信息安全威胁：企业面临的另一种天灾

　　勿庸置疑，今天对于企业的信息安全最大威胁来自于网络，而我们必须面对的一个事实是，没有绝对安全的网络，即便是最完美的系统，也存在着漏洞。

　　然而，为什么有的企业能安然在网上做生意，管理也日趋网络化，而有的企业却因为接入互联网而遭到灭顶之灾？当网络威胁已经无处不在的时候，当我们的安全产品还不能杜绝这些来自网络的灾难的时候，企业家们首先要做的就是在企业内彻底地贯彻网络安全条例。

　　很多企业家将企业网络的安全托付给CTO，但是事实证明，多数被赋予CTO之名的管理者，并没有CTO之实。企业决策者对网络安全的忽视，让他们很难将安全规划和安全条例彻底地执行，CEO和更高的管理者的个人意志完全可以凌驾于安全制度之上。

　　在很多企业里，安全制度根本没有受到尊重，谁都知道，一个不受尊重的制度如同茶余饭后的笑话——可以用来讲，但是效果不过是博人一笑。

　　如果CTO可以被看作企业网络的看门人的话，那些形同虚设的制度就如同门上的一把坏锁，每个有钥匙的人不知道它是坏的，CTO可能不知道它是坏的，而贼却知道。

　　CTO的另一个尴尬是，那些有着CTO之名的管理者，并没有CTO之能。令人担忧的事实是，很多企业中的CTO和他的部门也没有足够的信息安全意识。

　　赛门铁克技术总监郭讯平曾遇到过这样一个CTO。一次，赛门铁克为其网络做渗透测试的时候，他说，你不要给我讲你们的产品的性能有多好，如果你能证明我的网络很脆弱，我就买你的东西。赛门铁克的技术人员只做了一件事，在中午的时候给该公司的网管打电话，对他说我们是赛门铁克，我们做测试的时候账号用不了，你帮我重建一个吧。这个管理人员正在休息，随口就说你先用我的吧，我下午再帮你重设……接下来的事情可想而知，当日下午，当他们的CTO看到本公司的最重要服务器中的数据摆在眼前的时候，足足一分钟说不出话来。

　　只要稍稍做一个统计，我们就会发现，很多公司在购买了网络产品之后，原厂的缺省用户名和密码都未曾修改——如果现在你还能用ADMIN轻松进入公司网络系统，那你的网络管理人员根本就是不称职的。

　　广义安全

　　电子邮件在公司同事间的往来，已经成为再平常不过的事情，而这些CEO们或许不知道，他的员工可能就在某天接到他的邮件，命令其提交一份重要的报告，或者他的家人会收到来信，询问银行的账号和密码，然而他却对此一无所知……这不是假想，而是真正发生在眼前的“网络欺诈”。

　　可以想象，如果他的竞争对手，他的合作伙伴，收到一封以他的名义发来的邮件，内容我们且不作设想，后果已然可以预见的了。

　　据赛门铁克预测，间谍软件对网络的攻击将在2005年凸显出来，企业家们必须相信，文章开头的那一幕，完全可能在某天早上成为你床头报纸上的A1头条。

　　事实上，信息安全的薄弱之于企业家可能已经不只是一个意识问题，它还可以被看做是衡量现代企业的管理的一个标尺，“安全之于一个企业归根到底是一个管理流程，而不只是工具，”邓臻说，“尤其是对于中小企业来说，对于安全的重视直接反映管理水平。”

　　我们已经看到，在国际合作、吸引外资的活动中，越来越多的跨国公司要求中国公司通过ISO1799质量认证，在这个衡量企业信息安全的国际通用标准里，对安全控制的要求多达128项。

　　对于一个企业来说，信息管理的优化意味着良好的业务流程监控，意味着高效高质的工作，也意味着对自身商务信誉的重视。

　　不得不承认，科技是把双刃剑。在可以想见的未来，网络会越来越多地应用到企业的经营和管理中，或许对网络的拒绝就意味着在下一轮竞争中被淘汰的开始，而紧紧跟随时代的潮流就要学会利其利而钝其害，这也许是在2005年，或者在任何时候，企业家都永远不能放松的那根神经。