Unisys公司日前公布其对2008年的安全预测。在企业和政府安全快速变化的形势下,预测未来风险和趋势对于规划、防范和管理可能影响企业资产完整性的风险来说是至关重要的。新的安全威胁以及人们越来越依赖和使用新技术,使许多企业和政府IT技术人员在规划和预测时存在一定程度的不确定性。
Unisys企业安全部副总裁Tim Kelleher表示:"很多企业在发生安全问题后才警觉问题的严重性,并匆忙寻找解决方案。"。
"为了应对新威胁,满足最终用户日益变化的需求,IT技术人员必须说服他们的企业把安全看作是一项核心业务职能,一个迎合客户需求、预测未来风险以及为潜在安全事件制定可用解决方案的职能。"
为了帮助政府机关和企业准备和管理2008年可能出现的安全威胁,Unisys专家预测未来一年的企业安全五大趋势如下:
1.) 保护移动终端设备上的数据会变得越来越困难,并会引起更多关注
随着移动消费设备(如手机和PDA)的广泛使用,企业正试图通过登录时的密码和其他保护措施防范安全问题。然而,这样做会使很多企业漏掉真正的威胁。他们忽视了实体设备以外的东西,常常不能保护保存在设备中的数据,这些数据不仅对其所有者来说非常重要,而且正日益成为犯罪分子进行身份欺诈和盗用的目标。
数据保护成为消费者日益担忧的问题。事实上,Unisys安全信心指数显示,接近70%的美国人极其或非常担心其个人信息未经授权的访问或滥用。
Kelleher表示:"数字签名和加密是保护数据的关键,但是它们必须融入整体安全计划,这样才能解决诸如数据能否或如何从一个设备传输到另一设备的问题。"
"如果没有这样一个计划,企业就会发现,其移动设备上的数据要么弱不经风而导致潜在的安全问题,要么保护过度而无法操作。寻求这两者的平衡就有必要设计一个能够保持用户生产力的安全解决方案。"
2.) 随着更多客户使用移动设备进行交易,银行在保护客户的数据和金融资产方面将面临着重大的挑战。
根据最新的Celent报告,手机银行业务增长强劲,并将继续作为一种重要的银行渠道,预计到2010年,将有超过35%的网银用户将使用移动设备进行金融交易。在中国,手机银行同样发展迅速。据统计,2007年10月,中国银联已在全国21个省市区开通使用手机业务,用户数量超过800万户,并且1月至10月累计实现交易近5,000万笔,交易金额近80亿元。随着这一趋势的继续,国内外安全风险将进一步提高。
嵌入了无线射频识别技术(RFID)和"近场"芯片的手机尤其如此,其中,后者的交易类似于加油站的快速支付(speed pass)。 由于近场技术的设计和消费者使用它的方式,这种设备很容易受到攻击,如"网络钓鱼"(即以假冒电子邮件消息诱骗账户持有人透露个人数据)。 另外一种威胁是恶意代码,它旨在绕过安全技术,使未经授权的用户能够盗取他人的身份证明。
这种电子银行攻击使银行和金融部门的消费者业已动摇的信心再次遭受重创,同时由于银行需要承担更多与安全有关的风险,使得银行需要付出更多的保费。Unisys安全信心指数显示,40%的美国人极其或非常担心网银或在线购物的安全性。
随着金融机构继续发展电子银行的受众,他们必须更好地集成业务流程和解决方案,防止这些欺诈活动并考虑新的业务模式。银行必须与电信公司构建更好的联盟,共享安全知识,以使消费者从中受益。此外,服务提供商还必须在风险和银行客户必须采取的保护措施方面开发全面的、交互式的客户培训项目。
3.) 企业将继续寻求实体和电子(如IT)安全措施的融合,以增强对间谍活动的防范
实体和电子安全的融合将继续推动企业实现新的经济效率,同时提高人员、IT系统和关键实体资产的安全。
Kelleher说:"融合是与安全威胁保持同步的最有效有最有力的方式之一,这些安全威胁是最有可能对人员、数据和构成企业或政府机构生命线的实体资产造成危害的。"
