近年来,“红色代码”、“尼姆达”等带有危害性的网络病毒借助互联网这个特殊的载体,加快了病毒的传播速度;而黑客的恶意入侵、肆无惮忌地盗取相关用户的信息,也给相关企业带来了无法估量的经济损失。互联网以一种自由的、开放型的技术面向世界,“有矛必有盾”,开放的结果相应地就会带来现有网络的漏洞百出,也就发生了诸多新生代的新事件,据不完全统计,在美国,包括雅虎、eBay公司、亚马逊、微软、E-trade、ZDnet、CNN在内的各大顶级网站均曾接连遭到来历不名的网络攻击,经济损失达数十亿美元。
企业信息安全意识淡薄
北京建海通宽带网络技术服务有限公司技术部经理程津华表示,总结多年来工作的实际经验,总体而言,目前在国内,企业对于互联网安全状况的了解与熟知程度令人担忧,包括政府、银行、证券及ISP/ICP等在内的诸多企业的安全意识普遍薄弱。据有关调查显示,国内90%以上的电子商务站点都存在着严重的安全漏洞,大多数企业内部网络(尤其以局域网为主)都存在着安全隐患。
诸多中小企业在发展的过程中,各个用户只是对将要构建起来的公司局域网及其他办公所必需的软硬件设备感兴趣,认为这部分是一个企业所必备的办公设备、也是能看得见摸得着的。“购买的办公设备可以实时地为企业取得明显经济效益。但是,一个防火墙,它的报价大约在十万元左右。”程津华说,十万元对于一个国内中小企业来说,它的作用不亚于雪中送炭,“企业经过多年的发展,究竟能融到几个十万?”。
北京友邦在线电子技术有限公司的相关人士认为,企业对于信息安全产品的接受与否,还要看企业负责人的认知程度。一般情况下,只有是技术出身的管理者才对信息安全所感兴趣。基于此种情况,公司目前对于信息安全产品还没有任何需求。企业负责人认为,公司只能把有限的资金投入到扩大再生产中,对于企业级的信息安全,公司将从战略发展的角度,逐步加强信息安全意识。
价格不菲的信息安全产品
北京国信北方网络技术发展有限公司系统集成部技术经理纵程毅表示,一个较为完整的企业信息安全体系主要包括企业级的防火墙、漏洞扫描及自动检测三大部分。而这三大要素中所必要的相关软硬件设备的价格,令人十分吃惊的是,仅一个普通型防火墙产品,它的价格就十分昂贵,高达十多万元的防火墙对于一个正处于发展阶段的公司来说,很难接受;企业如果想构建起一个设备齐全、方便有效的公司网络,仅在企业信息安全产品这一方面就要投入五六十万元资金,这其中还没有包括人员费用及其他费用。
“可以这么说,每个企业经过动员、学习都清楚地认识到企业信息安全的重要性。”纵程毅提供了一组数据,在过去(2001年)的一年中,全美国64%的公司的计算机遭受了来自互联网的攻击,并导致了财政方面的损失。而他们在防止非法登录方面的投资的情况是:公司在信息安全方面的平均投资仅占收入的0.4%。虽然,据称到2011年这个数目将扩大十倍,达到总收入的4%,但显然还是很少。到2004年,80%的公司将会把互联网的使用作为他们日常业务的一个组成部分,到时候大约有一半的公司还要因为受到攻击而引起财政损失,就是让人担忧的事了。在经过摆事实、讲道理的过程之后,相关企业负责人也清醒地意识到企业信息安全及产品对公司发展的重要性。
但是,当企业负责人看到造价十分昂贵的信息安全产品时,态度就改变了。他们认为,信息安全产品动辄十几万元,这个消费概念相对而言,在国外,由于市场经济的成熟,企业普遍都能接受。但由于国内诸多“海归派”公司纯属COPY国外企业成功的模式,在制订整个价格链时,也完全COPY了国外的价格体系,这样完全脱离了国内的发展现状,使得企业在选择信息安全产品时无从着力,企业是真的有这方面的需求,但由于受到公司采购能力的限制,也只剩下了“需求欲望”。
漏洞百出的防御体系
正是带上了这个“有色眼镜”,企业负责人在选择信息安全产品的时候,就会采取以次充好、采取折衷的办法来解决企业所面对的信息安全。这样,一方面,正是由于有了这部分消费群体,也就出现了一个“畸形”的信息安全市场:人们都知道“便宜无好货,好货不便宜”,但由于受到公司规模及发展的限制,企业对于信息安全产品就没有更多的资金与精力,只好采用了以次充好的产品,“有总比没有好的多”,大多数企业都有此想法。
“但是,企业的这种作法却有些得不偿失,纯属‘自欺欺人’。”纵程毅说,防火墙本是安装在外网与内网之间,起到一种屏蔽的作用。但企业为了节省此项成本开支,所采取的经济又折衷的方法,就是安装在购买相关硬件设备时所附赠的OEM版杀毒软件等。
这种“委曲求全”的方法确实也可以取得一定的防御作用,但纵程毅表示,在软件架构基础上所实现的软件保护措施却有极大的漏洞。首先,在目前的几大操作系统中,尤其以微软公司的操作系统为主,其本身的漏洞就数不胜数,使用者需要不断地更新操作系统以“堵住”其中的漏洞。假设企业所使用的杀毒软件十分完美,可以防住90%的病毒攻击,但由于杀毒软件本身就架构在相关操作系统之上,这个操作系统也可以达到90%的安全性,两者相乘的结果就成了81%,而这81%的漏洞也会让企业管理者坐立不安。人们普遍忽略的一个关键因素是:随着国内企业信息化建设的逐步升级,越来越多的企业已经开始将自己的日常业务完全转移到电子平台上,由此导致的“网络依赖性”已经使得企业级网络的信息安全成为全球关注的焦点,这其中最为显著的标志,就是从去年开始陡然增多的网络恶性病毒侵害事件。
一个更加让人忧虑的事实,那就是随着网络概念的深入人心,大量免费供人下载传播的黑客软件被广泛使用,借助易操作的黑客软件,一个未成年的孩子也可一夜之间成为一名黑客。不久前,发生在英国首相府唐宁街10号的事件再一次为我们敲响了信息安全的警钟。企业惟有设计并制订出一套良好的网络安全方案,并能最终得以正确实现,才能在享受网络信息化优势的同时,把自身的风险降到最低。
