金融危機(jī)的陰影似乎正在逐漸淡去，企業(yè)、政府和各種機(jī)構(gòu)的日常業(yè)務(wù)也在步入正軌，盡管道瓊斯指數(shù)還會(huì)時(shí)不時(shí)的出現(xiàn)一些小問(wèn)題，但全球經(jīng)濟(jì)復(fù)蘇已經(jīng)是不爭(zhēng)的事實(shí)了。在這個(gè)“后金融危機(jī)”時(shí)代，企業(yè)的安全危險(xiǎn)面臨著哪些變化趨勢(shì)？企業(yè)又如何去做好IT安全工作呢？在2010年IDC亞太區(qū)IT安全會(huì)議上，IDC中國(guó)行業(yè)研究和咨詢(xún)服務(wù)部研究總監(jiān)武連峰結(jié)合IDC的調(diào)研報(bào)告，為我們分析了在當(dāng)下，企業(yè)安全的一些發(fā)展趨勢(shì)以及安全服務(wù)供應(yīng)商與企業(yè)應(yīng)對(duì)這些威脅的正確方法。

武連峰表示，在后金融危機(jī)時(shí)代，IT領(lǐng)域內(nèi)主要將會(huì)出現(xiàn)三大主流。首先是新常態(tài)，在金融危機(jī)期間，大部分企業(yè)主要考慮的都是削減企業(yè)各方面的預(yù)算，控制企業(yè)運(yùn)營(yíng)成本，隨著金融危機(jī)的過(guò)去，企業(yè)關(guān)注的核心又回到了用戶(hù)和業(yè)務(wù)層面；其次是新技術(shù)，這在IT領(lǐng)域并不陌生，每天，我們都會(huì)接觸到日新月異的IT技術(shù)，而這些技術(shù)很多將逐步在企業(yè)中使用，比如云計(jì)算現(xiàn)在已經(jīng)服務(wù)于很多大型企業(yè)機(jī)構(gòu)；***就是逆向創(chuàng)新，這指的是原來(lái)，從發(fā)達(dá)國(guó)家向發(fā)展中國(guó)家輸出新技術(shù)，現(xiàn)在已經(jīng)逐漸演變成為由發(fā)展中國(guó)家向發(fā)達(dá)國(guó)家輸出新技術(shù)、新理念以及新的商業(yè)模式。

在這種背景下，企業(yè)安全也正在面臨著驚濤駭浪般的各類(lèi)威脅。根據(jù)IDC的調(diào)研報(bào)告顯示，現(xiàn)在企業(yè)面臨的安全威脅多種多樣，包括社會(huì)化媒體的不斷流行、數(shù)據(jù)爆炸的出現(xiàn)、法律法規(guī)的不健全、企業(yè)業(yè)務(wù)的拓展、智能手機(jī)等移動(dòng)終端在企業(yè)中的流行、云服務(wù)的出現(xiàn)、虛擬環(huán)境、統(tǒng)一通信在企業(yè)中的運(yùn)用，甚至包括自然災(zāi)害和恐怖襲擊。而這其中，社會(huì)化媒體在企業(yè)中的使用、智能手機(jī)和云服務(wù)的流行是企業(yè)面臨的最嚴(yán)峻的三大安全挑戰(zhàn)。

面對(duì)這些挑戰(zhàn)，企業(yè)必然要做出相應(yīng)的措施來(lái)預(yù)防悲劇的出現(xiàn)，我們從IDC的報(bào)告中了解到，在2010年，繼續(xù)增加安全支出的企業(yè)占到所有調(diào)查企業(yè)總數(shù)的38%，而保持現(xiàn)有投資水平的企業(yè)也占到50%，八成以上的企業(yè)在這個(gè)方面有正確的認(rèn)識(shí)，他們認(rèn)識(shí)到安全防御對(duì)企業(yè)業(yè)務(wù)正常運(yùn)行的重要性。