确保企业实体和电子资产的身份、真实性和完整性需要强大的数据融合能力,把各种传感和远程监控技术集成在一起,如即时验证、运动传感器、智能视频应用、GPS、无线环境传感器和RFID等。这种融合将继续使公营和私营机构能够管理和响应那些影响他们实体和电子边界、品牌、身份、人员、产品和高价值资产的风险。
随着全球供应链的继续延伸,融合安全技术在2008年将会有更大的用武之地,如保卫陆地边界和港口的安全、保护敏感数据、减少间谍活动的机会。企业将会把迄今为止大都各自为政的实体和IT安全措施集中到一起。
这种集成的接入控制系统可能包括监控地面的运动传感器、验证工作人员身份的准入卡和生物识别证书、以及确定集装箱及里面的货物并发现可能不符的RFID标签。
其他能够最大限度地减少使安全挑战难度增加的威胁的融合应用包括:确保药品等产品完整性的电子履历,适用于边境和港口安全的高度网状化的无线传感网络,以及智能监视和监督应用。
4.) 公营和私营单位将更加注重纸质和电子记录
全球经济在很大程度上取决于机构内和机构间电子和纸质记录的有效传递。例如,仅美国一地,支付行业每月作为电子图像处理的支票数量就呈两位数增长。联邦储备银行现在每天处理的电子支票约为1,270万张,而每天处理的纸质支票约为2,530万张。预计到2008年年底,联邦储备银行每天处理的电子支票将达到2,050万,而每天处理纸质支票则降为1,350万张。
而在中国,支票与电子支付使用量也在逐渐增加,据统计,2006年我国金融机构处理票据业务11.9亿笔,金额224.7万亿元。其中,支票11.7亿笔,金额208.5万亿元。艾瑞监测数据显示,中国电子支付市场2007年全年交易额实现了100%的增长并突破1,000亿元。预计08年仍将保持100%以上的增长。
电子汇兑使用的增加带来了不少安全问题。例如,很多人喜欢共享重要的个人或企业数据,而不考虑当文档在多人之间传输时所产生的安全后果。
"很多人会很惊奇,由于数据的不当共享、复制、打印,或把数据遗忘在移动硬盘中或打印机输入中,信息掌握在不适当的人手中的频率是如此之高。"Kelleher补充说。
据Kelleher的预测,2008年,企业将会对以电子或美国邮件方式发送的文件和数据设置更严格的控制。这可能引起企业更加关注对共享移动硬盘和磁盘中的信息的加密,进而增加对企业权限管理解决方案的投资。后者使内容所有者能够加密敏感数据,控制用户的打印、转发、复制或修订文档的能力。
5.) 大受欢迎的社交网站将面对更多隐私外泄的潜伏危机
Web2.0技术的广泛使用和覆盖将通过MySpace、LinkedIn 、Facebook、校内网、网友天下、51.com和优友地带等社交网站增加泄露个人隐私的机会。2007年,一些主要的社交网站初次尝到了隐私外泄带来的恶果,随着很多这类网站出于信息共享目的而开始彼此连接,这一趋势可能会继续延续。
对等(P2P)网络为最终用户带来了一系列安全风险和漏洞。未经授权的文件共享、个人电子邮件和地址簿的漫无目的的复制、数据泄露、密码和IM窃取以及通过P2P客户端的恶意软件程序的安装等只是最终用户体验到的众多风险中的几种。
Kelleher表示:"随着这些站点彼此互连,许多人会交叉参考一个会员的证书。如果一位黑客窃取了一个账户,他就最终会窃取很多帐户。而且,由于这些站点本身是社交网站,所以这种环境助长了信息的泄露,这种情况很多,不胜枚举。"
P2P用户可以通过提高密码的复杂性,实施诸如个人防火墙、反间谍软件、反钓鱼软件功能和及时更新反病毒应用的安全措施,安装最新的P2P客户端软件、浏览器和操作系统补丁及更新等措施,来最大限度地降低风险。
随着技术的演进,最终用户将能够通过可靠的联盟式目录结构和更强大的验证和加密应用,来最大限度地降低风险。
Kelleher指出,尽管2008年为利用互联网和支持Web的应用的大量通信及协作功能带来了机遇,"但挑战同往常一样,将继续在信息交流的自由性与保护信息及人们的身份和隐私之间寻求一种均衡。"