《中國安全形勢報告》：詳析中國企業IT安全現狀、挑戰及應對之道

在我國，許多雄心勃勃的企業正在日益壯大。而對

於這些企業來說，保持安全運營可以獲得競爭上的優勢。

那麼，如何做到 「保持安全運營」？

對目前大多數的國內企業而言，圍繞單點解決方案構建安全基礎設施仍然是首選！如此選擇的原因，是因為此類解決方案只需要數額較小的短期投資。但即便能解決成本負擔的問題，這種碎片化的方案無法為企業提供真正可靠的安全保護。

思科專家使用《思科安全能力基準研究》中的數據分析了我國的 IT 安全能力。在分析中，我們發現國內企業對安全基礎設施的重視程度有待提高。尤其值得注意的是，企業應該通過集成化安全架構，提供更加全面的端到端網路保護。

想要理解上面這段話，還要先從理解集成安全解決方案的價值開始。

| 理解集成安全解決方案的價值

對很多國內公司而言，購買安全解決方案最重要的考慮因素可能是成本負擔。在競爭激烈的安全解決方案市場中，低成本無疑是一項優勢，但公司在規劃安全投資時，也應綜合考慮到短期和長期成本。

安全工具在我國的使用率很高，這也可以用國內企業偏好單點解決方案來解釋。

國內企業和其他國家/地區的企業對各種威脅防禦工具的使用情況（單位：百分比）

如圖所示，和其他國家/地區的企業一樣，我國企業至少會採用加密和防火牆等安全防禦措施。然而，廣泛使用各種安全工具固然很好，但構建融合基礎設施是更好的選擇。

我國的企業應開始尋求集成安全解決方案，而不是購買大量不能交互操作且很難管理的技術。雖然集成解決方案的初期成本較高，但是此類系統更有可能預防安全漏洞，而且從長期來看所需的維護和管理成本可能更少。

從企業對集成的擔憂便可以看出碎片化的方案對安全的影響：50% 的大公司和 42% 的中小型公司表示，與舊版系統的兼容性問題是採用安全流程和安全技術的一大障礙；30% 的大公司和 43% 的中小型公司表示，預算限制是主要障礙。

國內對採用安全解決方案時存在多種障礙表示認同的大公司和中小型公司的比例

由此可見，企業很難將碎片化的解決方案集成到一起，構建全面的統一安全平台，向集成化解決方案邁進成為趨勢。但在這一進程中，除了價值，了解到相關政策也實有必要！

| 即使企業已經滿足安全合規標準，也仍需要關注自己的安全狀況

2015 年，85% 的大公司表示他們遵守 ISO 27001 或 NIST 800-53 等標準化信息安全規範；而在 2014 年， 這一數字為 71%。

但國內企業需要注意的一點是，合規不等同於安全。換言之，僅僅是採用安全標準並滿足政府規定，並不一定能維持網路安全。這就需要企業更注重將安全解決方案融入運營流程！

國內 2014 年和 2015 年遵守標準化信息安全政策的大公司和中小型公司的比例

| 將安全解決方案融入運營流程

國內的企業如果只選擇單點解決方案而不考慮長期影響，可能會妨礙安全計劃的實施。也有一些企業可能只是為了滿足合規要求而制定安全計劃，並錯誤地認為這足以保護他們的企業。這些企業應重新考慮自己的安全策略，並且要關注結果：在所有可能的攻擊階段對網路進行防禦。

國內對其安全運營流的各項陳述表示同意的大公司和中小型公司的比例

如圖，在國內，目前只有 61% 的大公司和 42% 的中小型公司認為安全已高度融入他們的企業目標和業務能力中；只有 42% 的大公司和 43% 的中小型公司認為自己擁有可供審查的工具，並對安全能力提供了反饋。

由此可見，國內的公司應注重將安全解決方案融入運營流程，並採用更有效的工具。這些措施所能達到的效果，將遠遠超過單純採用單點解決方案，而不制定總體計劃來決定如何將這些解決方案融入一個集成安全架構。

| 結論：擴大對集成安全架構的投資

我國企業即將迎來一個前所未有的互聯時代。要在這樣一個時代生存和發展，企業必須對自己的安全需求進行長遠思考：既要考慮自己的目標和成果，又要考慮如何利用安全優勢促進業務上的成功。

國內的安全專業人員應樹立以下意識：

· 改變對安全解決方案的看法，從短期思維轉變為長期思維，了解如何從集成解決方案的優勢（更有效的安全保護和更少的 IT 管理負擔）中獲得價值。

· 尋求更全面的解決方案，以便能夠在遭受攻擊前、攻擊中和攻擊後為整個擴展網路提供安全保護。轉為使用以威脅為中心的方法，從而降低複雜性和分散性，並提高可視性與可控性。

· 提高解決方案兼容性，以確保不會因為集成上的難題而延誤增強安全性。

絕佳時機，前所未遇，安全無虞，創新無限！點擊 「閱讀原文」 ，看看在中國安全新形勢下，思科能為你做這些什麼！