主持人：尊敬的各位媒體朋友大家下午好！非常歡迎大家在這樣一個陽光燦爛的日子參加我們《安永第18屆全球信息安全調查報告》的發(fā)布會現場。首先很高興跟大家隆重介紹此次發(fā)布會的演講嘉賓，他們分別是安永信息科技風險咨詢主管合伙人梁尚文先生、安永大中華區(qū)信息咨詢服務合伙人阮褀康先生、安永華北區(qū)信息安全服務合伙人李睿女士。我現在把話筒交給梁尚文先生。

　　梁尚文：各位傳媒的朋友，大家下午好！今年是安永連續(xù)第18年發(fā)布安全全球信息安全調查報告。我們今年的主題是“締造可信的數字世界”。旨在保障企業(yè)在開拓創(chuàng)新、開發(fā)業(yè)務的同時，維護自己的網絡安全，并將其提供意見和幫助。今年我們很高興，我們邀請到受訪者1755位，他們來自于全球67個國家，覆蓋了超過85個主要行業(yè)。其中中國代表企業(yè)有109家。我們的訪問對象主要是來自于企業(yè)的首席風險官、首席安全官、首席財務官、首席執(zhí)行官，以及企業(yè)的信息安全的高管人員。基于對本次調查報告結果的深入分析，以及我們與全球客戶在改進網絡安全解決方案方面的廣泛合作，我們編制了這本報告。

　　由于網絡攻擊者技術不停改變、持續(xù)性加劇、能力增強，網絡威脅性質也發(fā)生了變化。隨著數字化快速發(fā)展，企業(yè)之間的互聯(lián)互通日益加強，我們個人的生活也和移動技術和互聯(lián)網越來越多地交織在一起。網絡攻擊者在不斷尋找更新更好的攻擊方式，如果你們也在尋找一個成功應對目前這個形勢的話，并不是孤身奮戰(zhàn)。在我們受訪者當中超過1/3認為，他們還是沒有這個能力識別復雜的網絡攻擊。接下來我們報告的介紹當中，我們會跟大家一起探討我們在網絡世界中新的威脅的變化以及企業(yè)的應對方案。

　　接下來我會讓我的同事阮褀康和李睿跟大家分享本次報告的具體內容，謝謝！

　　阮褀康：首先感謝各位參加今天的發(fā)布會，我是阮褀康。專門負責信息安全技術的合伙人，我相信大家手頭上有這個報告，今天我們的主題是“締造可信的數字世界”。接下來我跟李總會根據這個報告里面的內容，希望從四個部分來幫助大家了解一下我們當前的企業(yè)面對著什么樣的挑戰(zhàn)。這四個部分包括我們先認識一下現在數字世界面臨著什么樣的攻擊，接下來我也會跟大家講一講我們的黑客是如何入侵我們的企業(yè)。我們也會探討一下為什么當前的企業(yè)還會受到那么多攻擊，以及我們的企業(yè)還是那么脆弱。最后我們會從安永的角度有一些建議，今天也會跟大家分享一下。

　　大家也知道現在我們當前的互聯(lián)網+時代，大家知道很多全球的企業(yè)紛紛都把互聯(lián)網還有數字的一些新的技術去應用起來。包括一些物聯(lián)網、移動、云計算等等的一些新技術。而這些新技術他們希望能夠通過這些新的技術，能夠開拓一些新的市場機會，或者是他們利用這些技術去減低運營成本，以及提高他們的運營效率，從而保持競爭優(yōu)勢。

　　因此，現在的公司，現在的企業(yè)利用互聯(lián)網是不單單好像以前的公司去建立一個網站而已，現在是把很多技術引入到企業(yè)層面，各個的環(huán)節(jié)，各個的部門。所以，在這個圖可以簡單地說一下，在全球的企業(yè)正在把互聯(lián)網的基因引入在一個企業(yè)當中，從戰(zhàn)略的定位到客戶的體驗，到供應鏈的管理，到技術的應用，到風險的管理，以及財務管理，到我們人員以及組織，方方面面都會有一個互聯(lián)網的思維，互聯(lián)網的基因在里面。