企業(yè)在對(duì)待安全防御上有著較為統(tǒng)一的認(rèn)知，大部分企業(yè)CSO都認(rèn)為，在安全防御上，最重要的就是確保業(yè)務(wù)的連續(xù)性以及具有災(zāi)難恢復(fù)的能力，安全成為保障企業(yè)業(yè)務(wù)進(jìn)行的一個(gè)必要工具，如何能夠盡量不影響企業(yè)正常業(yè)務(wù)的情況下***化的確保安全成為CSO永恒的問(wèn)題。而在此之后，企業(yè)認(rèn)為的安全保護(hù)重點(diǎn)依次是網(wǎng)絡(luò)安全、預(yù)防數(shù)據(jù)泄漏、云的安全以及用戶(hù)身份鑒定。于此對(duì)應(yīng)的是，在認(rèn)定何種情況能夠增加企業(yè)安全風(fēng)險(xiǎn)時(shí)，大部分企業(yè)將社會(huì)化網(wǎng)絡(luò)進(jìn)入企業(yè)排在***位，智能手機(jī)的流行、企業(yè)的業(yè)務(wù)擴(kuò)張、基于Web的網(wǎng)上交易和云服務(wù)分列二到五位。

仔細(xì)研讀以上的IDC調(diào)研報(bào)告，我們不難看出一些現(xiàn)在正在企業(yè)中流行的安全威脅趨勢(shì)以及企業(yè)對(duì)其防御的側(cè)重點(diǎn)。對(duì)與安全服務(wù)供應(yīng)商而言，武連峰認(rèn)為，應(yīng)該要對(duì)社會(huì)化媒體以及云計(jì)算做好準(zhǔn)備，研究如何做好這兩方面的安全研究，并且，隨著以太網(wǎng)容量的不斷增加，服務(wù)于10G-100G以太網(wǎng)中的安全設(shè)備也成為安全服務(wù)供應(yīng)商應(yīng)該立即著手研發(fā)的課題。

而對(duì)于企業(yè)而言，武連峰認(rèn)為，做好“4P防護(hù)”是關(guān)鍵。所謂4P防護(hù)指的是People（人）、Policy & Process（政策與流程）以及Property（資產(chǎn)）。這四個(gè)要素同時(shí)還具有層次性，他們共同組成了一個(gè)完善的安全防御金字塔。處于金字塔底層的是Property（資產(chǎn)），這里指的是企業(yè)對(duì)于安全防御的投資，如果沒(méi)有基礎(chǔ)的安全設(shè)備和完善的安全解決方案，其他任何安全措施都只是空談而已；在安全設(shè)備之上，就是Policy & Process（政策與流程），有了完善的企業(yè)安全投資，再在這個(gè)投資之上，制定良好的政策規(guī)章以及業(yè)務(wù)運(yùn)營(yíng)流程，以保證其能夠符合安全的需求，這是企業(yè)能否用好安全設(shè)備投資的關(guān)鍵；而金字塔的最頂層則是People（人），企業(yè)業(yè)務(wù)的進(jìn)行需要人的參與，而企業(yè)安全維護(hù)也需要企業(yè)中每一個(gè)雇員的參與，這包括了安全管理人員和普通員工，對(duì)于企業(yè)安全管理人員而言，是否擁有較高的安全素養(yǎng)和安全維護(hù)能力是企業(yè)安全運(yùn)維的關(guān)鍵，而對(duì)于普通員工而言，企業(yè)有必要對(duì)其進(jìn)行培訓(xùn)教育，以提升每一個(gè)員工的安全防御能力。4P結(jié)合在一起，企業(yè)的安全防御才能夠得以高效有序的進(jìn)行。

在后金融危機(jī)時(shí)代，企業(yè)安全威脅出來(lái)了一些新的變化趨勢(shì)，與之對(duì)應(yīng)的，企業(yè)的安全防御也出現(xiàn)了一些變化，對(duì)于安全服務(wù)供應(yīng)商和企業(yè)而言，都需要去適應(yīng)這種變化，IDC提出的4P防御體系很可能將成為未來(lái)企業(yè)安全解決之道。

【編輯推薦】

1. 提高IT運(yùn)維管理有“捷徑”
2. 僵尸IP侵入中銀國(guó)際客戶(hù)賬戶(hù)誰(shuí)保障券商IT安全