影响企业风险管理的三大趋势

      在这个新的全球环境中,公司都急于利用面向服务架构( SOA ) 、云计算和其他分布式的计算模型,这给攻击有了更多的漏洞可以利用,因此企业需要教育职工如何手应对随之而来的安全挑战。IT专家网预测明天对于企业而言将面临三大安全挑战。

  身份安全

  每天都有数十亿人在网上彼此连接,因此身份受到了高度关注。位于防火墙后面的应用软件已不再起保护作用。交易依赖于双方信任的程度,而企业又把信任寄希望于其他的认证系统。然而,考虑到身份盗窃和欺诈行为的不断上升,很显然,如果不设立政策,程序和最佳做法,那么信任是错位的,违规的或不确定的。

  在SOA环境中这些概念变得更为复杂,因为身份不局限于单独的用户。通常,服务本身必须有一个身份。也就是说,当一个服务调用其他服务时,每个服务都需要一个身份。例如,航运服务可能会被命令处理系统自动调用,而且系统必须将航运服务识别为一个值得信赖的身份,否则调用命令就失败。从命令处理到医疗卫生许可,再到高价值的银行业务,每个企业必须非常谨慎地对待SOA安全问题。信任是推动这些业务的核心原则。失败的策略的影响可以触及所有通往底线的途径。

  此外,身份确认制度继续扩张,迫使人成为自己的身份管理员,玩弄自我创造和由第三方发行的身份,从事每一项服务,并且在越来越多的身份曝光中权衡着隐私和声誉。个人也必须有一套共同的 “操作程序”来引导新的安全格局。

  展望未来,所面临的挑战在于,发展一套共同的身份政策,程序,最佳做法和技术以及多用途的可用于整个服务供应商的身份系统。这些系统应该能够容纳复杂的身份关系,同时为定位那些相同的身份提供一种简化的方式

  信息安全

  这已经成为企业高层思考的问题,各机构可以期望有一个持续的推动以尽量减少数据泄露的风险。因此,应该将新的关注放在隐私管理工具掩盖数据的能力上,特别是在非生产环境,如应用开发的数据保护领,因为数据保护持续短缺。这可以加强密码系统的需要,以及随之而来的化繁为简的需求。

  集体, 安全实践——其中包括数据管理,数据监测,以策略为基础的数据分类和安全要求的记录,应为某一特定的存放处提供计算和反映安全保护的指标。这些指标可以用来制定指导数据库使用的 “信任指数”。具备高度信任指数集合的数据库可用于高风险的决定;反之,存放在低信任指数集合的数据库只能用于低风险的活动。这些库可在整个企业里重复使用,而且适用于接收外来的各种信息,特别是混搭程序持续成为主宰创新的动力的情况下。

  应用安全

  2008年,一种新的威胁——被称为搜索引擎优化( SEO )代码注入,造成大约120万的网站中毒,其中包括一些高知名度的网站。从这个特别的破坏性威胁中,人们清楚地看到,面对黑客攻击,应用软件又回到了起点。

  部分的脆弱性存在于从整体应用到复合应用的演变过程,同时存在于SOA式的的进程设计中,并遍及Web 2.0风格的工具和混搭程序中。这些复合应用程序可以在一个真正的混合搭配的方式中,包含源自各种材料的应用程序代码。虽然它极大地提高编程效率,使许多几乎没有训练非程序员能够编写复杂的应用软件,但是也让应用程序变得容易有漏洞。

  也许,可组合的应用程序最大的挑战是,无法使应用程序充分理解编程语言,安全态势。直至应用程序被安装,所有诱发因素都暴露,包括恶意软件和漏洞,人们才发现为时已晚。安全发展方面的专业知识正被嵌入到工具和开发平台,这样一来,每一个发展阶段都可以执行安全检查了。

  这些安全的趋势也可以为前瞻性的公司提供大量的机会。所以,企业怎样管理风险,将决定企业要么蓬勃发展,要么在面对新兴技术前失败。