　　可以想像，如果一旦信息安全的世界出現在這些高度依賴互聯(lián)網的應用時候，一旦這個安全事件發(fā)生這個后果是非常嚴重的。所有的企業(yè)要實現可持續(xù)性的發(fā)展，我們必須要關注這個信息安全的議題。根據我們的調研，我們現在的企業(yè)對我們當前的信息安全的工作究竟能不能滿足企業(yè)的需求呢？根據我們1000多家企業(yè)調研的結果，有88%都認為企業(yè)內部的安全工作是不能滿足企業(yè)的需求，這意味著什么呢？我們信息安全的工作根本跟不上企業(yè)在互聯(lián)網的應用，跟不上互聯(lián)網的應用發(fā)展。

　　另外，我們也見到有66%的受訪者認為如果一旦有黑客的入侵，我們的企業(yè)當中的系統(tǒng)沒辦法識別出一個事件出來。我們的企業(yè)根本不知道有人在攻擊我們，根本沒能力檢查出攻擊出來。有36%受訪者認為，如果一但收到很復雜的攻擊，不能夠發(fā)現出來。有可能很多攻擊已經在發(fā)生，有可能潛伏在我們的企業(yè)當中是沒有人知道的。

　　首先我們一些做信息安全比較好的企業(yè)，通常大家知道信息安全是一個防不勝防的議題，一些比較好的企業(yè)他們通常都會有一個未雨綢繆。準備最壞的打算，如果一旦有信息安全的事件發(fā)生，他們都能夠做好準備。通常他們會有一套很完整的業(yè)務連續(xù)性，以及時間響應計劃。我們調查發(fā)現只有7%的企業(yè)才能有時間應對計劃，93%的企業(yè)是沒有預防做好最壞的打算。

　　如果企業(yè)沒有專業(yè)的人員幫助我們應對安全的問題，根據我們的結果，有57%的一些企業(yè)，都認為我們沒有足夠的安全人才去幫助我們的企業(yè)去管理這些風險。我們做信息安全的工作，其實最重要的保護對象是什么呢？我們需要保護什么東西呢？其實就是我們的IT資產，或者是我們的數據資產。從我們調查發(fā)現，接近有40%多的企業(yè)他們根本不知道我的IT資產有多少，我們的企業(yè)IT資產的狀況是怎么樣，我們有多少系統(tǒng)，它的版本號，我們的數據留在哪里他們根本不知道，這對信息安全是非常大的挑戰(zhàn)。反過來看也給到黑客很多機會去入侵我們的企業(yè)。

　　這個圖可以說一下，一些全球企業(yè)在未來12個月他們會在安全方面投入的工作是什么？哪些他們認為是當務之急的安全工作。我說一下前五個工作領域：

　　第一是數據防泄露。一些在企業(yè)當中，敏感數據的保護，很多公司，很多企業(yè)都認為這個是當務之急，我們怎么樣確保我們的數據安全。

　　第二個比較重要的就是業(yè)務連續(xù)性。在國內之前發(fā)生天津爆炸的事情，這個也是引起了很多企業(yè)對業(yè)務連續(xù)性意識的提升。很多企業(yè)都認為業(yè)務連續(xù)性這個工作也是一個非常重要的工作。

　　第三個是我們怎么樣確保系統(tǒng)的安全性。

　　第四個是安全的意識培訓，一個企業(yè)它的安全是有賴于很多人員的安全意識，所以未來12個月，很多企業(yè)都會對安全意識培訓進行投入。

　　第五個是時間響應的能力，剛才也提到安全是防不勝防，但是我們一定要做好最壞的打算，所以需要有一套時間響應的能力機制，未來12個月根據我們的調查他們都會在這方面有一些投入。

　　下一步就是我們了解一下黑客是如何攻擊我們的。現在互聯(lián)網+，數字化它已經是影響著我們公司方方面面每一個環(huán)節(jié)，它不再是簡單的IT問題，是企業(yè)層面風險管理的問題。它一旦出現不僅僅是IT的影響，它是影響我們的業(yè)務，我們的業(yè)績，我們的供應鏈包括財務等等的，甚至法律法規(guī)的風險。我們要設計一套比較好的防御措施，首先第一步我們必須要了解黑客究竟他們在想什么，他們怎么樣展開一個攻擊。在這里是一個展示的例子，我們嘗試去了解一下黑客是怎么樣來攻擊一個企業(yè)的。

　　第一步，一個黑客通常會大量收集一個企業(yè)的信息，包括他們的IT系統(tǒng)的架構，他們一些IT有關的信息，我知道IT的版本號，還有就是一家企業(yè)的工作人員，組織結構，所有有關這個公司的信息，這些信息大家都知道在互聯(lián)網中非常容易拿得到，甚至我們可以從一些社交媒體也知道這家公司有什么高管。

