俄罗斯2009内部信息安全威胁调查报告

本刊记者/杨国辉 编译

一 、前言

不久前，俄罗斯Perimetrix公司分析中心提交了俄罗斯2009内部信息安全调查报告。与2008年的报告相比，俄罗斯信息安全的总体情况虽然发生了很大变化，但大多数俄罗斯的政府机关和公司组织依然十分关注内部信息安全威胁的问题。

报告认为，近年来俄罗斯内部信息安全威胁问题凸显（由于信息流失造成的损失达数十亿美元）,对综合安全系统的需求也日益增长，但安全市场的态势并没有发生根本改变。这种被动局面与市场上可选择的安全产品有限、优秀解决方案不足和订购商信息不灵有关。报告认为，未来一两年将成为俄罗斯数据加密防护系统市场发展的转折点。这个市场刚刚形成，就受到世界金融危机所带来的剧烈震荡和严重打击，但它会度过这段非常时期，为进一步发展积蓄力量，并将获取明显的竞争优势。这份调查报告能够帮助俄罗斯的安全公司和各级组织更好地了解内部安全的特点并采取所有必要的措施加以改进。中国信息安全网吸取大量的行业经验，大力打造中国信息安全产业平台，网站内有许多专家，业内人士发表的文章、报道。二、简要结论

1 公司对内部安全威胁的关注程度远远大于对外部的威胁。最大的担忧是信息泄露威胁（73%），以及职员的玩忽职守（70%）。

2 内部的主要安全问题是持续不断地发生信息泄露事件，仅有5%的公司声称，在最近一年里没有发生类似事件。安全专家认为，在信息泄露面前自身未设防，有42%的受访者都说不清楚信息泄漏的准确数字。

3近年来，人们对内部威胁防护设备的热情是在增长，但还不是特别强烈。只有41%的公司使用加密设备，而使用防止信息泄露设备的公司也只占29%。

4社会对内部安全设备的需求很高，但是又受一系列客观因素制约。主要问题是资金有限（46%），尤其在金融危机情况下这个问题更加突出。

5在绝大多数情况下，实施内部安全攻击的人没有受到实际任何谴责和惩罚，有45%的玩忽职守者受到非正式地警告，而51%的恶意攻击者则按照个人意愿一走了之。

6 最近一年，内部安全市场继续保持增长，但感觉不是很快。随着金融局势的稳定和新产品新技术的开发，内部信息安全市场要有所突破应该还要等待2—3年。

三 、受访者特点

像去年一样，此次调查对象明显侧重于大中型企业(见图1)。500人以下的单位仅占8%的受访者，与此同时，几乎三分之二的企业（65%）在自己的企业网里使用1000台以上的计算机。

图1 受访单位情况

通过汇总和分析这些大中型企业的调查问卷就很能说明问题，因为正是这些单位在内部安全问题方面受尽伤害，尝尽苦头。与此同时，我们也不能忽视当前安全解决方案方面存在的问题，针对大型企业的信息保护系统和解决方案市场上倒是有，而针对小型企业的最新解决方案几乎没有。后者甚至宁愿用其他传统的方法解决问题——产品协作和组织措施。目前，最好是通过对大型企业的观察研究，对内部安全问题和机密数据保护问题作一分析。

受访者行业的划分对于这种调研来说是很标准的（图2）。头几行是传统上的电信（21%）和金融领域（19%）,他们永远都是使用安全保护系统的大户和领军者。紧随其后的是燃料动力企业（18%） 以及国营部门（17%）。

与去年相比，商业公司（首先是各种网络公司）的份额实质上增长了（从6%至10%），他们积极参加此次调研活动。而这次厂商和保险公司的参与者，相反有些下降。

图2受访行业

绝大多数受访者（几乎接近92%）开始采用信息技术和信息安全系统解决方案。三分之二的受访专家是领导——35%的受访者是信息部门主管，还有33%的人是信息安全部门主管。这样，可以确信，所选择的对象都是行家里手，对所提问题的回答也都很专业，因此得到的数据分析结果较好地反映了当前的信息安全市场状况。因为受访者决定着自己组织内信息安全系统的发展——按照回答可建立本部门下一步发展的路线图。

图3受访者职务

四 、信息安全威胁

最危险的内部安全威胁是此次调研的主要问题之一。建议受访者从现实存在的总风险名单中选择四种最危险的信息安全威胁。他们的选择结果与一年前指标比较见图4。

从所收到分布中显露出一系列特征和趋势。首先，最危险的威胁依旧是信息泄露和工作人员的玩忽职守——这种情况没有明显改变。而所有外部的威胁（病毒、黑客和垃圾邮件）实际上却减少了。

