IT安全支出保持穩(wěn)定 未列入CIO優(yōu)先考慮計(jì)劃
據(jù)美國信息技術(shù)研究和咨詢公司Gartner日前發(fā)布的報(bào)告預(yù)測,2011年,IT安全支出將保持穩(wěn)定,身份管理將成為最受關(guān)注的主題,而安全項(xiàng)目仍未被企業(yè)的首席信息安全官(以下簡稱CIO)列入其優(yōu)先考慮計(jì)劃。
Gartner預(yù)計(jì),在未來12個月內(nèi),企業(yè)的信息安全支出將約占其整體IT預(yù)算的5%。雖然這一比例較去年的6%略有下降,但由于整體IT預(yù)算將增加約2%,所以實(shí)際安全支出將保持穩(wěn)定。
Gartner將于6月21日至23日在華盛頓舉行“安全和風(fēng)險(xiǎn)管理峰會”。目前,Gartner正在審查其最新的安全支出數(shù)據(jù),這些數(shù)據(jù)是通過最近的大量研究工作獲得的。
Gartner執(zhí)行副總裁Vic Wheatman表示,很少有企業(yè)考慮在即將到來的支出周期采用額外的安全技術(shù),但那些在經(jīng)濟(jì)衰退時期被暫時擱置的技術(shù)將可能得以部署。他指出,“從某種程度上說,企業(yè)在經(jīng)濟(jì)衰退時期必須盡量保持穩(wěn)定運(yùn)行,因而不得不冒著易受攻擊的風(fēng)險(xiǎn)。我認(rèn)為企業(yè)現(xiàn)在正在迎頭趕上,而且市場整合和新興技術(shù)為諸如入侵防御和強(qiáng)身份認(rèn)證等領(lǐng)域帶來了更好的價(jià)值主張。”
Gartner舉行的2010 CIO調(diào)查顯示,身份管理已經(jīng)成為最受重視的安全技術(shù),超過20%的受訪者將其列為重點(diǎn)支出項(xiàng)目。Wheatman認(rèn)為,企業(yè)對身份管理的重視與以下三大趨勢息息相關(guān):對自助服務(wù)應(yīng)用集成的日益關(guān)注,包括內(nèi)部和可信的外部合作伙伴;確保對提供敏感數(shù)據(jù)的系統(tǒng)進(jìn)行強(qiáng)身份認(rèn)證的需求;通過合規(guī)審計(jì)的必要性。
Wheatman還表示,企業(yè)對身份管理的重視在一定程度上可能還與日益受到關(guān)注的高級持續(xù)性威脅(Advanced Persistent Threat,APT)有關(guān):惡意的國內(nèi)外攻擊者通過難以檢測的方式秘密訪問企業(yè)的網(wǎng)絡(luò)和數(shù)據(jù),例如竊取用戶名和密碼。在許多情況下,這些攻擊者只是登錄到企業(yè)網(wǎng)絡(luò),貌似合法用戶,未被任何人發(fā)現(xiàn)。
Wheatman強(qiáng)調(diào),“APT當(dāng)然會帶來問題,由于攻擊者能夠進(jìn)入企業(yè)網(wǎng)絡(luò)并到處瀏覽,獲得訪問權(quán)限以及從根本上欺騙系統(tǒng)。企業(yè)的所有數(shù)據(jù)——從用戶ID到知識產(chǎn)權(quán)——都需要得到保護(hù),以免被攻擊者竊取。”
據(jù)Gartner的調(diào)查顯示,排在身份管理之后的其他安全技術(shù)包括數(shù)據(jù)丟失防護(hù)(Data Loss Prevention,DLP)、防病毒軟件和反惡意軟件、防火墻以及入侵防御系統(tǒng)(IPS)。
然而,Gartner聲稱,企業(yè)的安全項(xiàng)目往往滯后于其他IT領(lǐng)域。在其最近關(guān)于企業(yè)CIO如何安排IT項(xiàng)目優(yōu)先順序的調(diào)查中,安全技術(shù)項(xiàng)目排在第九位,落后于一些新興技術(shù),如虛擬化、云計(jì)算、Web 2.0和移動計(jì)算技術(shù)等。
安全產(chǎn)品研究和咨詢機(jī)構(gòu)Security Consortium的CEO Mark Kadrich對這一趨勢感到困惑。他指出,安全支出可能保持穩(wěn)定,但安全威脅卻是不斷發(fā)展的。他說,“網(wǎng)絡(luò)變得日益復(fù)雜,安全威脅越來越難以對付。而且,顯而易見的是,專業(yè)攻擊者的攻擊能力是與日俱增的。安全支出的停滯不前令人擔(dān)憂。”
Kadrich表示,許多企業(yè)大肆購買新的安全技術(shù),但卻沒有充分利用其現(xiàn)有的安全技術(shù),也沒有考慮如何整合新技術(shù)與現(xiàn)有的基礎(chǔ)設(shè)施。
Gartner的報(bào)告顯示,企業(yè)的平均安全支出為每員工525美元,但是有些行業(yè)的平均安全支出要更高一些。其中,大型保險(xiǎn)公司的平均安全支出為每員工886美元,專業(yè)服務(wù)行業(yè)為每員工836美元,政府機(jī)構(gòu)為每員工671美元,金融服務(wù)行業(yè)為每員工637美元。
【編輯推薦】
