【IT168专稿】如今，人们对信息安全问题特性的关注达到了有史以来最高峰。一美元的IT投入中就有15美分是用于信息安全方面，安全员工的雇佣比率也是逐年攀升。不过令人不解的是，相对而言，企业安全状况并没得到多大改善。 

　　今年已是连续的第5年CIO、CSO和普华永道通过携手实施“全球信息安全状况”调查——全球最大最全面年度信息安全调查，分析并总结一年的安全状况。

　　调查所问第一个问题常是：企业对现有安全状况感到担忧吗？还是恼于认识到不论花多少时间、多少金钱来努力防止这些“现代瘟疫”——垃圾邮件、bots、rootkits等，它们仍将持续对企业发动攻击？

　　为什么安全问题今年格外多

　　今年的信息安全问题比以往任何时候都更为突显。当然，我们发现这完全得归功于企业所创建的用来观察安全状况的工具和系统。例如：

　　添加了流程。3年前，在所报告企业中仅37%部署了整体安全战略。今年这一比率则上升到了57%。此外，在所报告企业中约有4/5都实施了企业风险评估，且至少都有定期进行。

　　部署了技术。10个受访者中有9个表示他们有使用到防火墙、用户监控技术及入侵检测基础设施。当将受访者范围缩小到较大型企业（年收入在10亿美元以上）时，这一比率就接近98%。而且加密技术使用达到了有史以来最高点，报告中有72%的受访都多少都有使用到这一技术，而去年这一比率仅为48% 。

　　雇拥了安全人员。对CISO（首度信息安全官）和CSO（首席安全官）的雇佣比率持续上升。企业信息安全工作人员平均人数在100个以上，当然其中最大原因可能在于外包服务的增多以及合同工使用的增加。

　　现在，企业一般都设置了智能的基础设施。现在企业能很好地了解到安全状况，这也正是企业您开始感到担忧的原因所在。

　　如今的安全意识可能是达到了历史的最高峰，但知道不等于做到，意识并不会带来改进。可悲的是，迄今为止所做的努力并没实现从意识到行动的飞跃。

　　“现还未达到下一个成熟度水平”PWC（普华永道）咨询服务负责人表示。“我们是掌握有技术，但我们现在仍围着‘哪些信息是重要的’‘哪些信息我们应给予监控和保护’等问题打转。我们常常会听到控制台有这类对话‘呀，信用卡号码正穿过防火墙泄露出去，这是PCI问题吗？会对实际业务有影响吗？’”

　　安全部署增多 问题更加凸现

　　5年前，“全球信息安全状况”调查报告显示：36%的受访者表示他们是零安全事件。今天这一比率则下降为22%。

　　这是否意味着现在安全事件更多了呢？我们并不这么认为。我们认为这仅意味着有更多企业意识到了安全事件，一直以来这些都有发生安全事件，只是他们并未意识到这些事件的属性，直到近期他们才意识到这些都是安全事件。现在，人们知道了那些以往莫名其秒的网络停机也是安全事件。

　　也许在此之前，垃圾邮件爆发并不被考虑为安全事件，但现在电子邮件有可能会提供恶意软件，因此它也被列入是安全事件范畴。现在说到人们安全意识提高，不得不归功于企业花了过去5年时间创建了能够了解到安全情势的基础设施。

　　现在，人员、流程和技术的基线部署都呈现持续稳步的增加，有时还出现大幅上扬趋势，但在那些仍未适当部署技术的企业中，技术的增加仍在其优先级任务中排在极末位置。这也显示出大多数人虽认为他们需要这些技术但现在却仍未真正落实。

　　今年是“员工”第一次打败了“黑客”，成为安全事件最大可能来源的标志性一年。安全领域的主管是对安全事件最有发言权的，他们甚至可能直接就称员工为安全事件元凶。

　　是否员工忽然变得带有更多恶意？是否内部工作忽然比过去的更为时尚和高效？也许并不。大多数安全专家会告诉你内部人员威胁是相对稳定的，也通常比受害人所怀疑的要更为严重些。当然，我们中没人会想要故意怀疑自己的员工。

　　而漏洞和攻击的责任可能得归咎于员工身上这个小石头，无疑将在那些报告说零安全事件的企业中掀起滔天大浪，——这是管理人员突然能够认识到有些问题一直存在但先前却无法确定的正常反应。

　　“事实是我们要更好地做好安全状况记录和了解工作。”现任TD Ameritrade安全工程顾问的Ron Woerner（前ConAgra Foods公司信息安全经理）表示。“曾有一段时间，我认为无知就是福。现在，随着所有技术的部署到位，我们将会认识到我们都存在着同样的问题。”

　　其实，若是创建的基础设施方式不当可能会导致更多员工成为安全事件中“元凶“。企业中，一名CISO存在是基本需要。CISO拥有工具，可调查内部网络异常和授权情况；拥有权力，可要求业务单位领导为其提供调查所需信息。

　　首先，他可部署用户监控工具来帮他识别内部威胁；其次，他可实现安全信息管理软件的集中化，来自动检测异常网络行为；最后，也许他还可添加定期风险评估流程（据调查显示，这是另一正在上升的趋势），免得忽然发现其办公室有之前未知漏洞正遭受攻击时手忙脚乱。

　　或许，他还可增加一种面向揭弊者（whistle-blowers）的匿名电子邮件/热线职能。通过将所有这些以及其它更多未提及方法都部署到位，相信企业检测到安全事件的胜算会更大些。

　　不过，与此相矛盾的是：尽管在过去5年时间里进行了进行了大范围人员、流程和技术的扩增，但报告零安全事件的受访者比率仍是减少了，表示不知道有多少安全事件的受访者则比率提高到40%，去年这一比率仅为29%。

　　而且，“不知道“安全事件类型及攻击所使用主要方法的受访者比率仍还在不断增加。