存儲在線 12月9日北京消息：Unisys 公司的IT安全顧問日前發表了其對2005年企業所面臨的IT安全挑戰和行業發展趨勢預測，指出全球企業在明年將遇到嚴峻挑戰，因為它們將更加依賴整合網絡來和合作伙伴及客戶聯系，其員工將更多使用移動技術來辦公，此外，他們需面對網絡恐怖分子和網絡罪犯對企業和政府的破壞活動。
  
    Unisys首席安全顧問Sunil Misra與Unisys識別與訪問管理部門首席設計師Patrick O'Kane認為2005年IT安全領域將面臨下列挑戰和發展趨勢：

• 1.應用軟件漏洞將導致《產品缺陷法》(Lemon laws)出臺。
• 2.業務伙伴和其他方的可靠網絡將成為風險來源。
• 3.移動領域將成為滋生安全事件的黑點。
• 4.網絡攻擊方式將更加凌厲。
• 5.互聯網暴徒的有組織攻擊將會增加。
• 6.由于需要進一步保護業務的安全，企業將轉向主動式的“深入防御”策略。
• 7.信用報告機構將更多地參與管理身份盜竊的后果。
• 8.加快采用聯合體系結構，進行身份和訪問管理。
• 9.企業將重新采用基于角色的訪問權限控制來進行身份和訪問管理
• 10.虛擬目錄技術將成為身份集成項目的重要組成部分

    Misra表示：“安全根本上是一個商業課題，我們可把安全定義為作出投入來優化公司的業務能力，以及管理公司資產和信譽的風險。在2005年，我們會看到安全挑戰將對業務造成重大影響，這將涵蓋法律、經濟及技術等方面。企業將面臨前所未有的挑戰，它們必須在安全方面進行集中的、戰略性及全面的投資。然而，對于任何尋求實現Unisys的‘可信企業’目標的企業而言，這些投資都是必要的，風險管理必須成為業務戰略的不可缺少部分，建立安全的環境，實現與合作伙伴和客戶的最佳協作，并推動業務發展?！?BR>  
    Misra和O'Kane并進一步演繹上述10大預測：

• 應用軟件漏洞將導致《產品缺陷法》(Lemon laws) 出臺

    瀏覽器和操作系統的供應商經常由于企業安全漏洞成為批評的焦點。應用和相關軟件也同樣容易遭受攻擊，但很多時這都被忽略。隨著應用程序更加接近互聯網的邊緣，某廠商的應用或數據庫產品遭受攻擊而導致客戶損失，客戶因而對軟件供應商提出法律起訴，這在2005年爆發將只是時間的問題。Misra表示：“在2005年，我們預見基于《產品缺陷法》而對應用軟件安全漏洞提出法律訴訟的個案將涌現，這將顯著改變應用軟件提供商和購買者之間的經濟地位?！?/P>

• 業務伙伴和其他方的可靠網絡將成為風險來源

    由于企業通過公司網絡與業務伙伴、供應商和客戶進行的業務交往日益頻繁，企業IT基礎架構和重要業務信息遭受破壞的可能性也隨之增加。由于企業預計大多數網絡攻擊是來自內部人員和外部黑客，很少對來自合作伙伴或客戶人員的攻擊進行防備，然而此等人士進行惡意行動的意圖可能和內部員工相仿。
   
    Misra表示，企業必須將安全重點從簡單的信息安全演進成更有計劃的、面向流程的方法，以保護基礎架構和核準的用戶，包括合作伙伴達成的全面策略、諸如代理防火墻的技術保護，以及聯合身份管理等?？偠�言�?，使用可靠網絡的電子商務方針必須從‘相信我’迅速演進為‘檢驗它’。

• 移動領域將成為滋生安全事件的黑點

    隨著第三代網絡、手機和PDA等移動環境和設備的日益智能化，它們對業務變得不可或缺，企業IT基礎架構的邊界已經超出了目前安全基礎架構能夠覆蓋的范圍。廣泛使用的藍牙和其它公共移動環境的保護技術尚顯稚嫩，并且難以使用，從而為無線數據盜竊提供了可乘之機。
  
    Misra 表示，解決上述挑戰的方法就是采取集中及謹慎的投資戰略。企業必須從商業而不是技術角度來看待移動安全。他們需要實事求是地分析目前和未來威脅的可能影響，然后，他們還必須進行業務決策，決定資金和資源的投入程度，以降低下一代移動安全威脅帶來的風險。

• 網絡攻擊方式將更加凌厲

    Misra表示：“一些攻擊者會企圖制造一些帶來長期影響、而非一次性的攻擊，這些行為可能純粹出于惡意，但大多數背后都懷有經濟動機。在2005年，我們預計會出現第一種具有真正危險效果的蠕蟲或病毒，能夠改變或破壞記錄層的信息，由此產生的影響將無法通過簡單手段來挽救，例如從先前備份的數據版本恢復。企業將花費大量時間和資金來尋找和替代被改動的內容。最糟糕的是這些惡意攻擊將破壞受害者的運營和業務誠信，這對電子商務來說是十分嚴重的沖擊?！?/P>