　　當黑客收集了這些信息，他會分析這家公司有什么漏洞，這些漏洞是不是在設計一些不同的攻擊場景來嘗試攻擊我們，先做一些漏洞的分析，這是第二步。

　　第三步，根據這些漏洞，他會進行攻擊，通常會有兩個手段：第一，他會看到我們的IT系統(tǒng)是什么狀況，我們會去看看這些IT系統(tǒng)是不是出現一些已知的安全漏洞，然后我們再做一些入侵；第二個最直接的方法是他可以做釣魚郵件，把公司內部的員工發(fā)送一個釣魚郵件，里面有一些木馬的程序給到一些高管或者給內部員工，一旦他打開以后，就把內部的某一臺機器控制住。

　　他控制住一臺內部系統(tǒng)之后，第四步他會做什么呢？他會作為這個內部的系統(tǒng)，作為一個跳板，因為他已經在公司內部了，他已經有一些適應關系了，我再用這個系統(tǒng)跳其他的系統(tǒng)，一直到整個網絡能夠全面去攻破。他可以跳到我們電郵系統(tǒng)、財務系統(tǒng)，從而進行一些非法的行為。簡單說一下信息安全的黑客攻擊不僅僅是IT的問題，是影響整個公司的運營到法律法規(guī)到所有的方方面面的風險都會產生。

　　從1000多家的企業(yè)，他們認為哪些是攻擊的源頭，有哪些源頭有可能是攻擊我們的，根據這個結果，包括第一位就是一些犯罪集團，犯罪集團可能是遍布全球；第二位就是內部的員工；黑客的組織會攻擊我們的企業(yè)，還有一些現在比較多的就是獨立的黑客，一個人在做一些入侵的工作。除此以外還有我們的供應商，外包商，合作伙伴等等有很多不同的攻擊源頭，這些企業(yè)是比較擔心的。

　　一個黑客攻擊我們是找我們的漏洞，這個表就列出來一些他們比較擔心的漏洞。這些攻擊的源頭可以利用，比較高的是員工的粗心大意，員工的失誤。如果說員工的安全意識不強，我是黑客，我很容易入侵他們的系統(tǒng)。第二是云計算的一些漏洞，我們很多系統(tǒng)都放在公有云或者私有云，在公有云的情況下你不知道公有云的廠商在后面是什么情況，我們的數據是延伸出去給第三方，在這塊也是他們比較關心的漏洞。

　　右手邊是一些威脅，第一位是釣魚，剛才也提到了釣魚是一般黑客是非常場用的手法去入侵我們的系統(tǒng)。詳細的威脅和漏洞我們在報告里面也有清楚的數據。

　　接下來我就讓李總繼續(xù)做這個報告的分享。

　　李睿：我是華北區(qū)信息安全服務的合伙人李睿。阮總分享了一個是2015年全球企業(yè)信息安全普遍面臨的挑戰(zhàn)，還有展開的各種各樣的方式。近幾年企業(yè)對信息安全從全球上來講都是越來越重視，整個信息安全投入也是越來越大。但是信息安全的事件還是層出不窮，所以企業(yè)會經常問自己為什么我們投入了這么多，我們還這么脆弱。

　　其實如果根據我們的調查原因，分內部和外部。接下來通過我們調查的這個結果給大家一一做一下解讀。

　　第一方面的原因就是企業(yè)在不斷提升自己的信息安全的水平，但是攻擊者也在不斷改進他本身的攻擊手段。從第一方面講，網絡的攻擊從外部來說，網絡的攻擊是越來越復雜，而且難以察覺。舉個簡單的例子，近幾年大家一直在研究的就是APT的攻擊，APT的攻擊叫高級可持續(xù)性威脅，APT的攻擊對企業(yè)來講可以潛伏到好幾年的時間，非常細微難以覺察。為什么叫它高級呢？高級有幾個特點：

　　一個是攻擊的行為特征非常難以提??；

　　第二就是攻擊的渠道多元化；

　　第三就是攻擊的對象也非常不確定，因此對于企業(yè)來講如果他要防這樣類型的復雜的攻擊，他就需要有很多關聯(lián)性的企業(yè)，關聯(lián)性的技術和管理的保障。

