【51CTO.com 綜合消息】2009年6月12日，EMC安全事業(yè)部RSA今天公布了兩項(xiàng)新的研究報(bào)告，這兩項(xiàng)研究報(bào)告對許多有前途的技術(shù)所顯現(xiàn)出來的深遠(yuǎn)安全問題進(jìn)行了研究分析。這些新技術(shù)包括云計(jì)算、虛擬化、社會(huì)網(wǎng)絡(luò)、移動(dòng)通信等，同時(shí)還對它們給全球公司所帶來的關(guān)鍵業(yè)務(wù)風(fēng)險(xiǎn)和回報(bào)進(jìn)行了探討。

第一項(xiàng)研究報(bào)告由IDG公司研究服務(wù)部門執(zhí)行，它揭示了組織采用全新的連接、協(xié)作和通信技術(shù)的匆忙速度，與安全部署這些技術(shù)的準(zhǔn)備狀態(tài)存在著巨大差距。第二項(xiàng)是有關(guān)RSA業(yè)務(wù)創(chuàng)新安全理事會(huì)的研究報(bào)告，它概述了企業(yè)如何利用這些新技術(shù)所帶來的巨大商業(yè)優(yōu)勢，同時(shí)不會(huì)使公司陷入風(fēng)險(xiǎn)之中。

“很多企業(yè)日益成長為‘超級擴(kuò)展型企業(yè)’，它們比以往任何時(shí)候，以更豐富的方式相互交換信息，” RSA總裁Art Coviello說道?！靶律腤eb技術(shù)、社會(huì)技術(shù)和移動(dòng)技術(shù)的快速采用，以及越來越普遍的外包現(xiàn)象，正在迅速消融組織和信息資產(chǎn)的傳統(tǒng)邊界。安全戰(zhàn)略必須要進(jìn)行重大轉(zhuǎn)變，以確保公司能夠?qū)崿F(xiàn)削減成本和達(dá)到收入目標(biāo)的目的，同時(shí)不會(huì)造成新的、具有危險(xiǎn)性的業(yè)務(wù)漏洞?！?/P>

IDG報(bào)告顯示，許多公司在沒有認(rèn)真思考的情況下就實(shí)現(xiàn)了跨越

受RSA的委托，IDG公司研究服務(wù)部門進(jìn)行了一項(xiàng)調(diào)查，該調(diào)查針對收入超過10億美元公司的100位頂級安全高級管理人員，結(jié)果表明一些企業(yè)是如此的熱衷于新的Web技術(shù)和移動(dòng)技術(shù)，但他們在部署這些技術(shù)的同時(shí)，卻沒有對關(guān)鍵的流程和數(shù)據(jù)提供足夠的保護(hù)。

主要調(diào)查結(jié)果包括：

◆70%以上的被調(diào)查者認(rèn)為新的Web技術(shù)和通信技術(shù)給連接和信息交換層帶來了提升，使他們的組織越來越向超級擴(kuò)展型企業(yè)發(fā)展。在過去的12-24個(gè)月中，多數(shù)被調(diào)查者都增加了虛擬化、移動(dòng)、社會(huì)網(wǎng)絡(luò)技術(shù)的使用，超過三分之一的被調(diào)查者增加了云計(jì)算的使用。

◆但是，許多接受調(diào)查的公司并沒有采取任何戰(zhàn)略對采用這些新技術(shù)所帶來的風(fēng)險(xiǎn)進(jìn)行評估。在一些組織中，企業(yè)的安全團(tuán)隊(duì)只有在發(fā)生問題時(shí)才會(huì)被要求介入，而在其它時(shí)候，使用這些新技術(shù)之前安全團(tuán)隊(duì)甚至沒有得到任何的通知。不到一半的被調(diào)查公司已經(jīng)制定了相關(guān)的政策，以指導(dǎo)員工如何使用社會(huì)網(wǎng)絡(luò)工具和網(wǎng)站。

