2005年中国企业信息安全调查
中国企业的网络和系统正在遭受越来越多的攻击,,但许多公司至今还没有建立起完善的防护网来保护自身的安全。
随着中国经济的发展,越来越多美国公司开始积极进入这个新兴的市场。但在进入这块新大陆前,他们需要对本土企业,也就是那些未来可能成为他们的客户或商业伙伴的企业的IT安全水平进行适当的调查和了解。然而,与美国同行相比,中国企业的IT系统安全水平令人担心,他们不仅正受到越来越多的攻击;而且对出现的许多威胁显得准备不足。
很多美国人以为,美国的计算机系统安全性令人担忧。但相比之下,中国企业的安全环境就更薄弱些:他们不仅遇到更多的病毒、蠕虫、DOS攻击以及身份盗用等问题,而且在面对攻击时,还存在保护不到位、预算比较有限等情况。
“2005年中国企业信息安全调查”是《信息周刊》英文版与管理咨询机构埃森哲咨询公司(Accenture)合作在9月进行的“2005年全球信息安全调查”的一部分。这个调查通过网络在线进行,对700名中国企业的商业科技和安全专业人员进行了调查。我们将这个调查结果与对2,540名美国商业科技企业和安全专家的调查结果进行比较分析后,得出的大致结论是:中国企业在许多方面还需努力追赶,同时,中国企业也非常明白这一点。
对于信息安全问题,中国的受访者们都表示出担心。接近半数(46%)的人认为,他们的公司要比上一年更容易受到病毒代码的攻击,遭受更多的安全攻击。他们指出,公司的安全状况之所以变得更加脆弱,首当其冲的原因就是安全威胁的手段越来越高明,攻击方式变化多端,攻击的数量也越来越多。
许多中国公司都没有启用高水平的安全程序。很多受访者表示,他们的公司在过去一年更易受到攻击威胁,或者受到攻击威胁情况与上一年水平差不多。在这些受访者当中,有49%的人将他们易受攻击的原因归咎于缺少信息安全策略,42%的人则把矛头指向了过时的IT架构,还有26%的人提到软件补丁程序不足这一问题。
复杂程度(55%)、用户意识(53%)和预算限制(30%)是他们面临的最大挑战。“我们正在努力教育员工认识IT安全的重要性。但如果投资不够的话,事情就不会有多大改观。”上海恒荣国际货运有限公司(下称“上海恒荣货运公司”)首席信息官(CIO)高宏飞表示。上海恒荣货运公司两年前就开始实施信息安全规定,告知员工有关行为标准,但自此之后,公司并没有定期审查过这些规范,高宏飞补充说。“过去一年中,我们通过网络隔离、带宽控制、访问限制、入口限制,以及不同部门之间的访问控制来加强内部管理。”高宏飞介绍说,“这些措施对我们的信息安全能带来一些积极的作用,但还远远不够。”
错误理解
51%的中国企业2005年的信息安全投入等于或低于10万美元。
经过市场经济的多年洗礼,中国的经济发展日趋活跃,并日益受到全球市场的关注。2004年,中国成为外国投资的第二大目的地市场。2005年8月,雅虎公司(Yahoo)以10亿美元加上其中国分公司的代价,获得了中国著名电子商务企业阿里巴巴公司的40%股份。而在9月,通用电气公司(GE)的保健部门又投资3,750万美元,扩建上海生产基地。数天后,通用电气公司又宣布购入深圳发展银行7%股份,股票价值约1亿美元。通用电气公司的目标是,今年在中国的销售收入将达到50亿美元。
但由于具体的国情,政府的一些措施还是对企业在面临高科技威胁时的思维方式产生了重大影响。“中国对互联网应用有着相当严格的控制,这使得许多公司认为中国的互联网环境足够安全,他们无需主动采取措施防范恶意软件(Malware)的攻击。”顾能公司(Gartner)互联网安全副总裁约翰·佩斯卡托(John Pescatore)分析认为,“当商业服务、PC和互联网连接缺乏适当保护时,就会成为安全威胁实现攻击的理想渠道。”
