8月24日，北京2008奥运会在各方收获的喜悦中顺利闭幕，与此同时，一场基金行业展开的信息安全“比赛”也告结束。从今年5月开始，监管部门对各基金公司信息系统的安全性进行检查，经过对部分基金公司的网络进行了“攻击”测试。在被抽查的基金公司中，17家基金公司IT系统的稳定问题较为严重，其中4家基金公司因为信息安全严重缺失而“一举成名”。大家都不愿意看到的一幕再次上演，内部网络被轻易攻破，重要的客户数据被悉数“窃取”，而企业对此却毫不知情。

　　需要提请大家注意的是，这4家基金公司的安全问题只是冰山的一角。金融行业因为业务高度依赖于信息系统，同时由于国际化的需要，近年来金融业企业对业务连续性的投入相对而言已经非常可观，如果将不同行业的信息安全状况做比较的话，金融行业已经算是相当不错的了。

　　“冰山”本身其实并不可怕，可怕的是我们对其真实的规模及其破坏性缺少认识，可怕的是我们面对安全问题没有预案或者根本就束手无策。今年8月，每年一度的《信息周刊》“中国信息安全调查”成功落幕，来自各行业的1,000余名商业科技领袖参与了这次调研，描述了其所在企业的信息安全现状和困难。同时，我们在本期杂志推出了以信息安全为主题的封面报道，通过调查和采访，我们可以看到信息安全这座“冰山”的轮廓：

　　第一，接近半数的受访对象表示所在的公司比去年更容易受到信息安全方面的攻击。

　　第二，内部的安全管理问题成为企业需要密切关注的问题，高达43.5%的受访对象表示“未经授权的用户”是导致出现安全问题的原因。

　　第三，在各类安全威胁中，企业最重视的仍然是“病毒和蠕虫”（72%受访企业）、“垃圾邮件”（38%）和“针对账号、身份、权限的管理”（38%），另外和“加强终端管理”一致，企业对“带有公司数据的可移动设备的管理”也较以往给予了更多的关注。

　　第四，企业在信息安全方面，事前防范还不够完善，通常（64%）都要等到“系统资源无法正常运行和服务”，才能意识到受到了攻击。

　　第五，就实际投入看，信息安全仍是薄弱环节。超过一半的受访企业每年用于信息安全的投入在50万元人民币以下，占整体IT预算的17%左右。

　　不过也有好的一面，越来越多的企业开始重视对雇员进行信息安全方面的培训。有1/4的企业表示已经采用了信息安全外包，同时有超过55%的企业今年在安全外包方面的投入会有不同程度的增加。

　　奥运前不久，中国证监会曾先后下发文件，要求各证券有关部门做好自身网络与信息安全的应急准备和应急处置工作，以及网络与信息安全突发事件的情况通报等工作，以保证奥运期间资本市场信息系统的安全。在这样的情况下，检查的结果依然如此不容乐观，这是因为，信息安全不是一蹴而就的，也不是一纸文件就能解决的。信息安全从起点上讲，安全意识是第一位的，我们首先要学会警惕信息安全这座“冰山”；其次，这是一场没有终点的赛跑，只要有攻击存在就会有安全挑战，我们还要有打持久战的心理准备。