安全预测 影响企业风险管理的三大趋势
面对这种新的现状:全球各地的公司在竞相充分利用面向服务的架构(SOA)、云计算及其他分布式计算模式带来的种种机遇,公司内外已下了决心的不法分子可能企图钻安全漏洞的空子。因而,这些技术具有的普遍性标志着企业机构对待随之而来的安全挑战会出现根本变化――尤其是被许多企业机构认为明年事关重大的三大安全挑战。
一、身份安全
每天都有数十亿人在网上彼此连接;因而,身份成为了新的关注焦点。应用程序不再放在防火墙后面保护起来;越来越多的应用程序是由企业内外的人创建的组合式应用程序和混合应用程序。交易事务依赖于各方对另一方所持证书及证书支持系统的信任程度。然而,考虑到身份窃取和欺诈事件不断增多,如果不制订相关政策、流程和最佳实践,那么这种信任可能被搞错对象、未经授权或者是不确定的。
在SOA环境中,由于身份不是仅仅局限于单个用户,这些概念变得更加复杂。必须常常为服务本身赋予身份。也就是说,当一个服务调用另一个服务时,每个服务都要有相应身份。比方说,运送服务可能被订单处理系统自动调用,而订单处理系统必须确认为运送服务是值得信任的身份;否则订单无法处理。从订单处理、医疗审批到高价值的银行业务,每家企业对待SOA安全都必须格外慎重,而信任是推动开展这些业务的核心原则。安全政策失败带来的影响会一直影响到企业利润。
另外,身份系统继续迅猛发展,从而迫使个人成为自己的身份管理员;面对自己所使用的每个服务,都需要处理好自己创建的身份及第三方授予的身份;并且在伴随信息披露力度加大而来的隐私与声誉之间作好平衡。个人还要有一套公用的“操作程序”,以便顺利应对这个新的安全格局。
展望未来,面临的挑战在于,制订一套公用的身份政策、流程、最佳实践和技术,并且制订可以跨多家服务提供商使用的多用途身份系统。这种系统应当能够适应复杂的身份关系,同时为处理公用身份提供一种简化的方式。
二、信息安全
信息安全已经成为董事会在探讨的一个话题,企业机构可能期望能够继续致力于尽量减小数据泄密带来的风险。因而,企业会把眼光放在能够掩蔽数据的隐私管理工具,特别是在像应用开发这些数据保护越来越不太严格的非生产环境。这可能会加大对密码技术的需要,进而加大对简化复杂性的需要。
诸多安全实践有望共同提供估算及体现针对某个数据存储库的安全保护力度的度量指标,这些安全实践包括:数据管理授权、数据监控、基于策略的数据分类和安全需求记录。随后,这些度量指标可以用来编制“信任指数”(trust indexes),从而指导数据存储库使用方面的决策。信任指数高的数据存储库可用于高风险决策;反过来,信任指数低的数据存储库应当只用于低风险活动。这些存储库可在整个企业里面重复使用,并应用于来自多个方面的信息,特别是由于混合应用程序继续成为推动创新发展的原动力。
2008年,一种新的威胁对大约120万个网站造成了不良影响,包括一些非常知名的网站,这种威胁就叫搜索引擎优化(SEO)代码注入或中毒。随着这个破坏性极强的威胁其影响越来越小,人们却清晰地发现:应用程序已成为了黑客攻击的“重灾区”。
之所以出现这个安全漏洞,一方面在于从整体式应用程序变化成为组合式应用程序,既通过SOA类别的流程编排,又通过Web 2.0类别的窗口组件和混合技术。这些组合式应用程序可能采用真正的混合搭配方式,包含了来自众多来源的应用程序代码。虽然这极大地提高了程序设计员的工作效率,并且让许多对程序设计一窍不通的人稍加培训,就能编制复杂的应用程序,但也导致应用程序容易出现漏洞。
组合式应用程序最具挑战性的一方面也许就是,在实际部署之前,这种应用程序无法充分理解各组成部分,因而就无法充分理解安全状况。只有部署后,导致安全威胁的所有因素才会暴露出来,包括恶意软件和安全漏洞,但这时候为时已晚。相关工具和开发平台现在就要融入安全开发方面的专业知识,以便能够在开发过程的每一个阶段进行安全检查。
这些安全趋势同时也会给那些行动超前的公司带来众多机遇。如何管理风险,将决定企业机构面对新兴技术是蓬勃发展还是遭遇失败。