2009年上半年企業安全威脅評估報告，是通過監測企業指定的一個信息安全環境，協助企業了解并發掘安全威脅入侵的手法、原因與位置。其結果顯示所有參加這項評估的100家企業的信息安全基礎架構皆有發現被惡意程序入侵，范圍遍布北美洲、拉丁美洲、歐洲與亞太地區。平均來說，這些企業的員工人數在 11,000 左右，產業分布包括金融、醫療、政府、教育與制造業。

在2008年10月至2009年6月之間，為全球100家企業執行信息安全架構的評估，發現下列事實：

. 所有參與的企業都已感染到惡意程序，無一幸免。

. 50% 的企業至少有一種數據竊盜惡意程序潛藏在網絡內部。

. 45% 的企業感染了多種數據竊盜惡意程序。

. 72% 的企業至少感染了一種 IRC Bot 程序。

. 50% 的企業感染了四種或更多種 IRC Bot 程序。

. 83% 的企業至少感染了一種網頁下載的惡意程序。

. 60% 的企業感染了 20 種以上網頁下載的惡意程序。

. 35% 的企業至少感染了一種網絡蠕蟲。

資深技術顧問鄭弘卿指出：此次安全威脅評估所發現的結果顯示，隨著安全威脅數量與復雜度不斷攀升，一些傳統信息安全技術，如端點防毒、網頁安全網關、電子郵件安全網關以及 IPS 解決方案，都已面臨嚴重的挑戰。我們所發現的程序是專門竊取數據、貨真價實的惡意程序，已經對企業營運造成潛在的危機。

造成這些安全漏洞的原因為何？

雖然傳統的信息安全解決方案是很重要第一道防線，但企業還是必須因應由惡意程序不斷攻擊所產生的安全漏洞。今日的惡意程序之所以能夠滲透企業網絡，主要原因為：

. 在外感染了惡意程序的行動使用者將惡意程序帶入企業內部網絡。

. 遠程辦公室的安全性不足、現場 IT 人力短缺、政策執行不夠嚴謹等，都是影響信息安全的因素。

. 一些容易遭到滲透的技術使用愈來愈普遍，如：P2P、文件共享、移動媒介、即時通訊等等。

.缺乏管理或沒有套用修補程序的端點，例如：老舊系統、外來人員的筆記本計算機、USB 裝置、其它攜帶式大量儲存裝置等等。

在此提醒大家：企業除了建置信息安全基礎架構之外，對于安全政策及各類移動式裝置之使用規范，應視為安全管理之重要一環，必要時借由專業安全廠商所提供的安全評估對于發現隱藏于企業中未知的威脅亦有所幫助。