【IT168 技术】企业核心信息丢失，有可能在一夜之间摧毁一个看似牢不可破的商业帝国。

　　2009年11月24日，荷兰银行被曝发生对公业务客户存款被盗事件。据悉，这一事件发生在两周前，是客户报警之后才被曝光的，涉及金额达2000万人民币。事件起因主要是由于荷兰银行内部员工私刻印章，将客户存款划转至自己事先部署好的公司账户，造成客户资产丢失。目前，荷兰银行以及监管机构都已开始针对此案展开相应调查工作。普华永道会计事务所风险管理及内控部门合伙人傅毓敏表示，这是一起典型的信息泄露引发的企业安全事件。

　　事实上，不仅仅是金融行业，普华永道近日发布的《2010年全球信息安全状况调查》也表明，安全事件越来越引起各行各业的关注。此次调查涉及130个国家7200多名来自各个行业的管理人员，其中有1165位来自金融业。调查结果显示:高达52%的受访者认为日趋严峻的风险环境显著提升了信息安全的地位和重要性，2010年是至关重要的年份;风险主要来自于监管环境日趋繁复，企业成本削减;此外，经济下滑削弱了商业合作伙伴，导致公司面临额外的风险，而危机中企业裁员也可能导致公司数据面临更大的风险。

　　数据外泄之痛

　　每丢失一条信息会造成多大的损失?

　　来自美国独立研究机构波尼蒙研究所(Ponemon Institute)的统计分析显示，美国企业2008年在数据丢失时的平均损失是，每条记录大约202美元。而2005年该公司同类性质调查的结果是每条记录损失138美元，2006年的调查结果是182美元，2007则是197美元，4年间每条记录损失费用增长64美元。

　　2009年，波尼蒙对来自17个国家的43家大型公司做了一次数据泄漏大调查，结果发现每个公司有4200条到113000条不等的信息丢失记录，其造成的损失超过1亿5千万元人民币。

　　相比之下，随着信息化水平的提升，国内的信息安全也开始得到各界的重视。2009年，央视3.15晚会上对一系列网银安全事件的报道，引爆了人们对信息安全的关注。据艾瑞咨询调研数据显示：有27.5%的用户在3.15晚会后决定减少使用网上银行和网上支付，有3.0%的用户决定不再使用。在网上银行和网上支付的潜在用户中，有57.6%的潜在用户决定推迟初次使用时间，有24.8%的潜在用户决定不再使用，仅有17.6%的潜在用户表示对其使用不会有太大影响。

　　对于个人来讲，信息安全问题也许是最近一段时间才受到重视。但事实上，信息安全早就开始为企业界所关注。那么，企业信息泄露的主要途径有哪些呢?

　　“一是企业不健康的网络环境，二是企业的员工行为”，致力于信息安全防护多年的资深安全顾问徐学龙表示，作为企业信息安全链条上最为重要的两个环节，这两方面的任何一点疏忽都有可能酿成巨大的灾难。

　　波尼蒙的统计显示，在所有的资料外泄案件中，只有2.4%采用加密等重要保护方式，只有8.5%有密码保护，这代表非常多的外泄数据完全没有密码保护。至于资料外泄的途径，报告显示，虽然人为的疏失已有大幅改善，但仍占35.2%;黑客恶意攻击及内部窃贼的比例约占29.7%;而旅行中数据遗失则占20.7%，意外揭露占14.4%。其中，内部窃贼的比例达15.8%，为前年的两倍，黑客则占13.9%。

　　据统计，如何阻隔网络威胁的入侵，保障企业网络应用环境的健康，成为信息安全防护建设的第一步。全球恶意程序已超过1600万个，而且每4秒钟就产生一个新病毒。虽然企业都安装有专门的防火墙或杀毒软件，但是要面对日新月异的网络威胁与黑客攻击手法，这样简单的防御是远远不够的。

　　并不足够的重视

　　和朋友合伙开公司的刘东现在遇到了致命的打击——因利益分配的问题，曾经并肩战斗的“战友”反目成仇，将重要的客户资源全部带走——以往和客户发邮件、传资料全部使用个人邮箱，临走的时候还把平常使用的电脑硬盘格式化，刘东完全是哑巴吃黄连，有苦说不出。