　　對企業(yè)內部來講通過我們的報告也可以看出來，企業(yè)目前為止未能制定積極主動的措施消除復雜的網絡攻擊，因為在整個商業(yè)環(huán)境之中攻擊容易，防御非常的難。這個是我們看到的第一方面的網絡攻擊的復雜帶來的挑戰(zhàn)。

　　第二方面的原因就是企業(yè)的信息安全的成熟度有待提升。根據我們的調查顯示，企業(yè)對自身信息安全成熟度的評價普通偏低，我們調查了20個信息安全的領域，只有不到10%的受訪者對他們的成熟度評價是非常成熟。有5個領域是非常低的，他們自己認為這個整個成熟度非常低，包括第三方的安全管理，包括軟件安全管理，包括資產的管理，包括信息安全的抑制和包括指標與報告，就是我們經常講的安全可視化。我們從第二方面的原因可以看出來，大部分企業(yè)他們反映本身他們的信息安全的能力是不足以應對目前企業(yè)的安全需求。

　　第三方面企業(yè)安全的信息建設存在短板。一個是看到的安全保護的需求不清晰，這主要體現在很難了解企業(yè)自己本身非常難以了解，他到底手上有多少有價值的資產，無論是數據資產、信息資產、IT資產。還有企業(yè)即便識別出來他的關鍵信息資產，一半以上的企業(yè)也反映說他不具備正式的脆弱性的識別程序，他沒有辦法懂項目評估風險。

　　安全組織的職能不完善，很多企業(yè)他認為自己本身的安全組織沒有辦法滿足企業(yè)的需要。還有就是一半以上的受訪者覺得他們雖然有了安全的組織，但他們的安全組織并沒有關注到新興技術帶來的安全的挑戰(zhàn)比如說云計算，移動設備，大數據，IoT這種新的技術帶來的挑戰(zhàn)。

　　第三方面就是安全的資源投入不足，這表現在兩個方面：一個就是安全資金投入不足；第二就是技術資源的投入不足。從資金上講，從過去12個月根據整個的報告受訪者反映，90%以上的企業(yè)反映，他們在過去12個月的安全投入和安全預算已經增加或者持平，即便是這樣還有半數以上的企業(yè)認為他們的安全投入還要再往上增加1/4。技術的資源也是目前來講企業(yè)的投入不足的一個短板。這是企業(yè)信息安全建設方面的短板。

　　數字世界常態(tài)化的安全管理，我們現在面臨的整個企業(yè)有很多企業(yè)也在做轉型，整個的企業(yè)來講互聯(lián)網來講也是我們的渠道。互聯(lián)網和數字世界有幾大特點，開放、虛擬、快速、雙向交互、用戶量巨大，這些特點都帶來了特有的安全風險，高風險的挑戰(zhàn)。所以在數字的世界里特點就是安全的便捷已經日漸模糊，任何的企業(yè)都沒有辦法高枕無憂。而企業(yè)在這種常態(tài)化的安全常態(tài)化的攻擊和常態(tài)化防守情況下，很多企業(yè)感到非常的疲憊不堪，在常態(tài)化的管理來講看到一些有比較好的應對方案，包括要識別企業(yè)自己本身的風險偏好，知道每個企業(yè)自己本身的安全風險在哪里，需要保護的對象在哪里。

　　第二通過攻擊場景的評估，真正在什么場景下我才能受到攻擊，再有針對性進行優(yōu)先級的排序。

　　第三安全的投資和安全的成熟度在安全的管理程度增加之后，才能有效評估安全的投入。這個也是我們看到的整個企業(yè)的一個挑戰(zhàn)和脆弱性一直存在的原因，因為在這幾點上也是解決的難點。

　　這是為什么我們會如此脆弱。接下來和大家分享一下企業(yè)做什么，根據我們的調查報告，企業(yè)做些什么事情能夠提升企業(yè)的安全能力。我們建議化被動為主動，建立主動的安全防御能力。什么是主動的防御呢？如果從定義上來講網絡安全的本質就是企業(yè)的內在防御，這兩個字是蠻矛盾的，主動其實是講攻，而防御講的是守，主動的意思不是讓企業(yè)主動去對外進行攻擊，主動的意思是讓企業(yè)能夠更好地主動做好準備。

