并不足够的重视

　　和朋友合伙开公司的刘东现在遇到了致命的打击——因利益分配的问题，曾经并肩战斗的“战友”反目成仇，将重要的客户资源全部带走——以往和客户发邮件、传资料全部使用个人邮箱，临走的时候还把平常使用的电脑硬盘格式化，刘东完全是哑巴吃黄连，有苦说不出。

　　业内人士指出，中小企业在发展初期往往出于节约成本的目的，不愿意在信息安全方面投资，从长远来看对企业的发展不利，因为重要资料和业务数据的丢失对企业的打击往往是致命的。

　　事实上，来自成本的压力是中小企业在信息安全方面投入的最大障碍。IDC中国的调查显示，在资金投入上，63%的受访者期望增加投入或至少保持现状。虽然有46%的受访者表示不得不削减信息安全方面的预算。此外，另有40%左右的受访者表示将推迟实施信息安全方面的措施。这在很大程度上上造成了目前安全事件数量攀升的势头。IDC对1000家国内企业的调查显示，2009年有高达35%的企业表示有1～9件安全事件发生，9%的企业表示发生超过20起安全事件，另有5%的受访者称安全事件高达50起以上，相应比例比2008年都有所提高。

　　其中“数据被利用”是最典型的安全事件，23%的企业报告有此类事件发生，比去年增加7个百分点，随后依次是“网络被利用”、“系统被利用”等。安全事件发生后，2009年有42%的企业汇报称已给企业带来经济损失，比例较2008年提高了3个百分点。

　　从目前出现的案例来看，由于缺乏必要的安全机制与手段，一旦出现网络动荡或者病毒爆发，中小企业中有限的IT人员很难及时维护网络的稳定，加之自身技术力量有限，一般类似事故都有超过24小时至更长的影响期。

　　在记者的采访过程中，尽管很多企业的CIO对安全攻击等安全事件的一手资料缺乏很好的了解，但国家计算机病毒应急处理中心主任张健认为，“这是事实，但不是重点，重点是如何提高公司持续抵御和阻止攻击的能力，并且不会对员工的日常业务产生影响，也不会由于被动应付意外的危机而产生过高成本。这要求有关公司数据及系统风险的关键信息能迅速从第一线向公司其他人传播，在企业的每一层面推广安全意识是至关重要的。”他分析，“在预防数据泄密和安全威胁的问题上，企业需要拥有主动性战略，同时还需要广大员工在日常工作中积极参与，每一个员工需要知道自己的一些行为，比如把文件拷到U盘带出办公室，可能会损害公司数据。通过在企业终端上实施数据外泄管理策略，对存储、编辑和传递中的机密数据提供实时保护,能够使保证数据安全成为公司文化的一部分，使员工们投身于敏感数据的保卫战中。”

　　对此，普华永道北京信息安全咨询合伙人季瑞华认为：“除了软硬件上的投资，中国企业还应该紧密结合正确的安全策略、人员布署和有效的管理流程，使现有的信息安全技术为企业提供最大的效益。”