时刻准备着
美国国民油井公司(National Oilwell Varco)是一家油气钻探生产设备与元件的制造商和销售商,年收入为50亿美元。它采用了一种简单的战略来防范可能出现的安全攻击。公司业务发展经理卡洛斯·卡斯蒂略(Carlos Castillo)介绍说,公司采用基于Web的系统跟踪在中国购买的产品,范围从日用品(手套)到主要设备,不一而足。这些产品都是通过美国第三方物流提供商的中国运营公司来选购的。如果发生安全问题,系统就会通过电子邮件或者传真来报告,然后员工通过手工来更改交付和约定日期。
中国公司很大程度上依靠对服务器或防火墙日志和入侵检测系统的分析来了解安全破坏情况,但这些措施总是会有疏漏之处。去年出现安全问题的中国网站当中,有一半是在实际发现数据或资料受损后才知道攻击情况。
近一半(47%)的受访者认为,破坏行为危及保密信息的安全。超过三分之一的公司发生内部记录丢失或损坏的情况,或者系统崩溃。大多数中国网站(68%)对所受损失还没有能够引起足够的重视。
这些攻击主要锁定操作系统和应用程序的漏洞,另外在打开电子邮件附件时也会发生。而且和美国一样,这些安全攻击大多来自计算机黑客、恶意编码器(Malicious Coders)以及员工有意和无意发生的行为。
间谍软件在美国一般只会引起一些小麻烦,比如降低PC的性能等。而在中国,44%的公司认为,间谍软件会导致较为严重的损失,比如财务损失和身份被盗。其中一个可能的原因在于,只有18%的中国受访者表示,公司采用了防间谍软件。其他用来保护信息系统的工具包括基本用户密码(82%)、网络防火墙(67%)、VPN(44%)和安全套接层(SSL)协议(46%)。中国公司在这些方面均落后于美国公司。例如,仅有58%的中国公司采用了病毒检测软件,与此相比,美国公司在这方面则达到了73%。
中国企业认识到,他们容易受到越来越多的尖端威胁的攻击,并且发现他们将不得不“修改信息安全方法,要从如今小打小闹、零零碎碎的战术行动变为更具战略性质的系统计划。”埃森哲咨询公司全球安全咨询事务所主管合伙人阿拉斯泰尔·迈克威尔森(Alastair MacWillson)表示。
尽管如此,中国公司在安全开支方面,投入仍然比较有限。受访企业中,仅有11%预计他们今年将投入10万美元以上的资金,用于安全产品、服务以及相关员工的薪水(与此相比,美国达到35%),还有51%则表示他们将只投入10万美元或更少的资金。好的消息是,近一半(49%)的公司说,他们公司今年已增加安全开支。
路漫漫其修远兮
一旦安全计划到位,中国公司必须坚持采用强大的、可扩展的集成架构,这样他们才能有效地管理风险,对抗安全威胁,并为国际业务提供一个稳定的环境,迈克威尔森这样认为。
“明年我们要做很多事情来保护我们的网络。”中国电信公司江苏分公司的一名IT主管表示。该公司拟订的安全投资包括附加Web安全软件、数据库备份、VPN、防病毒软件、入侵检测系统和流量分析软件。该公司还紧密注视那些可添加到其IT基础架构中的新系统,如将要配置的数台新服务器。“在做这件事之前,我们应采取措施,确保他们对我们的网络安全可靠。”这名IT主管说。
正是基于这样的现实,美国商业科技人士对于中国市场反而增加了一定的信心。而且这一点看上去似乎有增无减,没有逆转的趋势。“总的来说,我们认为中国的机会将会越来越多。”安富利公司的卡明斯说道。
美国企业家在寻找机会时不能完全跟着感觉走。“要对什么是自己可以接受的,做到心中有数。”卡明斯补充说,“如果这些无法使你得到最大的利益,那么就只能离开。”
对于有的公司来说,缺乏安全的计算机系统将成为阻碍公司业务发展的重要障碍。最好的办法是现在就开始着手安全调查,而不是亡羊补牢。
《信息周刊》Jon Tian和Violet Tan对此文均有贡献。
CMP Media LLC2004-2005年登记版权。原文刊登于InformationWeek杂志。
Copyright 2004-2005 CMP Media LLC. Originally published in InformationWeek.
一次市场机遇?
中国企业增强信息安全的需求,是否将成为安全工具和服务供应商新一轮的收入增长点呢?迄今为止,这一点依然扑朔迷离。
“中国未来可能会选择本土供应商,构筑其国家安全策略。”顾能公司(Gartner)互联网安全部副总裁约翰·佩斯卡托(John Pescatore)这样认为。此外,中国的特殊国情也会使安全市场的开放受到一定的限制。
但并非所有人都这样看。“政府禁止使用国外供应商的安全工具的控制措施,将主要用于限制政府机构或军方网络的特定要求。”3Com公司企业发展部副总裁安尼克·博斯(Anik Bose)表示,“中国政府认识到缺乏信息安全是一项确实存在的商业问题,并允许中国公司自由采购合适的技术来保护其网络。”
3Com公司于2003年11月成立华为3Com公司,开始进入中国市场。最初这家合资公司的主打产品为公司的路由器和交换机。后来为了向客户提供更完备的系统,公司产品中添加了入侵防护系统。
“中国政府可从增强的公司安全中直接受益。”博斯认为,“如果它想要防范一些特定的活动,如非法点对点传输,那么已安装到位的高级安全技术(如入侵防护系统)可能会起到实际作用。”
显然,IT安全产品确实存在着一定的市场。在700家参加《信息周刊》英文版和埃森哲咨询公司(Accenture)联合进行的“2005年全球信息安全调查”的中国企业中,有五分之二的企业希望在接下来的12个月内安装应用程序防火墙,三分之一的网站将投资监控软件,同时还有四分之一的网站希望提高应用程序安全,安装入侵监测工具并集成其安全系统。(T112)
<<上一页
1
2