关注
这些问题并非不能克服。“中国企业在如何处理安全问题上愈发成熟。”年收入达130亿美元的电子元件和电脑分销商安富利公司(Avnet)CIO爱德·卡明斯(Ed Kamins)认为,“我们不应为此而担心或惊慌。实际上,我们需要了解安全问题并且做好准备。他们总有一天会如我们所愿,变帽冉险!!?/P>
位于美国凤凰城的安富利公司于5年前开始进入中国扩展业务,在此期间收购了数家公司。如今这家公司在中国大陆和香港地区分别拥有3家运营公司。总的来看,亚洲分公司每年的营业额超过20亿美元,其中大部分来自中国。
安富利公司的方法,就是将其所收购的本土企业的系统与自己原有的系统相整合,构成一个全球性网络和统一的应用平台。
安富利公司将公司分布在亚洲地区的企业资源计划(ERP)系统整合到SAP系统中,同时,公司的全球网络使其可以集中管理和监控安全漏洞并安装补丁。“我们也经历了一些常见的安全威胁的攻击。不过,我们经受住了考验。”卡明斯表示,“迄今为止,我们的业务或数据还没有受到什么实质性的破坏和损失。”
和安富利公司收购的公司一样,位于上海的伯灵伲ㄖ泄┗踉擞邢薰綶Bax Global (China )Co.,下称“伯灵顿(中国)公司”]已能够通过其母公司的安全程序来保护自己免受IT威胁。伯灵顿公司(Bax Global)位于加利福尼亚州尔湾市(Irvine),是一家年营业收入达24亿美元的供应链和交通运输解决方案公司。“我们作为中国分公司严格遵循总部的安全政策。”伯灵顿(中国)公司IT架构经理胡华表示,“我们通过防火墙来保护我们的内部网络。公司内还广泛采用了访问限制、VPN和防毒软件等配置。另外,我们还会同公司的安全顾问定期检查网络安全。”伯灵顿(中国)公司在过去一年内投资建立了网络安全监测系统,并且升级了其安全软件。
时刻准备着
美国国民油井公司(National Oilwell Varco)是一家油气钻探生产设备与元件的制造商和销售商,年收入为50亿美元。它采用了一种简单的战略来防范可能出现的安全攻击。公司业务发展经理卡洛斯·卡斯蒂略(Carlos Castillo)介绍说,公司采用基于Web的系统跟踪在中国购买的产品,范围从日用品(手套)到主要设备,不一而足。这些产品都是通过美国第三方物流提供商的中国运营公司来选购的。如果发生安全问题,系统就会通过电子邮件或者传真来报告,然后员工通过手工来更改交付和约定日期。
中国公司很大程度上依靠对服务器或防火墙日志和入侵检测系统的分析来了解安全破坏情况,但这些措施总是会有疏漏之处。去年出现安全问题的中国网站当中,有一半是在实际发现数据或资料受损后才知道攻击情况。
近一半(47%)的受访者认为,破坏行为危及保密信息的安全。超过三分之一的公司发生内部记录丢失或损坏的情况,或者系统崩溃。大多数中国网站(68%)对所受损失还没有能够引起足够的重视。
这些攻击主要锁定操作系统和应用程序的漏洞,另外在打开电子邮件附件时也会发生。而且和美国一样,这些安全攻击大多来自计算机黑客、恶意编码器(Malicious Coders)以及员工有意和无意发生的行为。
间谍软件在美国一般只会引起一些小麻烦,比如降低PC的性能等。而在中国,44%的公司认为,间谍软件会导致较为严重的损失,比如财务损失和身份被盗。其中一个可能的原因在于,只有18%的中国受访者表示,公司采用了防间谍软件。其他用来保护信息系统的工具包括基本用户密码(82%)、网络防火墙(67%)、VPN(44%)和安全套接层(SSL)协议(46%)。中国公司在这些方面均落后于美国公司。例如,仅有58%的中国公司采用了病毒检测软件,与此相比,美国公司在这方面则达到了73%。