◆30%以上的被調(diào)查公司已經(jīng)有一些企業(yè)應(yīng)用或業(yè)務(wù)流程運(yùn)行在云環(huán)境中，還有16%的被調(diào)查公司計(jì)劃在未來的12個(gè)月內(nèi)開始遷移到云環(huán)境中。在這些公司中，有三分之二還沒有實(shí)施云計(jì)算環(huán)境下的安全策略。

◆10個(gè)受訪者中有超過8個(gè)感覺到削減成本和創(chuàng)造收益的壓力使它們大大增加了暴露在安全風(fēng)險(xiǎn)下的可能性。10個(gè)受訪者中有超過7個(gè)在過去的18個(gè)月中經(jīng)歷過安全事件。

◆大部分受調(diào)查者都表示，需要改變和提高企業(yè)的安全戰(zhàn)略，以適應(yīng)超級擴(kuò)展型企業(yè)的現(xiàn)狀。

研究結(jié)果在IDG公司研究服務(wù)部門的白皮書“隨著超級擴(kuò)展性企業(yè)的不斷成長，風(fēng)險(xiǎn)也在日益擴(kuò)大”中有詳細(xì)的描述，您可以從(www.rsa.com/innovation)下載 。組織機(jī)構(gòu)也可以對它們成為超級擴(kuò)展型企業(yè)的安全準(zhǔn)備狀態(tài)進(jìn)行測試，并將測試結(jié)果與受調(diào)查高級管理人員的結(jié)果進(jìn)行對比。

頂級“信息安全官”表示，超級擴(kuò)展型企業(yè)需要新的安全措施

同樣在今天，RSA還公布了其業(yè)務(wù)創(chuàng)新安全理事會(huì)的第四份報(bào)告：“構(gòu)建大道：在前所未有的風(fēng)險(xiǎn)環(huán)境下打造“超級擴(kuò)展型”企業(yè)?！痹谶@份報(bào)告中，來自世界各地的頂級安全領(lǐng)導(dǎo)者共同探討了在今天這樣一個(gè)原本能夠推動(dòng)新的商業(yè)價(jià)值的善意行動(dòng)卻會(huì)使企業(yè)置于災(zāi)難性風(fēng)險(xiǎn)之中的世界里，如何轉(zhuǎn)變安全戰(zhàn)略。（若需要完整報(bào)告中文版，請聯(lián)系我們）

“在這個(gè)特定的時(shí)間點(diǎn)，如果我們有這樣一個(gè)迅速變化的環(huán)境，我們絕對要哭，‘時(shí)間到！’我們需要逐步走出來，我們需要檢驗(yàn)計(jì)劃是否進(jìn)行了正確的調(diào)整，” Diageo(帝亞吉?dú)W)首席信息安全官、理事會(huì)成員Claudia Natanson博士表示，“您的計(jì)劃是否為即將開始的艱辛困境作好了準(zhǔn)備？因?yàn)橹挥凶蠲艚莸?，最勝任的，最靈活的計(jì)劃才能到達(dá)終點(diǎn)。”

RSA的前一項(xiàng)研究：“推動(dòng)更快地發(fā)展：在嚴(yán)峻的經(jīng)濟(jì)環(huán)境下管理信息安全以尋求戰(zhàn)略優(yōu)勢”，強(qiáng)調(diào)了在面臨預(yù)算和資源限制時(shí)不要使創(chuàng)新倒退的重要性。這項(xiàng)新的報(bào)告演示了頂級公司的領(lǐng)導(dǎo)者是如何在促進(jìn)創(chuàng)新的同時(shí)，還不忽略企業(yè)的安全實(shí)踐和政策。

報(bào)告提供了創(chuàng)建企業(yè)全新安全模型的七個(gè)步驟

在與業(yè)務(wù)創(chuàng)新安全理事會(huì)，世界頂級安全官的深入對話基礎(chǔ)上，本報(bào)告著眼于信息安全的發(fā)展方向。它為開發(fā)一個(gè)能夠反映即將出現(xiàn)的新機(jī)會(huì)和危險(xiǎn)的最新信息安全模型提供了具體的建議。理事會(huì)成員概述了為什么現(xiàn)今的威脅環(huán)境變化莫測，并就如何安全地利用超級擴(kuò)展型企業(yè)以創(chuàng)造業(yè)務(wù)優(yōu)勢共享了他們的建議。具體指導(dǎo)包括：

