一、信息安全很重要

　　尽管整体的信息安全架构十分重要，但企业并不能忽视一些“小事”。病毒、蠕虫、间谍软件以及垃圾邮件绝不只是令人讨厌那么简单，它们在任何地区都被当作最为重大的安全隐患——全球不同地区，分别有低至四分之一、高达三分之二的企业都对之非常重视。

      同时，破坏性的电子邮件附件攻击并未彻底消失；30%的美国公司去年仍然遭受了很多此类攻击。

　　值得注意的是，过去一年中，由于操作系统的漏洞而遭受攻击的企业有所减少，只有28%，而2005年是43%；同时，来自病毒和蠕虫的攻击也减少了。但不幸的是，在这些威胁减弱的同时，来自其他方面的威胁却极大地加重了。

　　在中国，有四分之一的受访者表示，过去一年中，他们所在的企业经历了身份窃取类攻击；而在美国和欧洲，这一数字几乎翻了三倍。在印度，病毒和蠕虫可谓最常被提及的信息安全漏洞。

      佛州电力的信息安全总监约耳?加尔蒙(Joel Garmon)表示，尽管过去没有比某些破坏性蠕虫更吓人的东西了，但“还是有很多新麻烦。现在每人都在用防病毒软件，几乎所有人都用防火墙，很多公司也都装上了防范入侵系统。”

　　但上述这些基础网络安全系统只不过是防御体系的第一道防线罢了，那些破釜沉舟的网络骗子们还会如其过去一贯所为——照样破门而入。CIO们一定深知，在信息安全方面，完美工作得到的奖赏远不如对百密一疏的惩罚来得大方，但他们却不得不努力让企业更安全。

　　二、企业联手面对软件安全漏洞

　　超过半数的受访者表示，供应商应该从法律和财务的角度对产品的安全漏洞负责。

　　有缺陷的软件是引起严重的安全隐患的罪魁祸首。对此，美国的商业科技专业人士们已经受够了：超过半数的受访者表示，从法律和财务的角度讲，供应商应该对产品的信息安全漏洞负责。

　　总部位于美国弗吉尼亚州纽波特纽斯市(Newport News)的汽车电子厂商西门子威迪欧汽车集团(VDO Automotive，下称威迪欧)的信息安全管理员乔?戴厄尔(Joe Dial)表示，为管理安全补丁软件所要做的事简直“令人痛苦之极”。

      尽管同时还负责管理公司的互联网和其他网络项目，但他还是将多数工作时间都用于给系统打补丁上了。

　　在管理补丁软件方面，企业需要对信息安全软件供应商给予足够的信任，因为后者通常为了保护其知识产权而对他们是如何修复信息安全软件漏洞的问题避而不谈。

      微软公司(Microsoft)就是这样一家企业。它一般会在“补丁日”，即每个月的第二个星期二发布其系统补丁包，故这一天被业内的安全专家“亲切”地称为“Patch Tuesday”(补丁星期二)。

      戴厄尔说：“过去，这些补丁很容易被破解，这样，你就得格外小心，但当你并不知晓微软所提供的补丁包里都包括些什么内容时，这点就很难做到了。”

　　但他表示，至少微软还能及时发布补丁包。甲骨文公司(Oracle)每季度才发布一次针对其软件的补丁包，而那会中断威迪欧IT系统的正常运转。

      由于今年微软在发布用于修复Windows Meta File格式文件漏洞的补丁软件方面行动迟缓，第三方补丁软件赢得了用户的青睐，但威迪欧并不打算采用此办法。

      “我可不会私下去访问黑客或者解密高手的网站，仅仅为了对付我们的网络所面临的种种威胁而与他们私下达成协议。”戴厄尔说道。

　　尽管通用汽车公司(GM)将其IT业务全部外包了，但公司首席安全官(CSO)埃里克?里特(Eric Litt)仍然要为公司的系统和数据安全最终负责。

      虽然通用汽车公司独立进行所有与IT相关的决策，但同时也需要软件供应商的大力协助。里特希望供应商能提供足够的有关新信息安全漏洞的信息，公司就能在供应商发布补丁软件之前保护好其系统。但这并非易事。他说，真正的解决之道还在于供应商要提供更多安全产品。

　　三、外包服务商助企业修补安全漏洞

　　被访问的美国公司中有四分之一至少将其部分信息安全业务外包给专业的管理服务公司。

　　其实，每位IT经理都有“第三只手”可用。如今，许多公司都采用将信息安全业务外包的形式来弥补其IT资源的不足，以此来降服企业所面对的日益增多的各种安全威胁。

　　实践表明，对于中小型企业而言，外包服务尤其具有吸引力。因为这些企业由于自身资源不足，而很难完成对大公司而言通常不在话下的任务：对防火墙、防病毒软件、入侵检测和防范系统进行昼夜管理。