图4 最危险的信息安全威胁

实际上，最大的内部威胁在去年的时候就已经演变为信息泄露威胁和员工的玩忽职守，超过了外部恶意攻击者的攻击。造成这种情况长期存在的原因是由于信息泄露造成比较大的损失，各单位比较少地采用信息保护设备和部署新的安全解决方案。一年里，这种情况没有发生根本的变化，但是专家关注的热点继续朝着内部威胁的方向发展，因此，来自外部威胁的风险继续走低。

在其余的发展趋势中，盗窃设备的威胁风险显著增长（从25%到38%），这当然直接与信息泄露有关。实际上，任何载体（硬盘、笔记本电脑和个人计算机或服务器）被盗都会有信息泄露的风险。设备盗窃风险的增长可以解释为是主观因素造成的（例如在报刊上发表文章，刊出不该登的分析研究）等，还有类似的部门倾向（窃贼十分关注数字载体、立法调整）。可以预计，这种威胁风险今后将进一步增长，因为客观上讲，当前安全市场还不能满足实际需要。

其余的威胁有设备和程序的间断、消极怠工，以至效率连去年的水平都达不到，也没有显示出本质上的降低趋势。这意味着，仍有30%的现代企业认为业务连续性的要求仍然是最重要的。但这并不意味着，剩下的70%的企业不这样认为，对于他们来说，最重要的是给组织带来明显物质损失的威胁。

大型企业更加关注盗窃威胁和设备与程序中断的威胁。他们的信息系统内存有海量信息。甚至在类似系统中，一个不起眼的中断都会给他们的业主造成巨大损害和严重的经济损失。

五 、内部威胁特点

2008年，有将近一半的受访者（55%）都认为最危险的内部信息安全威胁是数据泄露。但是增长最快的是排在第二位的威胁，与小公司文件（主要是财务文件）丢失有关。2008年，它的危险性急速上升，达到17%，实际上是与信息泄露危险相比。根据Perimetrix公司分析中心分析的意见，这个趋势是有意义的，在2008年里发生了一系列严重的内部攻击事件，都直接与文件篡改和金融欺诈有关。

第二点，很可能是受世界金融危机的影响，商业活动呈现普遍的震荡和波动。在这种情况下，未经核实的信息失真（尤其是未经核实的金融业务信息）可导致业务发生不可预测的后果。

图5最危险的内部信息安全威胁

第三，对这种威胁关注的增长说明目前与此斗争的解决方案的无能。如果，机密信息的泄露完全脱离监管，那要做到与未经核实的失真作斗争就很难——特别是如果这些失真的信息是那些核准的使用者加入的。在这时，唯一与这种威胁作斗争的办法是将威胁列入监管范围并将机密使用者的所有行为归档。

其余内部信息安全威胁的情况是完全可以预见的——设备盗窃的风险在增长，消极怠工的情况几乎没有变化，而信息损失和中断的威胁明显降低。中断风险的降低，多半与DDoS攻击的普及有关，这种攻击针对的是来自外部的威胁，而非内部的威胁。信息损失风险的明显降低解释起来比较困难，可能是各种灾备系统的深入使用帮助了它。

那究竟什么样的信息最容易从俄罗斯的公司里流失呢？图6回答了这个问题。与2007年相比没有什么变化，在回答特别风险一组问题时，68%的受访者回答照旧是个人数据（比一年以前多了11%）。可是根据Perimetrix公司分析中心的意见，数据流失发展趋势里并没有说到个人数据流失数量的增长，而是现代企业对自身安全防护的关注程度在增长。

确实，2008年的一个显著特点就是来自市场方面的规范压力明显加强。在这个时期，一下子出现了一些旨在保护个人信息的决定和规定，并将个人信息列入最关键的机密信息类别。尽管如此，一系列市场参与者对这些决定表示了一定的质疑，明显感到今天更加强化了规范。

图6最容易流失的信息

其他范畴信息的流失风险近年来没有实质性的变化。公司照旧关注具体合同细节情报（40%）、财务报告（41%）、知识产权和业务计划（平均19%）等信息的流失。

在普遍的流失渠道方面也有类似的情况（图7），其风险停留在2007年的水平上。2008年最危险的渠道依旧是移动存储器（70%）,其次是电子邮箱（52%）和互联网（33%）。从打印设备流失的信息近年来略有增加（从18%到23%），而互联网寻呼方面的信息流失相反，下降了（从17到13%）。

