邱燕娜

2015年2月，一个全球性的黑客组织从30个国家的100多家银行窃取了10亿美元;5月底携程网遭攻击导致网站全面瘫痪，携程网称这是内部操作失误所致;7月，研究人员成功地通过互联网攻入并控制一辆汽车，导致一系列类似的漏洞曝光，引发消费者对物联网产品的担忧……2015年信息安全形势依旧严峻，互联网的推广应用，特别是物联网的应用，带来了新的安全挑战。

普华永道最新发布的全球信息安全状况调查（简称调查）结果显示，信息安全事故数量不断增加，网络安全仍然是关注的焦点。在中国，过去12个月中，平均每家受访企业检测到的信息安全事件从去年的241次上升到今年的1245次，增加了517%。

从全球来看，调查发现，在过去一年中各行业检测到的信息安全事件平均数量为6853次。与去年同期相比，由这些网络犯罪事件所导致的全球平均财产损失为255万美元，下降了5%;而中国这一数字达到263万美元，提高了10%。

普华永道中国网络安全服务合伙人冼嘉乐表示：“这一年，中国各重要行业检测到的安全事件都在增加，这也是全球普遍需要应对的状况。当下，网络攻击来自各个方面与维度，其中消费与零售、科技等领域尤为严重。”

在中国，企业的客户数据、内部信息和知识产权成为网络攻击主要锁定的目标。其中，针对客户数据的安全事件数量上升64%，远高于35%的全球平均值。

物联网应用安全正在成为一个新的关注点。然而，调查显示，许多受访者都还没有为物联网应用带来的安全风险做好准备：目前只有约44%的中国企业拥有相应的安全策略。

值得注意的是，在所有检测到的安全事件中，有50%归因于企业现有和离任雇员等内部人员。此外，大量的内部攻击来源尚不确定，未知内部人士参与的安全事件占42%。事实上，携程网瘫痪就是其中的一个典型案例。

为了应对不断升级的信息安全事件，企业也在多方尝试以求改善。很多受访的中国企业主动采用风险导向的信息安全框架（如信息安全管理体系ISO27001），强化外部合作，雇佣相关的高级管理人员（如首席隐私官），以提高信息安全并降低风险。

与此同时，企业在信息安全方面的投入显著增加。其中，中国受访者所在企业在信息安全方面的预算增加了16%，平均值达790万美元，高于全球平均值510万美元。

冼嘉乐告诉记者，相比过去企业更多地将预算用于购买设备，如今企业更多地将预算用于优化防御手段，提高检测、分析能力。特别是当前各企业正在积极完善安全管理体系，将很多预算投入到人员培训、安全意识宣贯等领域。

“企业需要持续完善其安全防护机制以应对日益增加的信息安全风险。”冼嘉乐表示，“我们建议企业搭建和实施稳健的安全控制系统，以快速识别来自内部的安全威胁，提高安全管控能力。此外，企业应当将网络安全融入企业的战略层面，渗透到企业关注的各个领域，制定针对物联网等新技术的发展计划，结合网络安全法。”