隨著專門針對(duì)知識(shí)產(chǎn)權(quán)的數(shù)據(jù)外泄事件與大量黑客活動(dòng)的持續(xù)升溫，信息安全專家、尤其是那些迫于預(yù)算壓力而不得不在人才儲(chǔ)備方面做出妥協(xié)的管理者感到壓力倍增。

這也正是(ISC)2第六次全球信息安全人力研究的主要調(diào)查結(jié)果之一。這家認(rèn)證機(jī)構(gòu)于本周、也就是RSA大會(huì)的首日公布了這份報(bào)告。該機(jī)構(gòu)還于周一利用半天時(shí)間在大會(huì)上介紹了其最為知名的項(xiàng)目——認(rèn)證安全軟件生命周期專家(簡稱CSSLP)與認(rèn)證信息系統(tǒng)安全專家(簡稱CISSP)兩大培訓(xùn)課程。(ISC)2與承包業(yè)巨頭Booz Allen Hamilton以及研究企業(yè)Frost & Sullivan一道對(duì)全球范圍的超過一萬兩千名信息安全專家開展了調(diào)查。

黑客成為頭號(hào)安全隱患

正如大家所預(yù)料，黑客成為56%的受訪者最為關(guān)注的首要安全隱患，而網(wǎng)絡(luò)恐怖主義活動(dòng)的地位則日益提升、在此次調(diào)查中躍居次席。此類有針對(duì)性的攻擊完全有能力破壞關(guān)鍵性基礎(chǔ)設(shè)施的正常運(yùn)轉(zhuǎn)：例如兩年前首次浮出水面的Stuxnet，更有一些惡意內(nèi)容很可能始終潛伏在機(jī)構(gòu)的系統(tǒng)或者成功繞開了傳統(tǒng)安全技術(shù)的圍追堵截，在不知不覺中竊取著知識(shí)產(chǎn)權(quán)等其它一些寶貴信息。排在第三位的安全威脅則源自由“Anonymous”及其它一些零散黑客組織所帶來的攻擊活動(dòng)。

“威脅榜前三甲已經(jīng)觸動(dòng)了安全行業(yè)的危機(jī)點(diǎn)，”(ISC)2基金會(huì)主管Julie Peeler指出，她的主要工作是監(jiān)管機(jī)構(gòu)的培訓(xùn)及學(xué)員成績等事務(wù)。“我們正處于時(shí)代的轉(zhuǎn)折點(diǎn)，只有投入大量精力建立起值得信賴的員工隊(duì)伍并使其擁有專業(yè)化的培養(yǎng)及安全技能，新技術(shù)所引發(fā)的破壞才有可能被徹底控制住。”

超過八成的受訪者表示他們?cè)谶^去一年中沒有選擇過新的雇主或者供職單位，但(ISC)2宣稱將按計(jì)劃以每年11%的增長速度在未來五年內(nèi)持續(xù)提高從業(yè)安全專家的數(shù)量。不過，仍有超過一半的受訪者(56%)表示所在單位缺乏足夠的安全人才。

“當(dāng)我們問及哪種額外支持最受歡迎時(shí)，受訪者表示希望能從高管層處了解到安全事務(wù)該如何在整個(gè)機(jī)構(gòu)中逐步鋪開，”Taylor告訴我們。“他們認(rèn)為，最需要優(yōu)先解決的問題是避免企業(yè)聲譽(yù)受到損害。”

還有一些受訪者覺得遭受攻擊后的恢復(fù)工作難以實(shí)施、成本高昂，將近四分之三的受訪者認(rèn)為服務(wù)停機(jī)時(shí)間才是最需要優(yōu)先處理的事項(xiàng)。28%的受訪者指出所在單位能夠在一天之內(nèi)修復(fù)由針對(duì)性攻擊造成的后遺癥。

應(yīng)用安全以及BYOD安全備受矚目

應(yīng)用程序安全漏洞則最終登上安全關(guān)注榜的第一位，Taylor同時(shí)指出這一趨勢(shì)在2011年的調(diào)查中就已經(jīng)顯露端倪。目前人才市場(chǎng)上經(jīng)過良好培訓(xùn)且具備安全軟件開發(fā)知識(shí)的軟件開發(fā)專家非常稀缺，而這已經(jīng)成為不容忽視的大問題，她補(bǔ)充道。

“軟件工程師們真的需要對(duì)應(yīng)用、產(chǎn)品及平臺(tái)設(shè)計(jì)的安全知識(shí)多做一些深入了解，”Taylor表示。

除此之外，惡意軟件感染的控制工作、云環(huán)境中的數(shù)據(jù)直觀性、社交網(wǎng)絡(luò)弊端以及BYOD趨勢(shì)也紛紛登上關(guān)注榜前列。BYOD技術(shù)在78%的受訪者眼中成為重大安全風(fēng)險(xiǎn)的代名詞，更有74%的受訪者認(rèn)為要解決BYOD課題必須具備與之匹配的新型安全技能。68%的受訪者表示社交媒體也是一種長期持續(xù)的安全威脅。

向云平臺(tái)遷移、基礎(chǔ)設(shè)施以及軟件即服務(wù)的長期使用同樣給用戶帶來些許焦慮情緒，(ISC)2指出。49%的受訪者認(rèn)為云基礎(chǔ)服務(wù)將在2013年成為高危甚至最危險(xiǎn)的安全問題，這一比例較2011年提高了6%。隨著兩年來云基礎(chǔ)服務(wù)部署的逐步鋪開，報(bào)告發(fā)現(xiàn)人們?cè)絹碓角猩砀惺艿竭@一趨勢(shì)的影響力以及由此帶來的安全隱患。

云安全專家成為人才缺口

根據(jù)調(diào)查結(jié)果，(ISC)2認(rèn)為目前人們“對(duì)于云相關(guān)風(fēng)險(xiǎn)的認(rèn)識(shí)還相當(dāng)模糊”;89%的受訪者會(huì)把云安全水平當(dāng)作安全專業(yè)人士的主要招聘標(biāo)準(zhǔn)。78%的受訪者表示正在尋求優(yōu)秀的安全專家來幫助自己了解云安全指導(dǎo)方針，并打算采用參考性架構(gòu)方案。根據(jù)他們的意見，安全專家還需要掌握合規(guī)性問題、技術(shù)性知識(shí)，并熟悉合同義務(wù)及要求在安全層面的涵義。

“要想對(duì)供應(yīng)商的整體風(fēng)險(xiǎn)做出科學(xué)評(píng)估，用戶必須首先了解各家潛在云服務(wù)供應(yīng)商，”報(bào)告指出。“面對(duì)那些沒有遵循行業(yè)標(biāo)準(zhǔn)、最佳安全實(shí)踐以及相關(guān)規(guī)程要求的云服務(wù)供應(yīng)商，我們必須敏銳地意識(shí)到可能存在的潛在云風(fēng)險(xiǎn)、并堅(jiān)決將這類合作對(duì)象拒之門外。”