图7最常见的流失渠道

关于流失渠道，与2007年相比，2008年的分布情况几乎是均等的，最危险的流失渠道指标没有明显降低，而表现“平庸者”相反则增长了。可能，这个趋势说明对信息流失问题更精确地理解，只要阻断所有可能的泄露渠道——从存储器到摄影器材，就能够解决流失问题。只要有一种没有封闭的渠道，就意味着存在安全威胁漏洞，对于心存恶意的内部人来说都是一个绝好的机会。

在分析了下列问题（确定泄露）之后，我们得到了一个特别有意思的结果（见图8）。如果2007年的受访者还曾坚信自己的回答，那2008年几乎一半（42%）的受访者则很难说出事件的精确数字。

之所以安全专家可能说出精确的泄露数字，是因为在它的公司里部署有某些专业的信息保护系统，而在大多数的情况下，这种情况不会被发现。今年受访者开始理解了在防止内部威胁领域自身不设防所带来的风险。

图82008年信息流失数量

如果不考虑最后的回答方案和按其它方案建立数据标准，那就能够得出这样的结论，平均信息泄露数没有明显增加。这个发展趋势是合乎逻辑的，因为近年来，公司的防御状况加强了，与此同时，发现的信息流失数量也增加了。

六、 防护设备

在对现实的威胁进行详细的描述之后，我们转到对所使用的防护设备的统计上。他们的简单名录见图9.

图9最常见的信息安全设备

很容易看出，所有的受访者在工作中全都使用防病毒设备，防火墙或这样和那样的登录监控设备。有的还部署有入侵检测系统（70%），垃圾邮件过滤系统（75%）和建立虚拟局域网的方法(63%)。我们注意到，所有上述防护设备旨在防护来自外部的威胁，这种风险持续走低。

不过，用于内部防护的受欢迎的解决方案目前并没有显著增加。密码产品和专用防泄漏系统大约还停留在原先那个水平上。虽说内部安全问题十分迫切，但各公司并不急于购买当前市场上所提供的产品。

为什么我们预计的飞跃实际上并没有出现呢？首先，市场上所提供的大多数产品都有一个较长的应用周期，期望它有一个飞速的增长是不现实的。第二，市场上的信息防泄露系统种类供应有限——大半年前还仅有一种传统的产品（(InfoWatch）。Perimetrix公司正式提交自己的产品仅还是在2008年9月。

在内部安全系统中，内容过滤解决方案依然处于领先地位，有80%的运用泄露保护系统的公司在使用它。与2007年相比，内容过滤设备的份额从89%降到80%，这间接地说明该技术的效力在降低。与内容过滤一起，很多公司使用被动的检测手段（77%），设置监控工作站点的端口使用情况（75%）。最有效的保护方法之一就是逐渐地对笔记本进行加密，但应加快普及这项工作。

图10最普及的防泄漏设备

为了描述出近期市场的发展前景，我们看一下运用防护系统所面临的急需解决的问题（图11）。这些问题在2008年凸显出来——首先遇到了预算限制，它的份额实际增加了一倍，从26%到46%。造成这种情况的原因与金融危机有关，购货人的购买能力和老生常谈的自由兑换货币不足。

与此同时，有购买意愿的订货人又对市场上所提供的解决方案及产品的有效性不太满意。看来，份额显著地降低（从49%降到35%）并不说明解决方案及产品有效性的增加，而解释为由于“危机”，受访者的呼声重新分配，转向了其他方面。因此，在开发商面前仍面临着需研制更有效产品等大量亟待解决的课题。

图11运用防信息泄露的企业

在所收到的统计资料基础上，可以看出关于俄罗斯下一步防信息泄露系统市场的发展趋势。根据Perimetrix公司分析中心的意见，2009年这个市场将会得到稳定发展，但增长不会太快。由于一些公司对信息未加防护或未使用任何防护设备，对类似解决方案的需求特别的大，而能提供的解决方案又是有限的。市场上的新的竞争者未必会在短期内放开出售活动，而老厂商也不能继续销售大量技术落后产品。这些消极的因素还是必须归结为危机的影响和订货者支付能力的降低。

然而在中期（2-3年）之内，市场会发生急剧的积极的变化。对安全系统的需求在此之前将得不到满足，市场上开始出现合乎要求的新的竞争者，危机的影响将逐渐消退直至解除，而购货人那儿自由货币已不成问题。我们不应忘记国家严厉的调整措施，这些措施的出台将会促进信息安全综合防护系统的需求。

七 、数据分类

本调研的很多问题都涉及内网威胁的防护技术问题。像以往一样，受访者提出数据分类法和在保障组织的信息安全过程中使用这种操作方法。调研结果直观地显示：

•数据分类可帮助我们从整体上强化安全，从细节上防止泄露；

•进行数据分类是很难的——它要求全体组织员工参与；

•然而更困难的是在经过一段时间之后能继续保持运用数据分类法。

所有列举的论题包罗万象，实际上也不受时间左右。因此，2009年的受访者没有提出分类法的好处问题，它的好处实际上对所有人来说都是显而易见的。为此，Perimetrix公司分析中心重新询问了专家，他们将分类法用于小公司的数据有多长时间？

