一、垃圾邮件、电脑病毒等传统的安全问题依然是CIO需要防范的。据说,2004年,比尔·盖茨(Bill Gates)在瑞士参加 "世界经济论坛"的一场讨论会时,曾对与会人员许下承诺:"从现在起的两年时间里,垃圾邮件问题将得到解决。"但是2006年9月,赛门铁克公司(Symantec)发布的第10期《互联网安全威胁报告》显示,垃圾邮件仍然是困扰很多企业的一大难题。而Gartner最新的报告也预测,2007年销售的安全软件中将有53.8%,约为49亿美元的销售额属于反病毒软件厂商,比如赛门铁克、McAfee、Trend Micro、Sophos、卡巴斯基、Panda、微软和CA等。所以2007年,垃圾邮件和病毒仍然不可避免。
二、2006年,虽然"反流氓软件联盟"在与雅虎中国、中搜、千橡等的"流氓软件"官司中,均因证据不足败诉,但是它的成立,说明了流氓软件(广义上也可以说是恶意软件)的危害已经到了一定的程度。在一场防治流氓软件的研讨会上,国家计算机病毒应急处理中心主任张健将四处泛滥的流氓软件直斥为"危及全球软件用户的一大公害", 赛门铁克于2006年9月发布的《互联网安全威胁报告》中也指出,在报告的前10大安全风险中,有8个是广告软件程序。Gartner于近期公布的2007年和以后几年全球IT行业所作的十项预测中,有一项预测就是:"到2007年年底,全球75%的企业将受到恶意软件的感染"。由于流氓软件具有一定的实用价值,处在合法软件和电脑病毒之间的灰色地带,CIO们更应该严加防范。
三、CIO的反黑客之战似乎永无宁熄之日,而且黑客一般和病毒"狼狈为*",很不好对付。《Information Week》和《Optimize》联合发布的《2007年展望》中显示:"超过半数的I
T经理表示,升级安全业务流程及安全软件是今年的战略重点。"虽然这个数字无法和2年前的82%相提并论,但是黑客仍然是CIO们2007年的一大敌人。
四、信息是企业资产的一部分,现在的信息海量增长,数据安全是企业越来越重视的一个问题。而且,美国萨班斯法案的出台,让企业对信息的管理更加重视,在信息管理方面,《萨班斯法案》强调了三个核心内容:即信息的完整性、信息的保密性和要求信息能够在适当的时间以适当的格式被访问。中国企业的信息安全意识也在慢慢加强,保护企业数据安全是CIO们2007年的一大职责。
五、Web 2.0站点正在不断增长,这类站点的特色是内容不断变化,这种特点决定了Web2.0不仅监控非常困难,而且很难确保相应的安全。因此,Web 2.0站点在攻击面前显得特别脆弱。
徐榕生:安全意识最重要
那么,面对不断袭来的安全威胁,除了购买安全产品以外,我们还应该做些什么呢?中科院高能物理所计算机中心研究员许榕生就指出:"安全意识最重要!"
徐榕生谈到:"安全设施的建立只是企业信息安全的第一步,如何在构建完成的安全体系中有效彻底的贯彻事先制订的信息安全策略以及不断深化企业的全员信息安全意识将处于更加重要的地位。光*技术不能完全解决安全问题,因为过了一段时间,一些先进的技术可能就过时了,所以企业的管理者应该有安全意识,重视自己企业的安全措施。这些安全措施包括,培养员工的安全意识,让员工养成良好的上网习惯,比如及时打好系统补丁、不要浏览不良网站、不随意下载安装来历不明的软件等等;对相关的技术管理人员进行培训也很重要,比如公司的网络管理员,每天战斗在第一线,没有及时的技术知识更新是不能胜任这个工作的;另外,对于重要数据,一定要做好数据备份,一些重要数据一旦没了,会导致灾难性的后果。"
目前,很多公司都采用了设置操作系统权限的方式来管理员工电脑。用户没有安装任何软件和修改注册表的权力,也没有使用系统盘的权力,这是一种比较有效的手段。在这方面,左丹奴集团的CIO侯彤的经验之谈是:系统和软件都是统一安装的,这样可以大大减少非法侵害。
