存储在线 12月9日北京消息:Unisys 公司的IT安全顾问日前发表了其对2005年企业所面临的IT安全挑战和行业发展趋势预测,指出全球企业在明年将遇到严峻挑战,因为它们将更加依赖整合网络来和合作伙伴及客户联系,其员工将更多使用移动技术来办公,此外,他们需面对网络恐怖分子和网络罪犯对企业和政府的破坏活动。 Unisys首席安全顾问Sunil Misra与Unisys识别与访问管理部门首席设计师Patrick O'Kane认为2005年IT安全领域将面临下列挑战和发展趋势:
- 1.应用软件漏洞将导致《产品缺陷法》(Lemon laws)出台。
- 2.业务伙伴和其他方的可靠网络将成为风险来源。
- 3.移动领域将成为滋生安全事件的黑点。
- 4.网络攻击方式将更加凌厉。
- 5.互联网暴徒的有组织攻击将会增加。
- 6.由于需要进一步保护业务的安全,企业将转向主动式的“深入防御”策略。
- 7.信用报告机构将更多地参与管理身份盗窃的后果。
- 8.加快采用联合体系结构,进行身份和访问管理。
- 9.企业将重新采用基于角色的访问权限控制来进行身份和访问管理
- 10.虚拟目录技术将成为身份集成项目的重要组成部分
Misra表示:“安全根本上是一个商业课题,我们可把安全定义为作出投入来优化公司的业务能力,以及管理公司资产和信誉的风险。在2005年,我们会看到安全挑战将对业务造成重大影响,这将涵盖法律、经济及技术等方面。企业将面临前所未有的挑战,它们必须在安全方面进行集中的、战略性及全面的投资。然而,对于任何寻求实现Unisys的‘可信企业’目标的企业而言,这些投资都是必要的,风险管理必须成为业务战略的不可缺少部分,建立安全的环境,实现与合作伙伴和客户的最佳协作,并推动业务发展。” Misra和O'Kane并进一步演绎上述10大预测:
- 应用软件漏洞将导致《产品缺陷法》(Lemon laws) 出台
浏览器和操作系统的供应商经常由于企业安全漏洞成为批评的焦点。应用和相关软件也同样容易遭受攻击,但很多时这都被忽略。随着应用程序更加接近互联网的边缘,某厂商的应用或数据库产品遭受攻击而导致客户损失,客户因而对软件供应商提出法律起诉,这在2005年爆发将只是时间的问题。Misra表示:“在2005年,我们预见基于《产品缺陷法》而对应用软件安全漏洞提出法律诉讼的个案将涌现,这将显著改变应用软件提供商和购买者之间的经济地位。”
由于企业通过公司网络与业务伙伴、供应商和客户进行的业务交往日益频繁,企业IT基础架构和重要业务信息遭受破坏的可能性也随之增加。由于企业预计大多数网络攻击是来自内部人员和外部黑客,很少对来自合作伙伴或客户人员的攻击进行防备,然而此等人士进行恶意行动的意图可能和内部员工相仿。 Misra表示,企业必须将安全重点从简单的信息安全演进成更有计划的、面向流程的方法,以保护基础架构和核准的用户,包括合作伙伴达成的全面策略、诸如代理防火墙的技术保护,以及联合身份管理等。总而言之,使用可靠网络的电子商务方针必须从‘相信我’迅速演进为‘检验它’。
随着第三代网络、手机和PDA等移动环境和设备的日益智能化,它们对业务变得不可或缺,企业IT基础架构的边界已经超出了目前安全基础架构能够覆盖的范围。广泛使用的蓝牙和其它公共移动环境的保护技术尚显稚嫩,并且难以使用,从而为无线数据盗窃提供了可乘之机。 Misra 表示,解决上述挑战的方法就是采取集中及谨慎的投资战略。企业必须从商业而不是技术角度来看待移动安全。他们需要实事求是地分析目前和未来威胁的可能影响,然后,他们还必须进行业务决策,决定资金和资源的投入程度,以降低下一代移动安全威胁带来的风险。
Misra表示:“一些攻击者会企图制造一些带来长期影响、而非一次性的攻击,这些行为可能纯粹出于恶意,但大多数背后都怀有经济动机。在2005年,我们预计会出现第一种具有真正危险效果的蠕虫或病毒,能够改变或破坏记录层的信息,由此产生的影响将无法通过简单手段来挽救,例如从先前备份的数据版本恢复。企业将花费大量时间和资金来寻找和替代被改动的内容。最糟糕的是这些恶意攻击将破坏受害者的运营和业务诚信,这对电子商务来说是十分严重的冲击。”
