目录一、企业信息安全现状 (1)1、企业信息安全威胁现状 (1)1）企业外部信息安全威胁 (1)2）企业内部信息安全威胁 (3)3）信息安全威胁给企业带来的损失 (4)2、企业信息安全投资现状 (6)3、企业现有安全产品分类 (7)1）防火墙 (8)2）安全路由器 (8)3）虚拟专用网（VPN） (8)4）安全服务器 (8)5）用户认证产品 (9)6）安全管理中心 (9)7）入侵检测系统（IDS）与入侵防御系统（IPS） (9)二、安全市场发展趋势 (9)1、报告核心发现 (9)1）安全领域仍旧是吸引IT专业人员和企业的热点 (9)2）安全解决方案业务收益成为考虑的重点 (10)3）用户希望更为集成的安全解决方案 (10)2、安全市场分类及市场增长分析 (10)3、07年增长驱动因素 (11)1）符合法规性 (11)2）业务收益驱动 (11)3）SMB投入加大 (12)4）集成解决方案的驱动 (12)4、08年市场发展趋势 (12)1）安全硬件市场 (12)2）安全软件市场 (12)3）IT安全服务市场 (14)三、企业信息安全解决方案发展趋势分析 (15)1、企业信息安全架构发展趋势分析 (15)1）统一身份管理系统 (15)2）统一的认证机制和认证系统 (15)3）统一的授权管理机制和系统 (16)4）统一的信息保密技术和完整性保护技术 (16)2、企业信息安全解决方案实施发展趋势分析 (16)1）风险评估管理 (16)2）安全策略 (16)3）方案设计 (16)4）安全要素实施 (17)5）安全管理与维护 (17)6）安全意识培养 (17)3、企业信息安全投资趋势分析 (17)1）基础安全产品投入稳步提升 (17)2）安全产品与应用软件关联性投资增加 (17)3）企业将加大员工安全意识的培训投入 (17)四、企业信息安全解决方案实施建议 (18)1、企业信息安全解决方案应达到的目标 (18)1）高生产力 (18)2）高度简化 (18)3）高度整合 (19)2、优化基础架构 (19)1）知识驱动 (19)2）灵活性 (19)3）可扩展性 (19)3、强化IT环境防护 (20)1）优化的性能 (20)2）简化的管理 (20)3）从源头保证安全 (21)总结： (22)附录A：术语及缩写 (23)附录B：参考资料 (24)一、企业信息安全现状1、企业信息安全威胁现状企业科技专业人士对企业的信息安全正越来越迷惘。

一方面，企业不断加大在信息安全方面的投入，但与此同时，他们又认为自己的企业更加脆弱，更加容易受到攻击。

本报告针对企业级信息安全解决方案和信息安全产品用户，以数据和图表向读者展示当前企业信息安全的现状、企业对信息安全的投资现状以及信息安全市场的趋势分析，并希望通过切实可行的信息安全实施建议，为企业在信息安全解决方案上的实施提供支持。

近两年来，中国企业信息系统用户的信息安全意识已经普遍得到提高，尤其是金融、电信、民航、电力、制造业等信息化程度高的重点行业，已经开始广泛部署各种网络安全技术和产品，然而，目前的安全形势依然不容乐观，病毒、木马、钓鱼攻击、垃圾邮件、僵尸网络、间谍软件、恶意软件、针对漏洞的攻击等依然会以各种不同的面貌出现，也不排除会出现新的攻击形式。

据统计，2007年电脑感染病毒的比例高达90.8%，其中电脑感染次数达五次的比例为35.8%；而账号/个人信息被盗、被改的则接近45%，其中账号／个人信息被盗1－2次的更高达63.2%。

