉我们，内部人员的威胁是相对稳定的，但却通常比所怀疑的要更为严重些。当然，我们中并没有人会故意去怀疑自己的员工。

　　但是，漏洞和攻击的责任可能要归咎在员工身上，这无疑让那些说自己是零安全事件的企业掀起滔天大浪，这些企业的管理人员突然意识到了有些问题是一直存在的，只是他们先前并没有意识到而已。

　　“事实上，我们应该更好地做好安全状况的了解和记录工作。”TDAmeritrade安全工程顾问RonWoerner表示，“曾经有一段时间，我认为无知就是福，而现在，随着所有安全技术的部署到位，我们已经认识到了我们同样都存在着的安全问题。