　　本身的防御我們現在經常講體現在三個方面，第一是知己；第二是知彼；第三百戰(zhàn)不殆。知己是什么呢？理解企業(yè)本身到底關鍵的安全風險在哪里，能夠制定針對性的防御計劃。知彼就是能夠通過智能感知系統(tǒng)知道外界的威脅和作用，我們對象在哪里。百戰(zhàn)不殆的意思是我們要尋找這個潛在的攻擊者，而在攻擊發(fā)生之前或者開始發(fā)生的時候，就已經把它消除，這是主動防御的意思。

　　如何進行主動防御呢？主動防御對企業(yè)來講按照我們的調查報告，需要整合和提高企業(yè)現有的安全能力，更有效應對攻擊。包括三個主要的方面是普遍企業(yè)分享的現在他們采用的實踐：

　　第一是智能的感知，通過技術的手段由網絡的威脅智能的感知系統(tǒng)，能夠實時分析潛在的攻擊者，并且推測到可能會被攻擊企業(yè)內部的對象，然后制定一些有預見性的措施。

　　第二動態(tài)的運營。因為外部的整個環(huán)境生態(tài)安全或者說是整個商業(yè)系統(tǒng)是動態(tài)的，企業(yè)本身運營也是動態(tài)的環(huán)境，怎么以迭代的周期進行持續(xù)的企業(yè)安全能力建設。

　　第三集中響應。對于重大的安全漏洞或者事件進行分析，并且能夠進行響應和建立一個集中化的響應機制，去進行很多的證據收集和處理。

　　這是企業(yè)分享的他們正在采用的一些實踐。

　　最后想跟大家分享我們這次的主題叫做“締造可信的數字世界”，網絡安全它本身并不是數字世界的抑制劑，相反它實際上保障了在數字世界和商業(yè)運營里，它的業(yè)務可持續(xù)性發(fā)展，而且網絡安全是解鎖創(chuàng)新和擴展整個業(yè)務的關鍵，我們越來越多地看到本身的安全企業(yè)的安全能力已經變成了企業(yè)之間的競爭的關鍵競爭優(yōu)勢。在整個過程中以風險為導向，而不是一個事件導向性，從風險的角度上講，去制定企業(yè)安全的方案，對企業(yè)自身的環(huán)境進行風險的評估，還有對外部的環(huán)境進行動態(tài)的監(jiān)測。另外對初發(fā)的事件能夠有響應的機制，這個是整個的網絡安全推動企業(yè)未來的數字化發(fā)展的一個動力。

　　我們安永作為專業(yè)的咨詢機構，我們一直致力于建設可信的數字世界和商業(yè)環(huán)境。我們也將與企業(yè)一起來去尋求更有創(chuàng)造力的安全解決方案。今天我們主要是對安永第18屆全球信息安全調查做了一個簡要的介紹，更詳細的信息可以通過紙質的報告和網絡鏈接來了解。

　　主持人：感謝我們三位合伙人對全球信息安全的一個深入分析以及對企業(yè)提出了非常中肯的建議。我們接下來進入媒體問答環(huán)節(jié)。哪位媒體朋友有問題先舉手示意一下。

　　第一財經日報：我有兩個問題，一個是安永做的報告，我們主要關注的是央行貨幣政策，您對于這個反洗錢或者反欺詐這方面有什么幫助？我們知道反洗錢也是信息的交流。

　　現在支付領域的一些安全問題頻出，它有沒有可能得到一個解決，是我們在技術上存在一些不足嗎？還是企業(yè)的安全意識不夠？

　　阮褀康：謝謝這位朋友的問題。反洗錢跟反欺詐這個議題是一個非常熱門的話題。這個報告我們是相對來說比較針對信息安全這一塊，在這個報告當中就沒有覆蓋反洗錢和反欺詐方面的信息。

　　基于支付的安全問題，在國內是有很多支付的案件我們也在很多媒體上看到，也了解支付的問題是挺多元化的。我們現在有很多不同的支付渠道，總的來說從我這邊的個人角度，兩個最大的挑戰(zhàn)，一方面是用戶本身因為現在的犯罪分子還有黑客是針對用戶本身，要加強用戶端的意識培訓，要經常告訴他們哪些能做，哪些不應該做。在公司這一塊，有很多情況信息安全需要除了一些內部的組織結構之外，要在設計業(yè)務場景的時候他怎么思考這個安全。他在開發(fā)一個系統(tǒng)或者是一個業(yè)務的時候，已經把信息安全考慮進去，考慮在不同的業(yè)務環(huán)節(jié)當中，希望把安全融入到一些業(yè)務條件里面，希望盡量避免這些問題的發(fā)生。我相信從企業(yè)端跟客戶端兩邊配合是能夠有效打擊安全的一些問題。

