刘家雍认为，随着信息技术的发展，CIO需要重新定义企业的信息安全。
《信息周刊》：在您看来，目前中国的信息安全呈现出什么特征?首席信息官(CIO)们需要注意什么?
刘家雍：CIO需要对信息安全重新定义。广义的网络信息安全已经超越了黑客技术，从防病毒的角度看，安全厂商要做的不仅仅是病毒特征代码的对比，还包括更广泛的病毒防御。就以往的经验而言，IT部门只要在网络节点中部署防病毒设备和软件，架起一个防御网来保护企业信息的安全。不过，今天的安全攻击在不断升级，大部分的破坏不再是无意的，而是有组织、有计划的行为。单纯部署一套防御设备已经不能保证企业网络的安全，CIO或者首席信息安全官(CISO)需要制订安全策略，加强信息安全的运维和管理。
《信息周刊》：这是不是意味着企业的信息安全应用正在从产品向服务过渡? 
刘家雍：信息安全从产品向服务的转化是必然趋势。举个例子来说，趋势科技(中国)有限公司目前来自安全服务的收入已经超过总收入10%，而通过安全服务达成的产品和解决方案的销售占整体销售的30%。到今年年底，这个数字会增长到60%。安全服务实现7×24小时跟踪分析用户安全事件，将可能出现的安全事故和防御方法及时告知用户。而用户购买了安全服务之后，一方面可以防患于未然，另一方面也不再需要把大量精力放在安全防范上。
《信息周刊》：在这样的环境中，CIO在选择信息安全产品和解决方案的时候，需要注意什么问题?
刘家雍：目前购买安全服务的企业大多是业务高度依赖信息系统的行业企业，比如金融、电信运营商、网络游戏和电子商务平台等。而就绝大部分企业而言，信息安全还处于病毒防御和攻击防御驱动的水平。这一类企业需要注意平衡两个问题，一是安全产品不是越超前越好，供应商的产品太“激进”，杀毒效果可能会很好，但一旦发生错杀，带来的损失可能比病毒本身带来的损失还要大很多。二是防病毒要和业务部门的工作效率相结合。事实上多数的安全防范对于使用者来说都是不方便的，CIO需要注意的是，做那些有必要做的事情。
《信息周刊》：国内中小型企业信息安全的现状是什么?这些企业如何改进自己的信息安全状况?
刘家雍：这类企业的信息安全有两个特征，一是信息安全策略没有制度化，得不到很好的落实;二是CIO缺少话语权，他们关于信息安全防范的一些建议不仅得不到业务部门领导的支持，也得不到大老板的支持。而安全厂商提出的建议往往也因为他们供应商的身份而不被企业采纳。这时候，就需要CIO拿出量化的数据向公司领导层痛陈疏于安全防范的严重后果，从而改变他们对信息安全的认识。
《信息周刊》：最近1~2年，新技术和新应用开始进入企业，比如Web2.0和软件作为服务(SaaS)，这会给企业带来新的安全危机吗?
刘家雍：理论上，用户在线的行为越频繁，就会存在越多的安全隐患。同样，如果用户网络上的节点越多，安全隐患也会大幅增加。而网络应用越广泛，用户的信息越有商业价值，就越容易被不良分子盯上。
现在企业都用电子邮件来沟通信息、做生意，个人闪存盘中的病毒也能一下子传遍局域网，加上Web2.0的不断互动，潜在的变数和风险有多高我们还不确定。不过，从现在的犯罪分子充分利用网页的特性来看，我觉得新技术和新应用已经替2.0时代的信息安全种下了隐患。

（c112）