马越分析,具体来说,互联网为企业及机构带来三种"不可抗力"的影响:一是互联网必然会衍生电子商务,大部分商业活动改为网上进行是不可逆转的趋势;二是互联网使用及电子商务一定会引发网络安全的问题;三是网络安全威胁不能彻底被消灭,绝对没有一劳永逸的安全方案或策略。这三种不可抗力带出一个重要问题:中国的企业及机构做好网络安全的准备了吗?
中国互联网信息中心的统计数据显示,约两成的中国互联网用户曾有网上消费的经验。中国社会科学院在5个城市进行的调查显示,大约有25%的被访者曾经试过网上消费。业内专家预测,电子商务在中国的普及程度还有很大的上升空间,企业应利用这一机会做好网络安全防范,否则到电子商务全面腾飞时会陷入被动。
马越认为,目前欺骗广告软件、间谍软件、恶意攻击软件都含有犯罪的意图,因此应把它们称为"犯罪软件"(Crimeware)。其犯罪模式有一个共同特点,就是一个隐蔽的电子世界群体,采用先进的技术在不同网络的信息渠道非法挖掘资料,其中最重要的是盗窃身份,然后利用该身份非法谋利。据澳大利亚贸易协会2003年委托亚太地区安全事业研究中心(SIRCA)的一项调查结果显示,身份盗窃犯罪令澳大利亚每年蒙受11亿美元的经济损失。
据了解,目前,一些警觉性较强的行业,如银行、保险公司等金融业开始努力抗击网络犯罪,但是效果有限。因为它们的对手属于"知识型"罪犯,采用最新的技术及协作性很强的作案手法,而金融单位的传统防范措施完全不是为对付网络犯罪而设置的。
譬如,银行采用的保安措施是针对个别产品、个别种类犯罪模式而设计的,因此防止伪造支票的措施和自动柜员机的安全系统互不配套,而网络犯罪恰好就是能从多个切入点作案。再如,银行发觉一个银行账户在北京进行了一笔信用卡交易,5分钟后同一账户在另一城市使用ATM提款,这便有发生骗案的可能性,而传统个别独立的预防犯案系统是不能察觉其中蹊跷的。
马越表示,金融机构须设立一个整合的安全政策及防范体系结构,从多方位收集、分析、分享资料,令各部门迅速采取一致性的对策,消除网络安全隐患。
马越补充说,政府可以协助企业保障其网络安全,美国国土安全部所制定的《捍卫虚拟空间安全的国家策略》可堪借鉴。大体而言,这个策略是制订了一系列安全标准供企业遵从,然后通过一家权威的认证单位对企业的安全准备进行评估,如果企业符合标准便可取得有关认证,其模式与ISO9000等质量认证相仿。通过这套认证体系,企业可以判断其业务交易对手,包括客户、供应商及合作伙伴是否一家"安全"的个体,与其合作的风险系数是高还是低。
据介绍,Unisys最近重新定位其业务方针,而企业安全是其今后五大业务增长支柱之一。Unisys将中国视为一个潜力巨大的战略市场。自2005年开始,Unisys不断增强中国团队网络安全专家的阵容,基于全球的强大安全业务经验,协助中国政府以及本地企业预防和对抗网络犯罪。