新的网络犯罪组织不断涌现,它们与其前辈不同,经常纯粹为经济动机而犯罪,而且不计后果,热衷于发动更具破坏力的攻击。Misra表示:“迄今为止,网络勒索者通常只是威胁如果不向他们缴付敲诈金额,他们将制造破坏,例如清除计算机硬盘上的内容或破坏数据指针等。我们将看到如果威胁没有得逞,他们将使用多种攻击手段,从有目标的拒绝服务攻击到破坏记录层信息,真正造成严重破坏。”
- 由于需要进一步保护业务的安全,企业将转向主动式的“深入防御”策略
由于企业必须遵守严格的企业法规,例如Sarbanes-Oxley、Basel 2、HIPAA、Gramm-Leach-Blilely法案和其它法规,这就意味着安全不再只是技术人员的问题。针对违反安全规则和不遵守法规行为的惩罚已经明显变得更加经济化,并将责任归结到个人。Misra表示:“面对法规责任,管理层开始意识到:安全是20%的技术加上80%的流程。现成的解决方案已经无法满足需求。” 在2005年,企业管理层将更加意识到多层端到端解决方案的价值,以及实施它们的必要性。这种解决方案能够满足各种要求,从威胁和漏洞分析,到多种技术和可管理安全服务策略的开发和实施。他们通常会发现,将这些解决方案的设计、实施和管理外包给专业合作伙伴,是实现优化风险管理和投资回报的高效方式。
许多身份偷窃都涉及信用卡帐户信息,罪犯可以使用这些信息,来尝试访问其它系统,例如银行和经纪帐户,以偷窃更多的信息或访问其它资源。报告机构需要帮助设计用户身份验证方法,从而防止身份窃贼使用偷窃的身份信息来访问其它来源的信息。O'Kane表示:“如果信用报告机构不通过消费者教育和其它主动措施来更多地参与其中,政府将会介入,开始为他们解决这个问题。”
通过联合身份管理,参与的企业能够共享彼此的验证和授权服务。同样,企业要和外部合作伙伴及提供商、或实现公司内部业务部门之间安全地共享信息,协作也是至关重要的。O'Kane指出:“在2005年,用户将采用合作方式,以解决来自可靠网络日益增多的威胁。Unisys在2004年10月进行的一次研究调查表明,37%的被调查者表示他们将在明年内实施协作方针。由于行业采用了OASIS安全宣示标记语言2(SAML 2)标准的最新版本,这种新兴技术的采用率可能会进一步提高。
- 企业将重新采用基于角色的访问权限控制来进行身份和访问管理
基于角色的访问控制(RBAC)是根据用户的职能而非个人身份来授予访问权限。通过采用RBAC,更改访问权限使用者的工作将大幅度简化。 由于要界定企业每个角色颇为困难和所费不菲,RBAC的采用率过去不高,直到最近才逐渐提升。例如,一家使用多个系统、拥有40,000员工的企业用了12个月的时间才能界定不同角色。然而,只为这40,000名员工定义2,500个角色,就可以极大地降低设置和管理的工作量。O'Kane表示:“在2005年,更新的技术将使RBAC的优点更加迅速地实现,尤其是在提高工作效率和减低成本方面。” Unisys在2004年10月进行的研究调查表明,RBAC的采用率正在提高。32%的接受调查者表示他们可能在2005年实施RBAC。
虚拟目录技术提供了一种可从多个系统查看和整合身份信息的途径,而无需实际合并数据库。随着虚拟目录技术的成熟,虚拟目录解决方案也得以实现,这种解决方案对整合新系统和传统系统来说十分重要。例如,在一个整合的司法系统中,处于不同管辖权限范围、使用不同计算机系统的地方检察官办公室、警察局、惩教部和司法部,在经过授权后都可以虚拟查看一名已知罪犯的全面信息。 O'Kane表示:“新的虚拟目录技术正在消除实际移动和整合数据的必要性。通过这种做法,它们可以解决了相关的数据所有权问题,加快了身份整合时间并降低了成本。在2005年,企业用户将充分了解虚拟目录的这些优点,并在其安全战略中采用虚拟目录。”
|