信息安全事件和漏洞在2009年为大型企业带来了很大的困扰。新的安全技术对具有安全意识的企业会有所帮助,但2010年可能是非常困难的一年。ESG预言安全威胁在数量和复杂性方面都会处于平稳上升的趋势,并且明年发生的重大事件也会丝毫不会亚于2007年的TJX公司的数据泄漏事件。同样,政府的网络安全活动也会频繁发生,如果ESG可怕的预言成真的话,后果将不堪设想。
概述
尽管大型企业都在通过控制资本投入来渡过2009年的全球经济衰退,但与安全相关的投资和举措仍在增加,这表明信息安全已成为一项主要的业务优先措施。那么2010年会有哪些变化呢?由于需求方出现了新的用户需求并且供应方的产品也实现了整合,因此,安全技术将会有些许的调整。尽管如此,ESG相信网络安全在2010年将以前所未有的方式吸引全球的目光。
ESG预计,明年将会出现以下与网络安全相关的技术、事件和法律性活动:
1.日益普及的加密技术。和去年一样,ESG相信大型企业将会继续增加对加密技术的使用。有两个原因:1)为了在保护机密数据上占据主动地位;2)因为加密技术将会"整合"到产品之中,且几乎不会造成价格的上涨。磁盘驱动器、USB闪存驱动器、磁带驱动器和操作系统等技术现都已经具备了加密功能。在2010年及以后,笔记本电脑、台式电脑、服务器和企业存储系统很有可能将加密处理器作为其标准配置的一部分。然而,日趋普及的加密技术有一点喜忧参半的意味。虽然数据的机密性和完整性可能会有所提高,但是企业最好能有一个正规且成文的加密管理计划,以防止加密操作和数据恢复真的成为一种挑战。
2.密钥管理。与日趋普及的加密技术密切相关的是密钥管理:密钥生成、密钥轮换、密钥安全、密钥备份等等。由于使用密钥的数量成指数倍地速度增长,因此,必需要有集中管理、紧密集成的密钥管理服务。幸运的是,好消息即将来临。在2010年,我们应该可以看到OASIS即将对"密钥管理互操作协议(KMIP)"进行第一次修订。而业内领先的名企主导着KMIP的发展,包括博科、EMC/RSA、惠普、IBM、NetApp、PGP、希捷和Thales Security。其目标是在密钥管理系统与加密技术和/或密钥管理系统彼此之间建立互操作性。大型企业应重视这一工作,并且只从承诺支持KMIP的供应商处购买加密和密钥管理产品。
3.安全管理3.0。老式的安全信息和事件管理(SIEM)系统不具备扩展、开放性和分析功能,因而无法跟上日益严重的威胁形势。此外,ESG还注意到市场出现了分化:在过去,SIEM常常同时用于法规遵从管理、安全事件/事故管理以及日志管理。但在2010年及以后,这三项IT/安全分支将相互独立,但仍然通过一个新的由"IT数据库"主导的安全管理架构来相互联系,该数据库负责收集、处理和存储IT数据(即日志数据、流量数据、SNMP事件、IF-MAP等)。针对安全、法规遵从、IT运营等不同需求的分析引擎只会从通用存储库访问这种信息。首席信息官和首席信息安全官应当准备好架构计划来应对这种转变。
4.DLP与eRM的融合。DLP(数据丢失防护)擅于进行数据搜索和分类,而eRM(企业权限管理)非常适合粒度策略的执行。在2008年和2009年,这两项技术开始融合。微软与EMC/RSA结成合作伙伴关系,在其权限管理服务器上应用DLP技术,而赛门铁克、McAfee以及其他企业与领先的eRM供应商Liquid Machines联手将DLP融入eRM。这种合众连横的势头在2010年预计会更加强劲。Liquid Machines、BitArmor(DLP /eRM混合型企业)和其他新兴公司预计会在2010年的市场调整和整合浪潮中被收购。希望微软和其他厂商也能够支持标准元数据标记,以满足异构和分布式数据的分类需求,并实施普遍的数据集中式策略。
5.身份认证管理3.0。身份认证管理技术的发展已经持续多年,但绝大部分仍属于落后的技术领域。到2010年,有关身份认证管理的讨论将变得更加普遍。VMware和Citrix将探讨有关虚拟机的可信任身份认证。金融服务机构将积极地为客户提供安全认证标识,以保护他们的身份和金融资产。OpenID和类似技术将获得消费者的青睐。美国国会将会认真考虑全国性的身份识别卡。出现这些发展措施的主要原因是身份认证管理已经失控。用户有太多的用户ID和密码,匿名移动技术正以兔子繁殖般的速度增长,并且身份盗窃事件十分猖獗。处在这个社会中,我们必须找到一种方法,利用像PKI、Eclipse Project Framework和Liberty这样的技术来更好地保护我们的身份和隐私。在过去,保护身份和隐私只出现在知识分子范畴里,但在2010年及以后,普通老百姓也会感到来自身份和隐私方面的压力。
