这两天总算有些时间，将赛门铁克（Symantec）2010年企业安全调查报告《2010 State of Enterprise Security Report》好好看一下（注：赛门铁克将报告名称翻译为《2010企业安全研究报告》，我觉得与其叫研究报告，叫调查报告更合适，因为其大量数据来自于2010年元月向全球27个国家2100家的企业CIO、CISO等高级IT主管所做的调查，其中中国200家，分布如下：内地100家，台湾50家，香港50家）。

这里将部分值得关注的数据和大家分享：

1. 安全性是全球企业IT主管最为关注的问题。42%的企业把网络风险列为首要问题，它比自然灾害、恐怖活动和传统犯罪等加起来都要严重。

http://photo19.hexun.com/p/2010/0328/391047/b_vip_A46443F65B4A3260E6CC4A5EF04F8CF8.jpg

2. 企业IT主管把“改善管理IT业务风险”列为2010年仅次于“提高基础设施能力”外的第二重要目标，84%的企业IT主管把它列为非常重要/比较重要。

3. 几乎所有接受调查的企业（94%）预测2010年安全业务将会发生变化，近一半的企业（48%）预测将会发生重大变化。

4. 在过去一年中，75%的企业遭受了网络攻击，29%的企业受到的网络攻击增加。

5. 2009年，所有企业（100%）都曾出现过数据丢失问题。在丢失的数据中，排名前三的分别是：知识产权被窃、客户信用卡信息或其他财务信息被窃以及客户个人身份信息被窃。

6. 调查显示，企业平均每年花费200万美元用于抵御网络攻击。

7. 企业安全问题变得越来越难。除了人员不足外，“基础架构即服务、平台即服务、服务器虚拟化、端点虚拟化以及软件即服务等”新模式引入以及两个最热的新技术“云计算、虚拟化”。使安全保障变得更为困难。此外，多个IT系统之间的遵从（compliance）也是一个巨大的挑战。

8. 给企业的建议

第一，企业需要通过确保端点、消息和Web环境的安全，来保护其基础设施。而其中，保护重要的内部服务器和实施备份及恢复数据的能力应当是重中之重。此外，企业还需要可视性和安全智能，以便对攻击及时反应。 

第二，IT管理员需要采取以信息为中心的方法来积极保护信息和交互。采取内容感知法保护信息是了解敏感信息位于何处、谁访问过它以及它如何进入或离开企业等内容的关键。 

第三，企业需要制定和实施IT政策，并自动实行IT遵从流程。通过确定风险重要级别和明确跨地区的政策，客户可以通过内置自动化和工作流程来实施IT政策。这样，不仅能发现攻击，而且能在攻击发生时立即采取补救措施，或者在发生之前就阻止它。 

第四，企业需要通过实施安全操作环境、发布并实施补丁级别，以及流程自动化来简化效率、监控和系统状态报告。

此调查的价值不容低估。

存在的小问题：

1. 中国调查企业样本较少，因此在代表性上有一定的欠缺，但这并不影响企业安全问题越来越严重的现象。

2. 调查问题不够详细，跨越国家很多，各国语言、文化有很大差异，其结果是报告为了统一调查，降低了深度，但仍可看到在语言的翻译中反复仍存在一些明显的小问题。

3. 给企业的建议很准确，但同样也还不够深入。