◆在保護(hù)環(huán)境中進(jìn)行限制。確定能更加有效地利用資源的方式。例如，理事會(huì)概述了限制安全資源對不相干的信息資產(chǎn)，存儲(chǔ)數(shù)據(jù)，以及設(shè)備進(jìn)行保護(hù)的戰(zhàn)略。通過在保護(hù)環(huán)境中進(jìn)行限制，企業(yè)同時(shí)還能夠降低成本，減少風(fēng)險(xiǎn)并釋放資源，以用于高優(yōu)先級的項(xiàng)目。 

◆取得競爭力。在經(jīng)濟(jì)艱難的時(shí)候，如果企業(yè)領(lǐng)導(dǎo)人感覺不能從內(nèi)部安全組織中得到他們所需要的，那么轉(zhuǎn)向外部服務(wù)供應(yīng)商，而不將公司安全團(tuán)隊(duì)包含進(jìn)來將會(huì)增加企業(yè)的總體風(fēng)險(xiǎn)。理事會(huì)解釋了安全團(tuán)隊(duì)如何專注于他們服務(wù)質(zhì)量和效率，并能清晰地闡明購買服務(wù)的價(jià)格為他們所帶來的價(jià)值。 

◆積極利用相關(guān)領(lǐng)域的科技。信息安全部門必須認(rèn)識(shí)到阻止新興Web和通信技術(shù)的使用是不可行的；相反他們必須推動(dòng)這些技術(shù)的安全使用。理事會(huì)成員就如何從被動(dòng)安全措施轉(zhuǎn)變到預(yù)防性安全措施，以及如何建立企業(yè)采用新技術(shù)的路線圖分享了指導(dǎo)意見。 

◆從保護(hù)容器轉(zhuǎn)向保護(hù)數(shù)據(jù)。在超級擴(kuò)展型企業(yè)的時(shí)代，越來越多的企業(yè)數(shù)據(jù)都是在不為企業(yè)所控制的容器中進(jìn)行存儲(chǔ)和處理。例如，數(shù)據(jù)可能由服務(wù)供應(yīng)商的設(shè)施進(jìn)行處理，或保留在員工使用的PDA，或擁有多個(gè)企業(yè)客戶的承包商使用的筆記本電腦中。在這樣的環(huán)境中，理事會(huì)對將重點(diǎn)從保護(hù)設(shè)備轉(zhuǎn)移到保護(hù)數(shù)據(jù)上提供了指導(dǎo)。 

◆采用先進(jìn)的安全監(jiān)控技術(shù)。在今天的威脅環(huán)境中，安全團(tuán)隊(duì)必須對用來監(jiān)測異常和惡意活動(dòng)的方法進(jìn)行升級。理事會(huì)成員分享了從基于簽名的防病毒和黑名單方法轉(zhuǎn)向諸如基于行為的監(jiān)測和白名單等更精確技術(shù)的建議。 

◆協(xié)同創(chuàng)建行業(yè)標(biāo)準(zhǔn)。理事會(huì)成員就安全技術(shù)人員，第三方供應(yīng)商和新興技術(shù)建立統(tǒng)一的信息安全標(biāo)準(zhǔn)，為什么已經(jīng)到了一個(gè)關(guān)鍵結(jié)合點(diǎn)進(jìn)行了探討。 

◆分享風(fēng)險(xiǎn)情報(bào)。為了使企業(yè)能夠抵御國際黑客和日益復(fù)雜的欺詐網(wǎng)絡(luò)，理事會(huì)推薦了一個(gè)涵蓋企業(yè)，執(zhí)法機(jī)關(guān)和政府的、強(qiáng)有力并具協(xié)作性的情報(bào)共享生態(tài)系統(tǒng)。