【51CTO.com 綜合消息】2009年6月12日，EMC安全事業(yè)部RSA今天公布了兩項新的研究報告，這兩項研究報告對許多有前途的技術(shù)所顯現(xiàn)出來的深遠(yuǎn)安全問題進行了研究分析。這些新技術(shù)包括云計算、虛擬化、社會網(wǎng)絡(luò)、移動通信等，同時還對它們給全球公司所帶來的關(guān)鍵業(yè)務(wù)風(fēng)險和回報進行了探討。

第一項研究報告由IDG公司研究服務(wù)部門執(zhí)行，它揭示了組織采用全新的連接、協(xié)作和通信技術(shù)的匆忙速度，與安全部署這些技術(shù)的準(zhǔn)備狀態(tài)存在著巨大差距。第二項是有關(guān)RSA業(yè)務(wù)創(chuàng)新安全理事會的研究報告，它概述了企業(yè)如何利用這些新技術(shù)所帶來的巨大商業(yè)優(yōu)勢，同時不會使公司陷入風(fēng)險之中。

“很多企業(yè)日益成長為‘超級擴展型企業(yè)’，它們比以往任何時候，以更豐富的方式相互交換信息，” RSA總裁Art Coviello說道?！靶律腤eb技術(shù)、社會技術(shù)和移動技術(shù)的快速采用，以及越來越普遍的外包現(xiàn)象，正在迅速消融組織和信息資產(chǎn)的傳統(tǒng)邊界。安全戰(zhàn)略必須要進行重大轉(zhuǎn)變，以確保公司能夠?qū)崿F(xiàn)削減成本和達到收入目標(biāo)的目的，同時不會造成新的、具有危險性的業(yè)務(wù)漏洞?！?/P>

IDG報告顯示，許多公司在沒有認(rèn)真思考的情況下就實現(xiàn)了跨越

受RSA的委托，IDG公司研究服務(wù)部門進行了一項調(diào)查，該調(diào)查針對收入超過10億美元公司的100位頂級安全高級管理人員，結(jié)果表明一些企業(yè)是如此的熱衷于新的Web技術(shù)和移動技術(shù)，但他們在部署這些技術(shù)的同時，卻沒有對關(guān)鍵的流程和數(shù)據(jù)提供足夠的保護。

主要調(diào)查結(jié)果包括：

◆70%以上的被調(diào)查者認(rèn)為新的Web技術(shù)和通信技術(shù)給連接和信息交換層帶來了提升，使他們的組織越來越向超級擴展型企業(yè)發(fā)展。在過去的12-24個月中，多數(shù)被調(diào)查者都增加了虛擬化、移動、社會網(wǎng)絡(luò)技術(shù)的使用，超過三分之一的被調(diào)查者增加了云計算的使用。

◆但是，許多接受調(diào)查的公司并沒有采取任何戰(zhàn)略對采用這些新技術(shù)所帶來的風(fēng)險進行評估。在一些組織中，企業(yè)的安全團隊只有在發(fā)生問題時才會被要求介入，而在其它時候，使用這些新技術(shù)之前安全團隊甚至沒有得到任何的通知。不到一半的被調(diào)查公司已經(jīng)制定了相關(guān)的政策，以指導(dǎo)員工如何使用社會網(wǎng)絡(luò)工具和網(wǎng)站。

◆30%以上的被調(diào)查公司已經(jīng)有一些企業(yè)應(yīng)用或業(yè)務(wù)流程運行在云環(huán)境中，還有16%的被調(diào)查公司計劃在未來的12個月內(nèi)開始遷移到云環(huán)境中。在這些公司中，有三分之二還沒有實施云計算環(huán)境下的安全策略。

◆10個受訪者中有超過8個感覺到削減成本和創(chuàng)造收益的壓力使它們大大增加了暴露在安全風(fēng)險下的可能性。10個受訪者中有超過7個在過去的18個月中經(jīng)歷過安全事件。

◆大部分受調(diào)查者都表示，需要改變和提高企業(yè)的安全戰(zhàn)略，以適應(yīng)超級擴展型企業(yè)的現(xiàn)狀。

研究結(jié)果在IDG公司研究服務(wù)部門的白皮書“隨著超級擴展性企業(yè)的不斷成長，風(fēng)險也在日益擴大”中有詳細(xì)的描述，您可以從(www.rsa.com/innovation)下載 。組織機構(gòu)也可以對它們成為超級擴展型企業(yè)的安全準(zhǔn)備狀態(tài)進行測試，并將測試結(jié)果與受調(diào)查高級管理人員的結(jié)果進行對比。

頂級“信息安全官”表示，超級擴展型企業(yè)需要新的安全措施

同樣在今天，RSA還公布了其業(yè)務(wù)創(chuàng)新安全理事會的第四份報告：“構(gòu)建大道：在前所未有的風(fēng)險環(huán)境下打造“超級擴展型”企業(yè)?！痹谶@份報告中，來自世界各地的頂級安全領(lǐng)導(dǎo)者共同探討了在今天這樣一個原本能夠推動新的商業(yè)價值的善意行動卻會使企業(yè)置于災(zāi)難性風(fēng)險之中的世界里，如何轉(zhuǎn)變安全戰(zhàn)略。（若需要完整報告中文版，請聯(lián)系我們）