　　业内人士指出，中小企业在发展初期往往出于节约成本的目的，不愿意在信息安全方面投资，从长远来看对企业的发展不利，因为重要资料和业务数据的丢失对企业的打击往往是致命的。

　　事实上，来自成本的压力是中小企业在信息安全方面投入的最大障碍。IDC中国的调查显示，在资金投入上，63%的受访者期望增加投入或至少保持现状。虽然有46%的受访者表示不得不削减信息安全方面的预算。此外，另有40%左右的受访者表示将推迟实施信息安全方面的措施。这在很大程度上上造成了目前安全事件数量攀升的势头。IDC对1000家国内企业的调查显示，2009年有高达35%的企业表示有1～9件安全事件发生，9%的企业表示发生超过20起安全事件，另有5%的受访者称安全事件高达50起以上，相应比例比2008年都有所提高。

　　其中“数据被利用”是最典型的安全事件，23%的企业报告有此类事件发生，比去年增加7个百分点，随后依次是“网络被利用”、“系统被利用”等。安全事件发生后，2009年有42%的企业汇报称已给企业带来经济损失，比例较2008年提高了3个百分点。

　　从目前出现的案例来看，由于缺乏必要的安全机制与手段，一旦出现网络动荡或者病毒爆发，中小企业中有限的IT人员很难及时维护网络的稳定，加之自身技术力量有限，一般类似事故都有超过24小时至更长的影响期。

　　在记者的采访过程中，尽管很多企业的CIO对安全攻击等安全事件的一手资料缺乏很好的了解，但国家计算机病毒应急处理中心主任张健认为，“这是事实，但不是重点，重点是如何提高公司持续抵御和阻止攻击的能力，并且不会对员工的日常业务产生影响，也不会由于被动应付意外的危机而产生过高成本。这要求有关公司数据及系统风险的关键信息能迅速从第一线向公司其他人传播，在企业的每一层面推广安全意识是至关重要的。”他分析，“在预防数据泄密和安全威胁的问题上，企业需要拥有主动性战略，同时还需要广大员工在日常工作中积极参与，每一个员工需要知道自己的一些行为，比如把文件拷到U盘带出办公室，可能会损害公司数据。通过在企业终端上实施数据外泄管理策略，对存储、编辑和传递中的机密数据提供实时保护,能够使保证数据安全成为公司文化的一部分，使员工们投身于敏感数据的保卫战中。”

　　对此，普华永道北京信息安全咨询合伙人季瑞华认为：“除了软硬件上的投资，中国企业还应该紧密结合正确的安全策略、人员布署和有效的管理流程，使现有的信息安全技术为企业提供最大的效益。”

　　被重估的安全服务外包

　　威胁正在不断增长，而预算却在不断减少，技术人员也很难找到，一些企业的CIO开始把目光重新瞄向安全服务外包。就在几年前，很多IT管理员对于第三方安全服务还持怀疑态度，他们担心将安全部分外包给第三方将会引入新的风险，而且外人根本无法了解他们具体的安全要求。

　　现在，他们不得不重新平衡这样一种关系，成本和安全风险——企业经常花大价钱购买各种各样的安全设备，但企业自身的信息安全人员毕竟能力有限，不可能懂这么多，也不可能了解得那么深，而且现在IT行业人才流动很快，如果技术人员离职怎么办?

　　一些专家认为，虽然使用第三方服务会花费更高昂的费用，但是确实能够提供更高的有效性和可预测性，而这些很难在公司内部实现。

　　近年来，很多不具备内部专业人员或技术的中小型企业已经开始尝试购买安全管理服务，来帮助他们处理各种安全方面的问题，特别是现在威胁变得更加复杂的时候。

　　赛门铁克公司管理服务副总裁Grant Geyer表示，“这其实不是一件简单的事情，一方面，威胁越来越严重，我们的统计数据显示，网络上恶意软件的数量比2006年增加了571%。而在另一方面，约有一半的公司表示安全部门人员不足，没有足够资金雇佣合适的安全人员。在当前经济状况下，19%的企业表示他们受到IT部门裁员的严重影响，这并不奇怪。”