中国企业认识到,他们容易受到越来越多的尖端威胁的攻击,并且发现他们将不得不“修改信息安全方法,要从如今小打小闹、零零碎碎的战术行动变为更具战略性质的系统计划。”埃森哲咨询公司全球安全咨询事务所主管合伙人阿拉斯泰尔·迈克威尔森(Alastair MacWillson)表示。
尽管如此,中国公司在安全开支方面,投入仍然比较有限。受访企业中,仅有11%预计他们今年将投入10万美元以上的资金,用于安全产品、服务以及相关员工的薪水(与此相比,美国达到35%),还有51%则表示他们将只投入10万美元或更少的资金。好的消息是,近一半(49%)的公司说,他们公司今年已增加安全开支。
路漫漫其修远兮
一旦安全计划到位,中国公司必须坚持采用强大的、可扩展的集成架构,这样他们才能有效地管理风险,对抗安全威胁,并为国际业务提供一个稳定的环境,迈克威尔森这样认为。
“明年我们要做很多事情来保护我们的网络。”中国电信公司江苏分公司的一名IT主管表示。该公司拟订的安全投资包括附加Web安全软件、数据库备份、VPN、防病毒软件、入侵检测系统和流量分析软件。该公司还紧密注视那些可添加到其IT基础架构中的新系统,如将要配置的数台新服务器。“在做这件事之前,我们应采取措施,确保他们对我们的网络安全可靠。”这名IT主管说。
正是基于这样的现实,美国商业科技人士对于中国市场反而增加了一定的信心。而且这一点看上去似乎有增无减,没有逆转的趋势。“总的来说,我们认为中国的机会将会越来越多。”安富利公司的卡明斯说道。
美国企业家在寻找机会时不能完全跟着感觉走。“要对什么是自己可以接受的,做到心中有数。”卡明斯补充说,“如果这些无法使你得到最大的利益,那么就只能离开。”
对于有的公司来说,缺乏安全的计算机系统将成为阻碍公司业务发展的重要障碍。最好的办法是现在就开始着手安全调查,而不是亡羊补牢。
一次市场机遇?
中国企业增强信息安全的需求,是否将成为安全工具和服务供应商新一轮的收入增长点呢?迄今为止,这一点依然扑朔迷离。
“中国未来可能会选择本土供应商,构筑其国家安全策略。”顾能公司(Gartner)互联网安全部副总裁约翰·佩斯卡托(John Pescatore)这样认为。此外,中国的特殊国情也会使安全市场的开放受到一定的限制。
但并非所有人都这样看。“政府禁止使用国外供应商的安全工具的控制措施,将主要用于限制政府机构或军方网络的特定要求。”3Com公司企业发展部副总裁安尼克·博斯(Anik Bose)表示,“中国政府认识到缺乏信息安全是一项确实存在的商业问题,并允许中国公司自由采购合适的技术来保护其网络。”
3Com公司于2003年11月成立华为3Com公司,开始进入中国市场。最初这家合资公司的主打产品为公司的路由器和交换机。后来为了向客户提供更完备的系统,公司产品中添加了入侵防护系统。
“中国政府可从增强的公司安全中直接受益。”博斯认为,“如果它想要防范一些特定的活动,如非法点对点传输,那么已安装到位的高级安全技术(如入侵防护系统)可能会起到实际作用。”
显然,IT安全产品确实存在着一定的市场。在700家参加《信息周刊》英文版和埃森哲咨询公司(Accenture)联合进行的“2005年全球信息安全调查”的中国企业中,有五分之二的企业希望在接下来的12个月内安装应用程序防火墙,三分之一的网站将投资监控软件,同时还有四分之一的网站希望提高应用程序安全,安装入侵监测工具并集成其安全系统。
——文/Helen D’Antoni 译/Simon Cheung