此外，仅2007年上半年我国被植入木马的主机IP就增长了21倍。

除了恶意软件大幅度增加之外，2007还出现了暴风蠕虫，它是一系列后门木马和电子邮件蠕虫的统称，这些木马和蠕虫共同创建了大规模的分布式点对点僵尸网络。

同时，入侵数据库的行为在2007年危害巨大，大量企业和政府的敏感数据被窃取。

IBM一份专门针对中国企业安全性的调查显示，有38%的中国企业已经意识到，信息安全比实际犯罪对他们的业务更具威胁，企业的品牌和声誉很容易因此造成严重的损失。

而当前被报道的案例只是整个遭受安全损失的企业的冰山一角，更多的企业出于对企业形象的考虑，而没有对外声明自己被攻击的事实以及攻击带来的实际损失。

对于企业用户而言，过去的问题更多的是关于病毒和蠕虫，同时它们现在也仍然存在。

当今更大的挑战在于间谍软件、入侵防护系统、网络欺诈和网络犯罪，这些是不能仅靠技术就可以解决的。

从表面上看，病毒和蠕虫依然猖獗，但各种攻击手段的不断混合，使得企业面临不断变化着的安全环境和不断加剧的威胁，这正是企业大量投入信息安全建设却仍然无法得到安全感的原因所在。

依据企业信息安全威胁的来源，可以分为来自企业外部的威胁和企业内部的威胁两大类。

1）企业外部信息安全威胁企业外部信息安全威胁在形式上包罗了当前信息安全的各种形式，如病毒、木马、蠕虫、恶意软件等。

据市场研究组织Webroot的最新统计，中国约有一半的企业遭受了恶意攻击，有组织的恶意攻击呈上升趋势。

调查还发现，有40%的企业称因各类恶意软件攻击而受到了不同程度的损失，是比例最大的一部分；有26%的企业称，公司的机密信息被恶意软件盗取；有39%的企业宣称经常受到特洛伊木马的攻击；另有24%的企业则称，经常受到系统性监控攻击；有20%的企业受到键盘记录式攻击。

如图：“企业安全状况调查情况”所示。

图1 ：企业外部信息安全威胁另据《信息周刊》和埃森哲咨询公司合作进行的2007年“全球信息安全调查”提供的数据，针对中国和美国企业进行的调查中，在回答企业信息安全在哪些方面比去年更严重的问题上，具体数据如下图所示：图2 ： 企业IT系统遭受安全攻击的原因在2007年，对信息安全威胁最大的是恶意软件，相应的传播恶意软件的网站也占据了2007年信息安全威胁的主导地位，依据Gartner的统计数据，中国以32.95%的恶意网站数量居排行榜首位，美国以25.90%紧邻其后，这两个国家在近几年相关的恶意软件统计中几乎一直占主导地位，要改变排名先后取决于恶意软件编写的趋势和操作系统的发展。

在中国最流行的恶意软件载体是被黑网站和所谓的“防弹主机”，在美国，主要是被黑客攻击“.com”网站和一些利用窃取的信用卡购买到的合法主机资源。

俄罗斯和巴西占据第三和第四位。

这些国家情况类似，因为大多数恶意程序托管在“免费主机资源”中，网络服务提供商为用户提供机会可以向计算机上传自己的网站。

下图为使用Akross系统检测到的传播恶意软件IP地址地理分布图：图3 ：传播恶意软件IP地址地理分布图通过分析以上数据，报告认为在未来3-5年内，上述威胁状况及所占的比例并不会发生根本性的变化，传统的威胁方式将持续存在，同时无法避免新的威胁形式出现。

因此在未来的3-5年内，企业将面临更为严峻的外部安全威胁形式。

2）企业内部信息安全威胁在图1中，有30%的企业同时存在由于终端不符合安全要求带来的安全问题，这类安全问题往往来自企业内部，有最新的统计显示，企事业核心数据的流失实际上有80%左右源于企业内部人员的不正当行为，而只有约20%来自外部的侵犯。

