 |  |  |
   |
其实完全依靠金钱堆砌出来的信息安全防线看似固若金汤,但可能只是外强中干的“马其诺防线”。信息产业部电信研究院信息管理中心主任武骏说:“企业应该有信息安全的规划,按年度逐步实施。安全更多的是管理层面的问题,不是软件技术所能够全部解决的。”安全堡垒最容易从内部攻破,因此与花费昂贵的硬件产品相比,对内部员工进行良好的安全教育和风险管理事半功倍。美讯智网络安全有限公司中国区销售总监谢旭东说:“安全教育的手段非常多样,没有一个定式,不同的企业可以根据不同的情况发挥创新思维。”比如,在入职培训时进行系统访问安全、密码安全、电子邮件使用、上网指南、软件安装、防病毒、加密、备份等基本安全知识培训;编写员工安全指南和安全期刊等。谢旭东说:“事实上,最大的安全元素还是人,企业要激励员工参与到整体安全策略当中。”
信息安全无小事
尽管整体的安全架构十分重要,但企业并不能忽视一些“小事”。病毒、蠕虫、间谍软件以及垃圾邮件绝不只是令人讨厌那么简单,它们在任何地区都被当作最为重大的安全隐患——全球不同地区,分别有低至四分之一、高达三分之二的企业都对之非常重视。同时,破坏性的电子邮件附件攻击并未彻底消失;30%的美国公司去年仍然遭受了很多此类攻击。
值得注意的是,过去一年中,由于操作系统的漏洞而遭受攻击的企业有所减少,只有28%,而2005年是43%;同时,来自病毒和蠕虫的攻击也减少了。但不幸的是,在这些威胁减弱的同时,来自其他方面的威胁却极大地加重了。
在中国,有四分之一的受访者表示,过去一年中,他们所在的企业经历了身份窃取类攻击;而在美国和欧洲,这一数字几乎翻了三倍。在印度,病毒和蠕虫可谓最常被提及的安全漏洞。佛州电力的信息安全总监约耳·加尔蒙(Joel Garmon)表示,尽管过去没有比某些破坏性蠕虫更吓人的东西了,但“还是有很多新麻烦。现在每人都在用防病毒软件,几乎所有人都用防火墙,很多公司也都装上了防范入侵系统。” 但上述这些基础安全系统只不过是防御体系的第一道防线罢了,那些破釜沉舟的网络骗子们还会如其过去一贯所为——照样破门而入。CIO们一定深知,在信息安全方面,完美工作得到的奖赏远不如对百密一疏的惩罚来得大方,但他们却不得不努力让企业更安全。
