作者简介：贾文军先生是埃森哲全球技术咨询部门的高级安全顾问。他拥有CISSP和BS 7799认证，在安全风险评估和管理、数据安全、业务连续性管理、企业IT安全规划方面有着丰富的咨询服务经验。

随着信息通信越来越多地替代传统的业务模式，企业应该将信息保护集成到业务运作的管理层面。在传统的体系架构下，很多人认为安全对业务是有负面影响的，而不是能够推动核心业务活动效率的提高。如何建立有效的企业信息安全资产保护计划并得到有效实施，是每个企业管理层和信息安全决策者最关心的问题。

一、企业面临的信息安全风险趋势

企业越来越依靠信息资源，安全事件不断增长，而安全事件造成的损失以及用于事件处理的财力、人力以及IT资源的投入需要不断增长。这就需要进行IT规划和费用调整以保证适当的安全投入，部署有效的工具，来解决紧迫的安全问题。

安全威胁趋势

内部非授权访问和使用威胁仍然是企业面临的最大威胁，根据CSI/FBI的2005年计算机安全调查，内部威胁呈现不断增长的趋势，超过80%的数据损失来自于组织内部，主要是非授权访问和信息窃取。尽管多数情况下人们通常怀疑这些问题源于外部侵入，但是计算机系统与数据的大部分损失并非源于恶意的外部攻击，而是一些很简单的人为操作错误，或者是系统内部分合法用户的未授权或无意活动。

在CSI/FBI2005年计算机安全调查中，安全攻击形式中病毒（含蠕虫和木马）与间谍软件分别占83.7％和79.5％，远远高于其它攻击形式。此外还有三分之一的端口扫描和五分之一的数据或网络破坏。

随着应用系统复杂性的提高，应用的安全漏洞也在不断增加。安全威胁的对象正逐渐地从网络和操作系统转向应用系统以及更有价值的数据。然而企业对安全的关注仍然集中在病毒蠕虫以及操作系统层面的漏洞上。

Gartner预测有75%的安全漏洞是出在应用层面，到2009年有80%的企业将遭受应用安全事件，由于业务安全造成的财物损失将增加5倍以上，企业将不得不增加应用安全开发和测试方面的投入。

欺骗攻击（Phishing and Phraming）是新涌现的新的攻击方式，通过骗取用户信任来诱使用户访问非法的站点。Phishing是指通过电子邮件或者即时通信发送欺骗性的站点连接，诱使用户访问。

而Pharming是通过攻击DNS欺骗，将合法站点解析到非法地址。而一旦用户访问并信任该站点，就有可能泄露个人敏感信息或者遭受恶意代码的攻击。随着这种攻击技术的发展，攻击目标已不仅限于银行攻击，而是已经开始向所有的在线业务扩展。

新技术的不断应用也大大扩展了企业安全需求的领域，无线局域网、蓝牙、RFID、VoIP、即时通讯、移动终端等技术扩大了企业的安全边界。未来通过无线通信技术系统和移动应用的结合，都需要首先考虑安全问题。没有安全机制，攻击者可以很容易地对数据信息以及IT基础设施进行控制。

从信息安全到业务安全

业务安全需求不断变化，相关技术不断进步。企业不断扩展业务，员工、客户以及合作伙伴越来越多地与企业网络连接，进行移动办公和开展在线业务，这也就意味着对核心信息资产的威胁机会增加。信息安全已经从单独的保护计算机系统发展到保护业务安全。网络应用的攻击可以导致业务中断，影响经济收入和客户形象。

中国企业的安全形势

InformationWeek杂志和Accenture公司在2005年10月的联合安全调查显示，中国企业正在遭受越来越多

[1] [2] [3] [4] [5] 下一页