图12在你的公司里实施数据分类法了吗？

所收到的回答令人鼓舞，特别是与2007年的结果相比，实施分类法的公司增加了一倍，达到了心理上的期望值25%。因此，说实话，不应忘记，虽说三年前就有这么多的公司搞了数据分类，但仍有33%的组织基本上就一直没有搞这项工作。

八 、数据加密

在这次调查中，受访者提出了一些关于内部信息安全技术的问题。那些确认使用加密保护系统的专家能够说清这种保护具体使用的是哪种方式。

据查，大多数情况下（68%）数据加密保护用于保护各种数据库和机密信息库。这种处理方法是各部门文件和标准的法定要求（例如PCIDSS标准），但是它实际上无论怎样也不能保护公司免受内部安全威胁。

确实，数据库的加密能够保障在盗窃任何物理盗窃载体情况下的安全，但在大多数情况下，这些载体安置在服务器中，首先放在受保护的数据中心内。要想潜入到那里就很难，要偷窃设备就更难。

图13在你的公司里加密使用什么方式？

从商业活动的角度看，不是对数据库加密，而是对移动载体——笔记本电脑、硬盘和便携式磁盘加密更加合乎逻辑，因为正是这些载体经常丢失或成为窃贼的目标。通过问卷统计，40%的情况下，都对含有特别秘密信息的总经理的笔记本电脑进行加密；36%的情况下对移动载体进行加密。我们指出，无论那种方式都没能给予百分之百的保障，因为设备使用者可能忘记对信息进行加密，虽然不是故意这样做。

综合防护能够保障的仅是对全部笔记本电脑和移动载体进行强制性地、明显地信息加密。但这种技术在今天是太复杂了——仅有1%的现代企业在使用。

九、 内部信息安全

破坏者的严重危害性

内部安全破坏者的严重危害性成为本次调查的一个有意思的课题。被访者建议描述一下对玩忽职守员工和心存歹意内部人的惩罚措施。

如图14所解释的，在员工偶尔泄露信息时，很少给予开除之类的严厉处罚（9%）或物质处罚（13%）；大多数情况下（45%），公司更喜欢宽恕员工，给他非正式地警告。我们注意到，在15%的情况下，泄露信息的内部人完全逍遥法外；11%的情况下，公司会根据所泄露信息的严重性而采取不同的措施。

图14对那些偶尔泄露信息的员工经常采取哪些措施？

阴险的内部人的情况在很多方面相似，就像马虎大意的员工一样，公司很少给予最严厉的制裁（15%）。大多数情况下（51%），会直接辞退内部知情者，更好的做法是提醒他写一个主动离职的声明。事情很少闹到法庭去审理（9%），因为公司都不愿意家丑外扬。严重的内幕知情者丑闻会吸引报刊的眼球，由此败坏公司的名声。

图15通常对预谋泄露信息的员工采取哪些措施？

可见，不管玩忽职守者也好，居心叵测的内部人也好，通常实际上并没有受到相应的处罚。对于第一类信息泄露者来说，多半只是受到惊吓。而对于第二类信息泄露者，是开除，从内部破坏单位业务上的名声。这样一系列的结果难道能够吓唬破坏者吗？答案肯定不会，而且还会导致内部风险继续增长。

十 、市场发展方向

在前面的章节里，我们分析了内部安全市场发展的主要趋势。如果从整体上评价一下信息安全产业，正是内部安全应成为最近三年这个方向的主要驱动器。

目前，将近40%的俄罗斯公司（图16）声称，最近三年有运用防信息泄漏的计划。35%的单位打算采用加密系统保存数据，还有33%的单位准备采用信息安全管理系统。还有的计划采用认证和登录监控系统，以及物理安全信息技术系统。

图16最近三年信息安全系统增长计划

因此，今天能够划出两个主要的市场发展矢量：第一个是内部安全方面，第二个是不配套系统的整体化问题和统一管理的信息基础设施建设问题。后一个问题特别重要，因为在现代企业（特别是大型企业）中，正在使用五花八门、实际上互不相关的防护系统。自然，这些公司在管理这些系统方面也越来越吃力。

内部安全问题是普遍的、突出的，公司倾向建设此前没有的、适用的威胁防护系统

本文首发至中国信息安全网（www.9551.net），如要转载请注明中国信息安全网(www.9551.net)