互联网泄密频发背后：安全投入仅占IT业1%(2)

信息安全投资落后欧美

信息安全泄密事件近年来集中爆发。

2011年底的CSDN泄露事件，通过公开渠道获得疑似泄露数据库26个，涉及账号、密码2.78亿条，被称为“中国互联网史上规模最大的泄密事件”；今年3•15晚会上曝光了银行工作人员向犯罪分子出售客户信息，造成受害人损失3000多万元。

“其实从登录互联网开始，我们的个人信息就暴露在外面了，个人和企业一样，都面临着高风险。”一行业协会人士对记者表示，我国目前信息安全投资占整个IT投资的比重仅为1%左右，远落后于欧美国家8%~12%的水平，整体投入不足使得国内众多部门与企业的信息处于脆弱的保护下。

一行业内人士对记者表示，其实目前很多企业对于信息安全的投入都非常谨慎，中小企业普遍的投资可能只有几万元到十几万元，“对于他们来说，觉得这件事情就像是买保险一样，遇到了再说，没有遇到可能就不会想这件事情。”

最早从事内网安全管理的溢依信科技总经理任博对记者表示，作为电商企业，信息泄密基本可分为外部原因和内部原因，外部如黑客、木马病毒等因素，可以通过加强防火墙、升级杀毒软件等来进行防御，目前在外网防御这方面的技术产品还是比较成熟的；而内部泄露一般包括内部员工不小心将资料外泄和“内鬼”刻意盗窃机密两种，由于企业的忽视，以及内部人员对机密信息的了解程度和存放位置的清楚度，泄密事件一旦发生，都将给企业造成很大的危害，甚至是致命的打击。

据Zecurion调查，2011年，全球共计登记信息泄露事件819起，总损失金额超过200亿美元，每起泄密事件造成的损失金额达到244.2万美元。而此前据国安部统计，我国63.6%的企业用户处于“高度风险”级别，每年因网络泄密导致的经济损失高达上百亿。

目前，针对这些愈演愈烈的个人信息泄密事件，国家也在加大力度打击犯罪，不仅有公安部在二十几个省全面打击行动，在政策上也出台如《个人信息保护指南》等方针政策来引导。

“但不可忽视的还有人为因素。”上述行业人士表示，在加强技术控管和流程优化的过程中，无论建立怎样的安全控制措施，都需要人员来访问、操作、传输和处理相关的信息数据，但人是活的，不能像对待一项信息组件一样来设定人的行为，这是一个很难解决的问题。

他表示，安全管理中的人性化最重要是让人们明白为什么要这样做才安全，而不仅仅是该怎么做，在移动互联网和社交网络广泛应用、信息传播极为便利和快捷的今天，尤为如此。