企业看待信息安全方式在转变

企业看待信息安全的方式即将经历一场深刻的变革。

在过去一年，我们见证了这样的变革趋势逐渐成型，人们对信息安全的看法在过去的一年中发生了改变，即将其看作是低层次技术部分到企业战略的必要部分。管理层已经开始认真考虑信息安全，并且要求对这一过去无足轻重的IT组成部分建立新层次的危险评估、保护和报告机制。

这并不是一条平滑的道路。语言和文化上的鸿沟仍然存在于两大阵营之间，但这一鸿沟正逐渐被企业首席安全官费力不讨好的工作所逐渐填平，这些工作包括政策调整、信息安全以及业务连续性。

而在2005年，企业将从更为理性的商业角度来看待信息安全，这使得这一年将成为“BUT”的一年。BUT是一个用于描述技术产业状况的词语，这三个缩写字母代表了Back、Up以及Together。

“B”，即“Back”，这个词表示企业们将关注位于网络防线后方那些失去直接保护的内部资产。这些内部资产可能受到的黑客和恶意雇员们的侵害。这是一项繁重的工作，所面临的形势也十分严峻，因为至少它意味着内部雇员们将承担更多评估和处理安全威胁的工作。

在2005年，我们将看到企业广泛利用建立在内部网络中的安全设施来防止病毒的传播，并且实现对网络的分割，由此为雇员和外部访问者提供细粒度访问控制（granular access control ）。Cisco在这方面有着很好的构想，而Alcate、Enterasys Networks以及惠普则在销售相关的产品。这些公司同样会采用来自Arbor Networks、eIQ Networks、Mazu Networks以及Q1 Labs公司的工具软件来构建网络安全构架（Network Security Architectures）。

我们还会发现为保护企业数据并且使公司的数据管理符合相关法规，业界将更加关注企业机密信息的安全，无论这些信息是存放在笔记本计算机、数据库，还是存储阵列中。

“U”，即“Up”，这是“在技术层面之上（up the technology stack）”的缩写。现在的网络已经能够并且还会不断的在企业网络安全保障方面有所进步。但同时，总会有更加聪明的捣乱分子能够绕过网络安全防线攻击或使用各种应用程序和数据。根据ESG最近的调查，大约有45％的用户认为系统在处理电子邮件（SMTP）数据时最容易受到攻击，认为是Web（HTTP）的有22％，还有8％的用户认为系统是在处理Web服务数据的时候最危险。为了修补这些容易受到攻击的漏洞，企业将在2005年中根据application-by-application的基本原则部署安全策略。

以电子邮件为例，Symantec和Trend Micro所提供的防病毒网关持续热销，而反垃圾邮件解决方案也一直受到市场的追捧。业界正在期待捆绑式解决方案的出现，这些方案应当包括反欺诈（antifraud）、数据备份/恢复以及压缩存档等各种功能。

“Up”趋势同样可以用于描述诸如HTTP漏洞扫描和防火墙工具、XML/Web服务网关等其他应用安全产品的发展趋势。这对Kavado和DataPower一类的市场新秀而言显然是个好消息。我们同样会看到更多的基于主机和PC的安全软件能将恶意用户和他们的代码拒之门外。

当然，应用安全还意味着在编写代码的第一步就应当做得尽可能完美。在2005年，企业将会通过开发人员培训、软件质量保障工具及测试工具来对此给予更多的内部关注。

套装软件（Packaged applications）将继续提供更高的安全性。我们将会看到一些明显的例子，软件制造商的主要账号和安全问题将会突现出来。在次要方面，更多的软件企业尝试并使用安全开发过程以及代码质量检测。

最后一个字母“T”则代表着“Together（整合）”。它有两个含义。首先，它代表着集成。在2005年里，会有更多类似于Crossbeam Systems所提供的集合硬件包以及安全刀片式服务器那样的产品。同样，更多类似于F-Secure所提供的集成软件包那样的产品也会出现在市场上。所有的一切都将帮助企业在享受低成本的同时更为轻松的完成工作。

此外，类似于Check Point Software Technologies和McAfee这样的业界巨头会继续对其产品进行整合以提供企业级解决方案。这样的整合同样会有助于类似结构化信息标准促进组织（OASIS，Organization for the Advancement of Structured Information Standards）和可信任计算组织（TCG，Trusted Computing Group）这样的标准化组织整顿混乱不堪的网络安全标准。

“Together”还意味着用户能期待更多捆绑安全产品在2005年中出现，这些产品将处理特定的商业问题。一致性（Compliance）是其中的一个重要部分——预期产品模板（anticipate product templates）、端到端配置，及帮助企业应对Gramm-Leach-Bliley Act、HIPAA（the Health Insurance Portability and Accountability Act）和Sarbanes-Oxley等相关法案的服务都会不断出现。这样的趋势使得那些具备设计实施一揽子安全方案能力的大型的多产品企业、服务提供商和安全集成商们再度受益。

一致性同样还将成为具有杀伤力的应用，它将最终加速身份管理市场的发展。政府认为，用户最好对谁访问了自己的系统了如指掌，否则就会出问题。Computer Associates收购Netegrity就是出于这一目的。RSA Security、Novell和Unisys都希望2005年会是其产品畅销的一年。

以上这些发展趋势对安全技术产业来说到底意味着什么？这里已经有了一些答案：