11月3日,在北京国家会议中心开幕的首届中国互联网安全领袖峰会(Cyber Security Summit),正式发布了国内首份《CTO企业信息安全调查报告》,报告显示信息安全已经成为企业发展的命脉,引发与会众多企业的共鸣和热议。 “随着互联网+持续火热,各类新型互联网创业公司不断诞生,越来越多传统企业触网,由于安全意识和安全能力的相对薄弱,在信息安全问题上面临较大的风险。与此同时,各类病毒更加隐蔽,扩散速度更快,给信息安全防范提出了更大的挑战。”中国互联网安全领袖峰会组委会表示,“因此,我们针对当前的信息安全情况对全国主要城市的近千位企业CTO进行了深入调查,以提升企业的信息安全意识、信息安全威胁防范能力。” 据悉,中国互联网安全领袖峰会是由中央网信办网络安全协调局指导,腾讯公司、中国信息安全认证中心、中国金融认证中心、中国电子技术标准化研究院共同主办的。 参与调查的企业认为,要构筑信息安全防护网,除了“提升全员的安全意识”和“发展专业人才技术”外,行业交流与合作的机制也是更有效保障“生态”安全的重要手段,在生态中共生,在协作中强大,这与本届互联网安全领袖峰会所倡导的“安全新生态”理念也不谋而合。腾讯公司副总裁丁珂在主题演讲《开放融合,构建“安全+新生态圈”》中指出,“加速互联网产业与安全的深度融合,构建互联网安全新生态,也正是首届中国互联网安全领袖峰会举办的初衷。” 90%企业无网不活 近半企业遭遇信息安全事故 国内首份《CTO企业信息安全调查报告》数据显示,超过90%的企业完全或高度依靠互联网开展业务,科技/互联网、金融、电信是对互联网依存度最高的行业,而其中创业型小微企业(50人以内)更甚,互联网成为这些类型企业发展的重要根基。 现代经济对互联网的依存度到达前所未有的高度,各个行业不论规模大小,都离不开互联网,由此也引发了一系列信息安全问题。今年以来,苹果、网易等众多企业相继“中枪”,哪怕一个很小的安全事故或者漏洞,都会导致整个服务链条的崩溃,牵连无数企业和用户。 调查数据显示,超过45%的企业在过去三年曾发生过不同量级的信息安全事故,甚至不乏我们所熟悉的知名企业;大型企业(规模超500人)与电信行业尤其是重灾区,分别有超过57%和64%的企业发生信息安全事故;这些安全事故直指商业机密、用户信息等核心信息资产。而目前仅有15%的企业认为自己的安全措施完全可以防范风险,仍然只有25%的企业拥有“客户端/服务器/网关/邮件/网络层防毒系统”多层面的防护系统。 1/4企业没有信息安全团队 1/3企业没有预算 《CTO企业信息安全调查报告》显示,企业在发生事故后安全团队组建的比例和资金投入都远高于尚未发生过安全事故的企业,分别比未发生事故的企业高出近13%和15%。 然而亡羊补牢不仅无法挽回事故所带来的损失,团队也承担着巨大压力。对于企业安全事故,尽管有接近75%的威胁都被认为来自企业外部,但有80%的公司管理层认为事故责任应由安全团队承担,其中有20%管理层甚至直接归咎于企业CTO。 不过,从诸多过往的信息安全事故来看,企业信息安全远非CTO一己之力就可以应对,在很大程度上还取决于公司在团队和预算方面的投入。 调查数据显示,23.9%的企业没有信息安全团队,30.3%的企业每年基本上没有信息安全预算,小微企业尤其是小微金融企业在这方面更加抠门,接近40%的小微企业(100人以下)没有信息安全团队和资金预算,超过50%的金融企业没有任何安全方面的投入。与之相对的,互联网与电信行业在信息安全建设方面则已经有较好的基础,这些企业超过76%有信息安全方面的专项投入。 事实上,面对广泛认知的病毒、木马、网络入侵、系统攻击等安全威胁,虽然70%企业在信息安全方面已有所投入,但参差不齐,目前有57%以上的安全从业者并未参加过相关的培训或者沙龙。 信息安全隐患升级 36%企业渴望安全新生态 “互联网+”推动了产业链和生态级互联互通,给企业带来了更大的能量,与此同时更大的脆弱也随之产生。 48%的企业认为信息安全不再是一两个人或系统就能解决的,安全隐患是变化的、动态的、不可控的。64%的企业认为信息安全频频发生是由于“网络技术的进一步发展”,52%的企业认为是信息化加剧了信息安全隐患。 让信息安全服务于“互联网+”已成为许多企业的共识,近7成企业认为“应该引起高度重视,让信息安全服务于互联网+”。而创造“智慧互联,PC、手机、Pad、车联网、智能家居、智能穿戴设备的全场景安全”和“求同存异,打破不同企业、行业的边界,形成跨界融合”则成为最受认可的安全理念。 参与调查的企业认为,要构筑信息安全防护网,除了“提升全员的安全意识”和“发展专业人才技术”外,行业交流与合作的机制也是更有效保障“生态”安全的重要手段,在生态中共生,在协作中强大,这与本届互联网安全领袖峰会所倡导的“安全新生态”理念也不谋而合。