不用专家也能预测出,2011年,全球经济状况仍然是关注的焦点。2009年开始崩盘,2010年彻底衰退。所有这些迹象表明,2011年的经济最多能够实现持续、缓慢的复苏。然而,我们还能看到一丝希望。今年年初,我有幸参加了由世界领先的技术公司组成的Tech America颁奖晚宴。在晚宴上,我跟大家分享了Newsweek 文章中的一句话。这篇文章介绍了过去150年里,美国人面对危机所展现的独特能力。用记者的话说:“美国为世界做出了榜样:应对衰退,把握一些创新,快速扩大其规模,创造效益。”
那么,这跟信息安全有何联系呢?作为一个产业,我们应该在2011年应该专注什么?我相信,我们这个时代最伟大的技术创新之一,就是虚拟化和云计算的到来。这些技术能够改选陈旧、僵化的IT基础架构,实现生产率与效率的飞跃。目前,我们有60%到70%的IT预算用于维护现有的系统与架构。说现在的技术等同于世界上每一个机构,无论大小,都投资和人力去建设和经营自己的发电厂,并不为过。
但是,让我们设想这样一个景象:软件平台在线可用,定制方便。让我们设想这样一个景象:计算力来自公司之外的地方,可以随时随地大量供应。让我们设想这样一个景象:信息能够安全地存储、高效地管理和访问,同样,也是随时随地。这些云架构的规模效益、灵活性和高效率,不仅为我们节省了大量的资金和维护成本,同时让我们能够前所未有地在公司之间应用和利用信息。这是提高生产力的绝佳机会。
但是今天,这一变革被信任、安全和法规遵从方面的顾虑绊住了。这些顾虑是我们信息安全行业完全能够解决的。而且,需要由我们来推动这一崭新、强大的计算模式。事实上,虚拟化有可能使我们的安全比当前在物理架构下更有效、更高效,如果能将安全控制直接插入、嵌进虚拟层本身的话。如果说安全有机会促进业务的话,这就是机会,我们必须抓住机会。
我们专注的另一个领域是我们理解与应对威胁的方式。过去三年,威胁的形势发生了巨大的变化。2008年开始,病毒和恶意软件规避防病毒特征码技术的能力日益增强。2009年,犯罪分子发起、以获得为目标的攻击大规模流行。2010年,由国家精心策划的攻击越来越多。2011年,我们还必须防范由非国家个体和恐怖分子幕后操纵的先进持久威胁(Advanced Persistent Threat),这些威胁可能带来灾难性危险。Stuxnet通过操纵关键基础设施的控制系统,成立第一种跨越数字王国和物理世界的木马病毒。Stuxnet预示着未来的网络战争和恐怖行动态势。它意味着,智能电网(SmartGrid)这样的下一代基础架构必须内嵌安全。根据IEEE SmartGrid Comm2010研究人员的发现,智能电网可能被黑客攻击的点多达4.4亿个。Stuxnet为我们敲响了警钟,让我们看到了当前现实的危险。同时也明确地提醒我们,世界的相互依存度日益提高,我们不仅需要企业间的合作,也需要国家间的合作。
在迈向2011之际,我试图就行业发展方向做出很多预测:行业整合的鼓声将继续;法规遵从将进入新时代,其中,数据泄露通知法(data breach notification laws)将在全球扩散,给IT组织满足更高法规标准带来持续压力;移动安全将得到密切关注;用户驱动型IT和社交媒体对信息安全领域影响将引起关注。但是,我之前提到的两个领域必将是新一年安全顾虑的最主要领域:一个是虚拟化和云计算的安全实现;二是我们将面临更新、更复杂的威胁这一现实。能否迎接这些挑战,取决于我们信息安全产业。