　　21世紀：我有一個問題，現在國家的政府相關部門也有一些關于信息安全方面的有關部門，比如說網絡安全以及信息化領導小組，政府那邊應該也是會對信息安全這塊有一些措施，甚至有可能他們會為了政策方面的原因會獲得一些公司的信息。你們跟國家這邊有關部門是否有過一些接觸和合作，未來是否會，如果政府需要一些數據，你們這邊是否也會提供？

　　阮褀康：你的問題是我們會不會提供一些數據給政府部門一起合作？要看什么數據，比方說一些案例，這些是可以的。我們也有一些機密的數據，也是非我們的工作范圍之內?；谡吒鷩业囊?guī)范，我們也跟不同的監(jiān)管部門有一些交流和溝通，因為我們是接觸業(yè)界不同的市場，我們也了解在不同的客戶那邊有什么問題，通常我們都會跟政策部門以及監(jiān)管部門定期會有溝通交流，只要我們站在一個市場的環(huán)境，市場的情況去跟他們溝通。

　　李睿：我們跟政府之間的溝通還有分享主要是基于我們本身安永的優(yōu)勢。一個是我們會分享我們國際化的視野，我們有1700多家企業(yè)，我們會分析全球化的一些信息安全的趨勢。另外來講，因為我們的很多案例是國際化的案例，在這里面我們的經驗積累會跟整個政府或者監(jiān)管部門去進行相應的溝通或者是頭腦風暴，政府本身也是我們的客戶，我們也有很多項目在和政府合作。

　　中國經濟網：我看到全球信息安全調查報告已經是第18屆了，在跟過去幾年的調查報告相比，今年的數據和一些調查結果方面，有沒有呈現一些新的問題或者有新問題出現的趨勢？

　　因為這是一個全球性安全報告，有沒有發(fā)現中國和其他國家相比，有一些比較差異化或者是特別的問題存在？

　　李睿：如果你看我們的主題，我們每一年的主題都是不一樣的，我們的報告的名字都是不一樣的。有一年我們的主題是撥開云霧看云端我們會看到整個安全，尤其是云帶來的虛擬化共享帶來的安全。每一年的主題是當時本身的一個我們分析出來的趨勢，今年為什么叫“締造可信的數字世界”，有兩個：一個是現在國際化的企業(yè)我們看到轉型，像互聯(lián)網的轉型或者數字里面大數據和云計算領域，而且還有說什么叫可信，可信和安全來講有一點不同，可信是要互信，是說整個企業(yè)和自己客戶的信任，不僅僅是企業(yè)自身本身要展示自己是安全的。他要給客戶一個感知是可信任的，這是我們今年看到的大家不僅僅是安全在練內功，而是向商業(yè)社會證明自己的可信性。

　　您剛才講到的第二個問題，我們沒有一個具體的數字是對比中國和國外的區(qū)別，我們目前看起來整體上講這個趨勢是趨同的。我其實想特別分享一點關于國際和國內的我們也有很多安全的公司從這點上講，我們看到的實際上也是各有各的特點，我覺得這點也反映到企業(yè)上。從國內上來講他更注重的是本地化，還有整個方案更滿足本地的監(jiān)管要求，并且他的技術支持。對于國外來講他們更具有，剛才也講到，他更具有全球的視野，更具有國際的經驗。我們整體看國內國外是融合的趨勢，大家都在分享最佳的實踐，本身不光是說安全，我們國家在致力于可信的數據世界上也是融合的一個趨勢。

　　中國網：我的問題是三位能否預測一下未來三年也好、五年也罷，哪些行業(yè)會成為推動全球信息安全市場最大的增長點？

　　阮褀康：未來三到五年，這是比較遠了，現在每一年都變得很快。

　　我們看到一個趨勢是基本上可以肯定，我們很多企業(yè)擁抱互聯(lián)網，很多公司都向互聯(lián)網方向去發(fā)展，這個肯定會帶來對信息安全有很多的挑戰(zhàn)。

　　第二個趨勢就是，越來越多的新的技術，包括剛才提到的云計算、IoT（物聯(lián)網）社交媒體、大數據等等的很多議題，這些新的技術背后都代表了新的威脅。在安全方面也是有新的挑戰(zhàn)。