• 互聯網暴徒的有組織攻擊將會增加

    新的網絡犯罪組織不斷涌現，它們與其前輩不同，經常純粹為經濟動機而犯罪，而且不計后果，熱衷于發動更具破壞力的攻擊。Misra表示：“迄今為止，網絡勒索者通常只是威脅如果不向他們繳付敲詐金額，他們將制造破壞，例如清除計算機硬盤上的內容或破壞數據指針等。我們將看到如果威脅沒有得逞，他們將使用多種攻擊手段，從有目標的拒絕服務攻擊到破壞記錄層信息，真正造成嚴重破壞?！?/P>

• 由于需要進一步保護業務的安全，企業將轉向主動式的“深入防御”策略

    由于企業必須遵守嚴格的企業法規，例如Sarbanes-Oxley、Basel 2、HIPAA、Gramm-Leach-Blilely法案和其它法規，這就意味著安全不再只是技術人員的問題。針對違反安全規則和不遵守法規行為的懲罰已經明顯變得更加經濟化，并將責任歸結到個人。Misra表示：“面對法規責任，管理層開始意識到：安全是20%的技術加上80%的流程?，F成的解決方案已經無法滿足需求?！?BR>   
    在2005年，企業管理層將更加意識到多層端到端解決方案的價值，以及實施它們的必要性。這種解決方案能夠滿足各種要求，從威脅和漏洞分析，到多種技術和可管理安全服務策略的開發和實施。他們通常會發現，將這些解決方案的設計、實施和管理外包給專業合作伙伴，是實現優化風險管理和投資回報的高效方式。

• 信用報告機構將更多地參與管理身份盜竊的后果

    許多身份偷竊都涉及信用卡帳戶信息，罪犯可以使用這些信息，來嘗試訪問其它系統，例如銀行和經紀帳戶，以偷竊更多的信息或訪問其它資源。報告機構需要幫助設計用戶身份驗證方法，從而防止身份竊賊使用偷竊的身份信息來訪問其它來源的信息。O'Kane表示：“如果信用報告機構不通過消費者教育和其它主動措施來更多地參與其中，政府將會介入，開始為他們解決這個問題?！?/P>

• 加快采用聯合體系結構，進行身份和訪問管理

    通過聯合身份管理，參與的企業能夠共享彼此的驗證和授權服務。同樣，企業要和外部合作伙伴及提供商、或實現公司內部業務部門之間安全地共享信息，協作也是至關重要的。O'Kane指出：“在2005年，用戶將采用合作方式，以解決來自可靠網絡日益增多的威脅。Unisys在2004年10月進行的一次研究調查表明，37%的被調查者表示他們將在明年內實施協作方針。由于行業采用了OASIS安全宣示標記語言2（SAML 2）標準的最新版本，這種新興技術的采用率可能會進一步提高。

• 企業將重新采用基于角色的訪問權限控制來進行身份和訪問管理

    基于角色的訪問控制（RBAC）是根據用戶的職能而非個人身份來授予訪問權限。通過采用RBAC，更改訪問權限使用者的工作將大幅度簡化。
   
    由于要界定企業每個角色頗為困難和所費不菲，RBAC的采用率過去不高，直到最近才逐漸提升。例如，一家使用多個系統、擁有40,000員工的企業用了12個月的時間才能界定不同角色。然而，只為這40,000名員工定義2,500個角色，就可以極大地降低設置和管理的工作量。O'Kane表示：“在2005年，更新的技術將使RBAC的優點更加迅速地實現，尤其是在提高工作效率和減低成本方面?！?BR>  
    Unisys在2004年10月進行的研究調查表明，RBAC的采用率正在提高。32%的接受調查者表示他們可能在2005年實施RBAC。

• 虛擬目錄技術將成為身份集成項目的重要組成部分

    虛擬目錄技術提供了一種可從多個系統查看和整合身份信息的途徑，而無需實際合并數據庫。隨著虛擬目錄技術的成熟，虛擬目錄解決方案也得以實現，這種解決方案對整合新系統和傳統系統來說十分重要。例如，在一個整合的司法系統中，處于不同管轄權限范圍、使用不同計算機系統的地方檢察官辦公室、警察局、懲教部和司法部，在經過授權后都可以虛擬查看一名已知罪犯的全面信息。
   
    O'Kane表示：“新的虛擬目錄技術正在消除實際移動和整合數據的必要性。通過這種做法，它們可以解決了相關的數據所有權問題，加快了身份整合時間并降低了成本。在2005年，企業用戶將充分了解虛擬目錄的這些優點，并在其安全戰略中采用虛擬目錄?！?/P>