“在這個特定的時間點，如果我們有這樣一個迅速變化的環(huán)境，我們絕對要哭，‘時間到！’我們需要逐步走出來，我們需要檢驗計劃是否進行了正確的調(diào)整，” Diageo(帝亞吉歐)首席信息安全官、理事會成員Claudia Natanson博士表示，“您的計劃是否為即將開始的艱辛困境作好了準(zhǔn)備？因為只有最敏捷的，最勝任的，最靈活的計劃才能到達終點。”

RSA的前一項研究：“推動更快地發(fā)展：在嚴(yán)峻的經(jīng)濟環(huán)境下管理信息安全以尋求戰(zhàn)略優(yōu)勢”，強調(diào)了在面臨預(yù)算和資源限制時不要使創(chuàng)新倒退的重要性。這項新的報告演示了頂級公司的領(lǐng)導(dǎo)者是如何在促進創(chuàng)新的同時，還不忽略企業(yè)的安全實踐和政策。

報告提供了創(chuàng)建企業(yè)全新安全模型的七個步驟

在與業(yè)務(wù)創(chuàng)新安全理事會，世界頂級安全官的深入對話基礎(chǔ)上，本報告著眼于信息安全的發(fā)展方向。它為開發(fā)一個能夠反映即將出現(xiàn)的新機會和危險的最新信息安全模型提供了具體的建議。理事會成員概述了為什么現(xiàn)今的威脅環(huán)境變化莫測，并就如何安全地利用超級擴展型企業(yè)以創(chuàng)造業(yè)務(wù)優(yōu)勢共享了他們的建議。具體指導(dǎo)包括：

◆在保護環(huán)境中進行限制。確定能更加有效地利用資源的方式。例如，理事會概述了限制安全資源對不相干的信息資產(chǎn)，存儲數(shù)據(jù)，以及設(shè)備進行保護的戰(zhàn)略。通過在保護環(huán)境中進行限制，企業(yè)同時還能夠降低成本，減少風(fēng)險并釋放資源，以用于高優(yōu)先級的項目。 

◆取得競爭力。在經(jīng)濟艱難的時候，如果企業(yè)領(lǐng)導(dǎo)人感覺不能從內(nèi)部安全組織中得到他們所需要的，那么轉(zhuǎn)向外部服務(wù)供應(yīng)商，而不將公司安全團隊包含進來將會增加企業(yè)的總體風(fēng)險。理事會解釋了安全團隊如何專注于他們服務(wù)質(zhì)量和效率，并能清晰地闡明購買服務(wù)的價格為他們所帶來的價值。 

◆積極利用相關(guān)領(lǐng)域的科技。信息安全部門必須認(rèn)識到阻止新興Web和通信技術(shù)的使用是不可行的；相反他們必須推動這些技術(shù)的安全使用。理事會成員就如何從被動安全措施轉(zhuǎn)變到預(yù)防性安全措施，以及如何建立企業(yè)采用新技術(shù)的路線圖分享了指導(dǎo)意見。 

◆從保護容器轉(zhuǎn)向保護數(shù)據(jù)。在超級擴展型企業(yè)的時代，越來越多的企業(yè)數(shù)據(jù)都是在不為企業(yè)所控制的容器中進行存儲和處理。例如，數(shù)據(jù)可能由服務(wù)供應(yīng)商的設(shè)施進行處理，或保留在員工使用的PDA，或擁有多個企業(yè)客戶的承包商使用的筆記本電腦中。在這樣的環(huán)境中，理事會對將重點從保護設(shè)備轉(zhuǎn)移到保護數(shù)據(jù)上提供了指導(dǎo)。 

◆采用先進的安全監(jiān)控技術(shù)。在今天的威脅環(huán)境中，安全團隊必須對用來監(jiān)測異常和惡意活動的方法進行升級。理事會成員分享了從基于簽名的防病毒和黑名單方法轉(zhuǎn)向諸如基于行為的監(jiān)測和白名單等更精確技術(shù)的建議。 

◆協(xié)同創(chuàng)建行業(yè)標(biāo)準(zhǔn)。理事會成員就安全技術(shù)人員，第三方供應(yīng)商和新興技術(shù)建立統(tǒng)一的信息安全標(biāo)準(zhǔn)，為什么已經(jīng)到了一個關(guān)鍵結(jié)合點進行了探討。 

◆分享風(fēng)險情報。為了使企業(yè)能夠抵御國際黑客和日益復(fù)雜的欺詐網(wǎng)絡(luò)，理事會推薦了一個涵蓋企業(yè)，執(zhí)法機關(guān)和政府的、強有力并具協(xié)作性的情報共享生態(tài)系統(tǒng)。