　　外包安全在过去几年中一直在稳步发展，这种增长在经济危机的刺激下，几乎成直线增长。电子邮箱安全，包括加密、存档和内容检查等，是企业最普遍的外包形式。网络安全，包括防火墙管理、过滤恶意内容、不适当内容，通常被认为是第二大外包服务。记者了解到， Forrester在2009年12月份公布的关于安全行业的调查显示，第三方安全服务是少数几项在2010年将要增加开销的项目，虽然增加率不到1%。在同年11月公布的管理服务单独调查则表明，大部分企业表示他们主要在电子邮件安全和内容过滤方面使用第三方服务，并且超过一半的公司将防火墙监控交给外包公司管理。

　　“这些公司使用管理服务供应商提供的安全服务，两个主要原因在于对专门技能的需要(占29%)和降低成本(占28%)，”Forrester研究公司的报告表示，“外包解决了企业的很多问题，能够为企业提供他们缺乏的技术人员，节省成本(或者说至少提供了更大的成本透明度和可预测性)，并且外包为企业分担了管理任务。”

　　“我觉得这些数字很惊人，”Geyer表示，“这些数据说明，尽管在过去几年中企业投入了很多钱和很多设备来解决安全问题，但是实际情况却变得更糟糕，所以他们开始寻求专业的安全保护，让他们的工作更加有效率。”

　　但不可否认的是，即使在一些的大型公司眼中，较低的成本仍会成为安全服务商的有利优势。

　　新的机会

　　一些安全服务商对于“成本”有着自己的理解。在记者的采访中，一些厂商认为，“成本并非安全服务外包中的主要考虑因素”。而他们所秉持的一点是，相比减少的那一点成本而言，企业的信息安全更重要!如果仅为了降低成本而选择一个不合格的公司，一旦发生风险，企业的损失是无法估计的。

　　来自成本的压力造成这样一种局面，有条件选择外包的公司多是一些信息化工作走在前列，本身实力也比较雄厚的公司，尤以中型企业为多。张健分析，大的用户资金实力雄厚，如果信息化对他们非常重要，有可能会考虑购买一些设备，自己来组建信息安全团队;一些规模较小的公司由于资金等限制，对信息安全不会给予很多的重视;而中型企业，则有可能是未来推动安全服务外包市场前进的主要动力。

　　中型企业信息安全体系的建立，往往有赖于企业决策层的大力支持、选择适合自身发展的安全方案，同时做到定期评估和调整安全政策，这样才能保证企业安全体系处于应有的健康状态。

　　从投入上看，国内中小企业的首要目标都是生存，因此对于传统大型企业的“防火墙” +“IPS/IDS” + “防病毒” + “反垃圾邮件” + “内网安全防御” + “数据/应用级别容灾”的策略，中小企业无力、也不需要如此“奢侈”。而合理的做法是，通过极为有限的资金，最大程度保护企业的核心信息资产。也就是说，企业要在良好的安全理念指导下，进行细致地规划和评估，利用企业小、防御广度小且集中的优势，展开定点防御。

　　张健强调，信息安全体制的建立只是安全的第一步，如何有效地贯彻事先制订的信息安全策略，以及不断深化企业的全员信息安全意识，将处于更加重要的地位。

　　对此，天融信公司安全服务部经理姜力东有着独到的见解。在他看来，国人不愿意为服务付费的情况确实存在，但近几年已经有所好转，从他了解的情况来看，一些高端行业的客户对服务很认同，而且非常愿意为自己的安全付出酬劳。但遗憾的是，现有的安全服务商却无法达到客户的要求，“一个好的安全服务提供商至少要能告诉客户，什么样的服务是好的，什么样的服务不达标，但现在我们还没有办法做到这一点!”记者了解到，目前在国内，可以提供“安全评估、安全加固、渗透测试、实时监控、应急响应”等与安全服务业务有关的公司非常多，包括天融信、启明星辰、东软、绿盟科技等等。但实际情况是，在安全服务外包市场尚不成熟的情况下，安全外包服务为公司带来的实际收入有限，因此在这一领域真正做的好的厂家并不多见。

　　那么，中国国内安全服务外包市场规模究竟有多大?目前尚没有一个权威的统计，各个厂家之间的看法也有很大差别，普遍的一个看法是中国现在的市场规模还较小，但增长空间很大。