　　第三個趨勢是國家的層面到監(jiān)管的要求，肯定會越來越嚴。比方說每個行業(yè)的要求到個人隱私的要求，這個趨勢肯定會越來越需要企業(yè)投入在合規(guī)方面的工作。趨勢是在信息安全會越來越投入增多，而基于在哪一個方面，很多的領域包括技術架構到人員的培訓，到應用層面、管理類的軟件，一些現在比較流行的威脅情報到一些在后臺做一些監(jiān)控的手段，以及咨詢，未來三年都會有很大的空間去發(fā)展。

　　梁尚文：我覺得我們現在不敢說哪個行業(yè)是投入最多，可是我覺得金融業(yè)肯定是一個投入很多的一個行業(yè)。為什么呢？剛才我們說了，日常生活跟互聯(lián)網、移動技術不停交織在一起，我們現在是整個行業(yè)，銀行在做互聯(lián)網，互聯(lián)網公司在做金融，我們看到過去幾年P2P出事了，那個可能是先管后開發(fā)還是先開發(fā)后管，現在已經到了淘汰的階段，把有問題的公司都淘汰了。無論從行業(yè)來說，或者是從監(jiān)管角度來說，其實很多問題在出現。整個金融業(yè)、銀行保險業(yè)都投入很多在信息安全方面。除了互聯(lián)網，大部分的銀行都在做大數據，無論是內部的分析還是外部的影響，大量的內部數據、外部數據，這個牽扯到很多個人的隱私、信息安全的問題。我們看到金融業(yè)無論從架構還是從資源的投入、預算方面都有龐大的投入在信息安全、個人隱私的方面，我覺得從行業(yè)來說金融業(yè)是在前列投入的一個行業(yè)。

　　國際商報:我想問一下現在網絡安全從報告上來看對企業(yè)的威脅很大，這些企業(yè)要增加投入應對這個威脅。在全球經濟都不是很好的情況下，企業(yè)在這方面投入是否會增加他們的成本壓縮他們的利潤？企業(yè)在這方面投入占整個企業(yè)的預算有沒有大概的范圍？

　　李睿：我們有一個具體的應該在報告里面有一個具體的說明，企業(yè)的投入分兩部分：一部分是本身企業(yè)的安全投入會不會變成他一部分成本；第二你講的是他的投入趨勢，大家都分配什么樣的地方。安全不僅僅是練內功，你是對外的競爭上的優(yōu)勢，我們會看到很多安全事件，比如說他出了信息安全事件股票要下跌，這方面是無價的。從成本上來講，我們?yōu)槭裁捶磸蛷娬{以風險為中心，不是企業(yè)重金砸下去越多越好，基于企業(yè)自身的需要你要了解自己要保護什么，你保護的措施是什么，這是從安全成本上講。

　　企業(yè)投入產出比很難衡量，衡量的基礎是在企業(yè)的安全成熟度，你成熟度高，你有了數據，你就可以做詳細的投入產出比的衡量，你就知道把錢花在什么樣的地方，這是第一部分。

　　第二部分來講，企業(yè)的投入從成本上來講不僅僅是錢，有資金有技術我們看到整體的趨勢，驅動性上講也有幾個方面。一個是本身國家監(jiān)管要求也是越來越嚴格，所以必須要求你在這方面進行投入，無論是整改或者技術上的投入等等，這是一個驅動力。另外還有一個驅動力，轉型，尤其對傳統(tǒng)企業(yè)向互聯(lián)網或者向新的數字社會的轉型，這里面它的安全投入也是他們投入的一個方向。

　　還有新技術，新技術的這一塊目前我們看到新技術分兩方面，一方面是企業(yè)采用，從業(yè)務上采用信息，企業(yè)怎么應對，這方面的投入。還有就是安全自己本身也要利用新的安全技術去進行，我們看到有一個趨勢企業(yè)開始在不斷投入。另外還有像安全組織，安全人員、安全培訓等等，這些隱性的安全能力提升的投入，幾個類型吧，企業(yè)都在不斷進行相應的資源投入。

　　主持人：如果沒有的話，我們今天的發(fā)布會進行到這里，非常感謝大家今天抽出時間參加我們的發(fā)布會，如果后續(xù)大家還有一些問題，可以發(fā)到我的郵箱。