6.威胁形势日益广泛和深入。每年的威胁形势日益严峻,2010年也不例外,并将提高以下几个方面的安全风险。首先,网络攻击的浪潮将继续升级,因为我们已经注意到几家主流的网络公司会定期受到攻击。其次,我们可能会看到越来越多针对非Windows平台的攻击,如Mac、iPhone、Android、Blackberry、诺基亚设备以及IP电话系统。最后,ESG预感到2004年爆发的杀手蠕虫病毒(如Conficker)将会再次出现,其发生的频率也会有所增加。大多数蠕虫病毒不会携带恶意封包内容,而只是起到破坏和侦察的目的。用户必须使用最佳的安全技术来武装终端设备,采用基于云的威胁管理来获得扩展性和理想性能,并定期研究威胁智能报告,从而提前应对即将出现的威胁升级。
7.白宫任命网络安全协调员。美国总统奥巴马曾表示他计划于2009年5月任命一位国家网络安全协调员,但直到作者撰写本文时这个职位仍处于空缺状态。华盛顿有不少人对此感到不满。今年8月,众议院两党的网络安全决策小组曾写信给总统,建议他尽快填补这一职位。代表纽约州的众议员Yvette Clarke和参议员Joseph Lieberman以及TechAmerica产业集团也表达了相同意愿,但总统显然更加关注医疗改革和过去数月的经济状况,以及即将到来的假期,看来2009年年末是不可能再发生什么大事了。不过,我希望国会能够在1月份就此事对总统施压,要求他在2月底提名候选人。
8.重大的网络安全事故。虽然2007年的TJX数据泄漏事件仍然是数据盗窃的典型,但也许2010年会发生更加严重的事故。银行、电网或电信网络都有可能成为攻击的目标。它可能发生在美国、西欧或是亚洲。虽然无法准确地指出会发生什么事,但ESG预感到将有更具威胁性的事件发生。不幸的是,这个世界必须再次经历痛苦,才能吸取教训,就如它在2001年9月11日的恐怖袭击中吸取的教训一样。这次攻击的后果将是不光彩的,政客们会将事件归咎于执法和情报部门以及其它各方。如果这个事件发生在美国,那么奥巴马总统可能会成为主要的替罪羊,尤其是他延误了网络安全协调员的任命。作为普通公民,我们从根本上感到更加害怕,对此也更加关注,并更加迫切地要求尽快行动起来–越快越好。
9.新的美国网络安全法规。由于美国众议院和参议院早就通过了大量相关的法案,因此,推出新的网络安全法规也是顺理成章的事情。就在本周,众议院通过了数据问责制和信托法案(DATA),这为在全国性的侵害事件通知法案的通过铺平了道路,缓解了当前只有个别州有相关立法的窘境。今年11月,众议院也通过了第4061号议案,要求对网络安全研究投入更多的资金。美国参议院对此也采取支持态度。Rockefeller-Snowe法案旨在使联邦的网络安全工作日趋合理化和结构化,同时参议员Joseph Lieberman日前提出了一项议案,明确了网络安全在国土安全部中的作用。今年的这些努力到2010年可能会硕果累累。ESG预计国会将会在2010年通过一项全国性的数据侵害法案,增加网络安全的资金投入,并对联邦信息安全管理法案(FISMA)进行重大修正。再次强调,倘若在2010年发生了重大网络安全事件的话,希望会有频繁的立法活动。
10.增强网络安全意识和教育。虽然国会内部在2009年就网络安全培训和教育方面的投资进行过辩论,但没有什么确切的变革迹象。网络安全技术仍然处于稀缺状况,虽然10月被定为"全国网络安全意识宣传月",但外界对此却几乎一无所知。希望这种情况在2010年会有重大变化。许多网络安全法案都包括增加对网络安全教育计划的投资,如美国国家科学基金会(NSF)的服务性奖学金(SFS)、美国国家安全局(NSA)的信息安全认证计划、NSF/NSA合资的网络公司等。除了更高级别的教育项目以外,也希望美国联邦政府能够与安全产业合作,以大幅增加有关网络安全意识的公共服务项目。ESG预计在2010年会发起一项广受关注的公关运动,类似于"拒绝(毒品)"或"烈火赤子"(预防森林火灾)的运动。
重要事实
总之,信息安全在2010年的变化将会有所增加,但不会发生剧变。与此同时,明年的网络安全形势将会更加严峻,并最终会发生一次重大事件。好消息是这个未知的事件可以大幅提高各相关部门以及公民的网络安全意识,并将对准备工作作为当务之急。而不利因素是许多国会议员和公民会针对网络相关的漏洞、问题和提出的解决方案做出过激反应。全世界的公有和私营企业必须迅速提高自身的网络安全意识,以便更好地了解安全事故、增强应对措施、为紧急响应做好准备,并建立适当级别的风险管理评估,将其与适当的安保措施相结合。