近来频频发生的因内部网络安全导致的商业情报失窃事件，如韩国起亚“索兰托”泄密事件等，也进一步证实了这种观点，并改变着安全管理人员的观念。

因此，如何保护企业的信息资产，如何防范内部人员犯罪，发生信息泄漏事件之后如何进行取证已经成为今后信息安全建设的一个重要部分。

依据国家计算机应急响应中心发布的数据，在所有的计算机安全事件中，约有52%是人为因素造成的，25%由火灾、水灾等自然灾害引起，技术错误占10%，组织内部人员作案占10%，仅有3%左右是由外部不法人员的攻击造成。

如图4所示。

简单归类，属于管理方面的原因比重高达70%以上，而这些安全问题中的95%是可以通过科学的信息安全管理来避免。

因此，管理已成为信息安全保障能力的重要基础。

安全管理（SM），已经成为企业管理（EM）的一个重要组成部分。

从信息管理的角度看，安全管理涉及到策略与规程，安全缺陷以及保护所需的资源，防火墙，密码加密问题，鉴别与授权，客户机/服务器认证系统，报文传输安全以及对病毒攻击的保护等。

图4：计算机安全事件发生因素统计结果除此之外，依据“全球信息安全调查”的数据，中国企业在应对企业内部带来的安全隐患问题上，将面对以下安全挑战：图5 ：企业面临的最大安全挑战实际上，安全管理不是一个简单的软件系统，也不能单纯地通过企业的信息部门来解决，它包括的内容非常多，主要涵盖了安全设备的管理、安全策略管理、安全风险控制、安全审计等几个方面。

它主要解决以下问题：集中化的安全策略管理（CSPM）、实时安全监视（RTSA）、联动机制（CM）、配置与补丁管理（CPM）、统一的权限管理（PMAE）、设备管理（DM）在具体的实施上，需要整个企业从上到下的统一的策略制定和执行，以及相应的信息安全意识培训，来提高整个企业的安全管理意识，从而保证企业的信息安全性。

3）信息安全威胁给企业带来的损失依据《信息周刊》和埃森哲咨询公司合作进行的2007年“全球信息安全调查”提供的数据，对企业在过去的一年里遭受的信息安全攻击所占比例的统计如下图所示：图6 ：企业遭受的安全威胁统计从上图中可以看到，传统的病毒、蠕虫、修改Web脚本语言和拒绝服务攻击为比例最高的四项，在今后相当长的一段时期内，这样传统的威胁将持续存在并将带来不可估量的损失。

对于图2中的信息安全攻击行为对企业造成的后果，如下图所示：图7 ：攻击对企业造成的后果其中，造成网络瘫痪和信息泄密的事件所占的比例最高，更有近10%的受调查企业声称遭受了严重的经济损失。

随着企业对信息化依赖程度的增高，信息安全威胁带来的威胁将会呈现持续增高的趋势，而且在越来越多的情况下，这些威胁将直接导致企业经济上的损失。

2、企业信息安全投资现状在经历了数年的企业信息化投资和整个高新技术产业的发展之后，中国已经拥有相对完善的通信基础架构，很多大中型企业也拥有了比较完善的企业信息系统以及整体的IT基础架构，其中包括采用不同层面的安全解决方案。

在引入新的、更能优化企业流程、推动企业效益提高的IT解决方案之前，绝大多数企业希望现有的IT投资能够继续发挥作用，同时企业还希望能够降低IT部门的运营成本，以进一步提高企业利润。

在对120家国有重点企业、120户试点企业集团和地方重点企业的信息化调查中显示，我国企业对信息化建设的重视程度进一步提高，其中83.3%的企业设立了副总裁、副总经理级的信息主管；89.7%的企业建立了专门的信息化领导管理机构；94%的企业已经制定、正在制定或计划制定企业信息化总体规划；77.4%的企业建立了统一的信息管理制度；80%的企业制定了“十五”信息化建设投入预算；89.1%的企业设有专职信息系统管理和维护人员；86.7%的企业根据技术发展和业务需求适时进行系统改造和升级；74.9%的企业把“信息化人才培训”列为工作重点。