2006年全球安全调查

只摘录了自己感兴趣的文字，原文

数据失窃倍受关注

一年前，迫使企业做出应对的事件是恶意软件的攻击；而今年，则是数据遗失及失窃。

信息安全的首要问题从病毒转为数据盗窃，易观国际咨询有限公司分析师王涛分析，这一问题增多的原因在于“电子商务和网上支付的快速发展。”

最大的内部威胁往往来自那些未经批准就滥用数据访问权限的系统管理员或档案管理员；

在群硕，不同的项目组分割在不同办公区，依靠门禁系统凭卡进入，谢绝外来人员入内，开发人员的电脑不能使用可移动存储设备，办公室里不设打印机和传真机。

群硕董事长兼总裁刘英武笑称：“除了记在大脑里外，任何数据都没有办法带出办公室."

几近半数的美国公司对雇员的内部电子邮件和网站使用情况进行监测，有多于四分之一的企业对即时通讯和外部电子邮件的内容进行监测。

在保护数据方面，身份管理系统等面向雇员的技术扮演着越来越重要的角色，有时它起着最根本的作用。

换个角度看安全

许多企业都在不断扩大安全开支，但并非每家公司都是如此。预计今年将有57%的印度公司、近一半的美国公司、42%的中国企业以及25%的欧洲公司会增加其用于信息安全的开支。

平均而言，目前企业中多于10%的IT预算被用于信息安全。

“在线银行是信息安全起作用的最好例子，如果没有安全系统作为保证，没人敢将自己的账户信息放到网站上。”

企业几乎无法确定信息安全的投资回报率。客户数据系统出现一个漏洞，一下子就会花去企业上百万美元；而如果根本没出现漏洞，那么对完美工作的回报又是什么呢？用于评估安全投资回报率的主要方法包括：花在网络安全上的劳动时间、网络宕机时间的缩短、以及漏洞数量的减少。
企业安全计划(Enterprise Security Planning，ESP)

安全更多的是管理层面的问题，不是软件技术所能够全部解决的。”安全堡垒最容易从内部攻破，因此与花费昂贵的硬件产品相比，对内部员工进行良好的安全教育和风险管理事半功倍。不同的企业可以根据不同的情况发挥创新思维。”比如，在入职培训时进行系统访问安全、密码安全、电子邮件使用、上网指南、软件安装、防病毒、加密、备份等基本安全知识培训；编写员工安全指南和安全期刊等。谢旭东说

“事实上，最大的安全元素还是人，企业要激励员工参与到整体安全策略当中。”

信息安全无小事

值得注意的是，过去一年中，由于操作系统的漏洞而遭受攻击的企业有所减少，只有28%，而2005年是43%；同时，来自病毒和蠕虫的攻击也减少了。但不幸的是，在这些威胁减弱的同时，来自其他方面的威胁却极大地加重了。

有缺陷的软件是引起严重的安全隐患的罪魁祸首。对此，美国的商业科技专业人士们已经受够了：超过半数的受访者表示，从法律和财务的角度讲，供应商应该对产品的安全漏洞负责。

微软公司(Microsoft)就是这样一家企业。它一般会在“补丁日”，即每个月的第二个星期二发布其系统补丁包，故这一天被业内的安全专家“亲切”地称为“Patch Tuesday”(补丁星期二)。

去年，中国公司和印度公司遭受到的病毒攻击最为严重，相应比例分别为85%和70%。

　　与其他三个地区相比，中国公司受到的蠕虫、篡改Web脚本语言、以及网络欺诈等类攻击也最多；但其遇到的网络钓鱼攻击却少于另外三个地区：只有16%的中国公司表示曾遭受过此类攻击。