中国的信息安全令人担忧

　　季瑞华

　　今年3月7日到5月4日，普华永道与CIO杂志、CSO杂志共同进行了一项全球范围的信息安全状况调查，超过119个国家、来自各个行业的7200位IT、安全、商务主管人士接受了这项调查。

　　其中有11%、760份的反馈是来自中国大陆和香港，数量仅次于美国。这项调查普华永道已经进行了9年，但是如此高比例的中国受访对象数量还是第一次出现，也非常出乎我们的意料，这说明有越来越多的中国公司开始对信息安全感兴趣。

　　不过，令人不太高兴的是，调查结果显示，尽管中国在信息安全人员方面投入得更多，但在常见的有关隐私安全与信息安全等大多数方面均处于落后状态。

　　中国信息安全的不成熟已经影响到了经济发展。调查显示，中国受访机构的金融损失比例为23%，知识产权盗窃比例为18%，这些指数均为受访各国的最高值。在“定期的威胁与易受攻击性评估”、“制订知识产权保护策略与措施”等方面，中国受访者的情况也都落后于全球平均水平。

　　另外，中国的公司还忽略了一些信息安全战略和管理流程，比如，74%的中国公司没有首席信息安全官(调查总数平均值为68%)，59%的中国公司没有总体信息安全战略(调查总平均值为43%)。

　　更为突出的是，只有很少部分的中国公司有知识产权的政策流程——这可能解释了为什么在中国非法利用已知

　　与中国类似，印度在受到敲诈勒索、欺诈、窃取知识产权、金融损失等方面的比例也很高。但相比而言，印度从2006年起在信息安全实施与保护方面做出了明显改进，聘用首席安全官(CSO)和首席信息安全官(CISO)的比例、执行整体安全战略的比例、使用密码的比例从2006年到2007年都有不同程度的上升。

　　我认为，中国各机构要赶上世界水平，首先要设立首席安全官和首席信息安全官等岗位，并由有适当经验的人员担任，同时聘请信息安全顾问。其次，应检查它们在信息技术监管基础设施方面的有效性，同时加强有效信息安全战略、策略及相关管理流程的制定和落实。

　　调查结果值得注意的还有，雇员首次被列为最有可能制造信息安全事件的起因。大多数受访者把现任雇员和前任雇员作为最有可能的攻击源，超过了把黑客作为攻击源的比例。电子信箱、滥用有效用户账号与许可是进行这种攻击的主要方法。

　　欢迎订阅《中国经济周刊》，国内邮发代号2-977，国外订阅代号：W5372，订阅电话010-65363436，更多订阅信息请登陆：www.ceweekly.cn。

　　更多精彩评论，更多传媒视点，更多传媒人风采，尽在新浪财经新评谈栏目，欢迎访问新浪财经新评谈栏目。