后金融危機時代 企業如何運維IT安全
金融危機的陰影似乎正在逐漸淡去,企業、政府和各種機構的日常業務也在步入正軌,盡管道瓊斯指數還會時不時的出現一些小問題,但全球經濟復蘇已經是不爭的事實了。在這個“后金融危機”時代,企業的安全危險面臨著哪些變化趨勢?企業又如何去做好IT安全工作呢?在2010年IDC亞太區IT安全會議上,IDC中國行業研究和咨詢服務部研究總監武連峰結合IDC的調研報告,為我們分析了在當下,企業安全的一些發展趨勢以及安全服務供應商與企業應對這些威脅的正確方法。
武連峰表示,在后金融危機時代,IT領域內主要將會出現三大主流。首先是新常態,在金融危機期間,大部分企業主要考慮的都是削減企業各方面的預算,控制企業運營成本,隨著金融危機的過去,企業關注的核心又回到了用戶和業務層面;其次是新技術,這在IT領域并不陌生,每天,我們都會接觸到日新月異的IT技術,而這些技術很多將逐步在企業中使用,比如云計算現在已經服務于很多大型企業機構;***就是逆向創新,這指的是原來,從發達國家向發展中國家輸出新技術,現在已經逐漸演變成為由發展中國家向發達國家輸出新技術、新理念以及新的商業模式。
在這種背景下,企業安全也正在面臨著驚濤駭浪般的各類威脅。根據IDC的調研報告顯示,現在企業面臨的安全威脅多種多樣,包括社會化媒體的不斷流行、數據爆炸的出現、法律法規的不健全、企業業務的拓展、智能手機等移動終端在企業中的流行、云服務的出現、虛擬環境、統一通信在企業中的運用,甚至包括自然災害和恐怖襲擊。而這其中,社會化媒體在企業中的使用、智能手機和云服務的流行是企業面臨的最嚴峻的三大安全挑戰。
面對這些挑戰,企業必然要做出相應的措施來預防悲劇的出現,我們從IDC的報告中了解到,在2010年,繼續增加安全支出的企業占到所有調查企業總數的38%,而保持現有投資水平的企業也占到50%,八成以上的企業在這個方面有正確的認識,他們認識到安全防御對企業業務正常運行的重要性。
企業在對待安全防御上有著較為統一的認知,大部分企業CSO都認為,在安全防御上,最重要的就是確保業務的連續性以及具有災難恢復的能力,安全成為保障企業業務進行的一個必要工具,如何能夠盡量不影響企業正常業務的情況下***化的確保安全成為CSO永恒的問題。而在此之后,企業認為的安全保護重點依次是網絡安全、預防數據泄漏、云的安全以及用戶身份鑒定。于此對應的是,在認定何種情況能夠增加企業安全風險時,大部分企業將社會化網絡進入企業排在***位,智能手機的流行、企業的業務擴張、基于Web的網上交易和云服務分列二到五位。
仔細研讀以上的IDC調研報告,我們不難看出一些現在正在企業中流行的安全威脅趨勢以及企業對其防御的側重點。對與安全服務供應商而言,武連峰認為,應該要對社會化媒體以及云計算做好準備,研究如何做好這兩方面的安全研究,并且,隨著以太網容量的不斷增加,服務于10G-100G以太網中的安全設備也成為安全服務供應商應該立即著手研發的課題。
而對于企業而言,武連峰認為,做好“4P防護”是關鍵。所謂4P防護指的是People(人)、Policy & Process(政策與流程)以及Property(資產)。這四個要素同時還具有層次性,他們共同組成了一個完善的安全防御金字塔。處于金字塔底層的是Property(資產),這里指的是企業對于安全防御的投資,如果沒有基礎的安全設備和完善的安全解決方案,其他任何安全措施都只是空談而已;在安全設備之上,就是Policy & Process(政策與流程),有了完善的企業安全投資,再在這個投資之上,制定良好的政策規章以及業務運營流程,以保證其能夠符合安全的需求,這是企業能否用好安全設備投資的關鍵;而金字塔的最頂層則是People(人),企業業務的進行需要人的參與,而企業安全維護也需要企業中每一個雇員的參與,這包括了安全管理人員和普通員工,對于企業安全管理人員而言,是否擁有較高的安全素養和安全維護能力是企業安全運維的關鍵,而對于普通員工而言,企業有必要對其進行培訓教育,以提升每一個員工的安全防御能力。4P結合在一起,企業的安全防御才能夠得以高效有序的進行。
在后金融危機時代,企業安全威脅出來了一些新的變化趨勢,與之對應的,企業的安全防御也出現了一些變化,對于安全服務供應商和企業而言,都需要去適應這種變化,IDC提出的4P防御體系很可能將成為未來企業安全解決之道。
【編輯推薦】
