IT安全支出未列入CIO优先考虑计划

据美国信息技术研究和咨询公司Gartner日前发布的报告预测,2011年,IT安全支出将保持稳定,身份管理将成为最受关注的主题,而安全项目仍未被企业的首席信息安全官(以下简称CIO)列入其优先考虑计划。

Gartner预计,在未来12个月内,企业的信息安全支出将约占其整体IT预算的5%。虽然这一比例较去年的6%略有下降,但由于整体IT预算将增加约2%,所以实际安全支出将保持稳定。

Gartner将于6月21日至23日在华盛顿举行“安全和风险管理峰会”。目前,Gartner正在审查其最新的安全支出数据,这些数据是通过最近的大量研究工作获得的。

Gartner执行副总裁Vic Wheatman表示,很少有企业考虑在即将到来的支出周期采用额外的安全技术,但那些在经济衰退时期被暂时搁置的技术将可能得以部署。他指出,“从某种程度上说,企业在经济衰退时期必须尽量保持稳定运行,因而不得不冒着易受攻击的风险。我认为企业现在正在迎头赶上,而且市场整合和新兴技术为诸如入侵防御和强身份认证等领域带来了更好的价值主张。”

Gartner举行的2010 CIO调查显示,身份管理已经成为最受重视的安全技术,超过20%的受访者将其列为重点支出项目。Wheatman认为,企业对身份管理的重视与以下三大趋势息息相关:对自助服务应用集成的日益关注,包括内部和可信的外部合作伙伴;确保对提供敏感数据的系统进行强身份认证的需求;通过合规审计的必要性。

Wheatman还表示,企业对身份管理的重视在一定程度上可能还与日益受到关注的高级持续性威胁(Advanced Persistent Threat,APT)有关:恶意的国内外攻击者通过难以检测的方式秘密访问企业的网络和数据,例如窃取用户名和密码。在许多情况下,这些攻击者只是登录到企业网络,貌似合法用户,未被任何人发现。

Wheatman强调,“APT当然会带来问题,由于攻击者能够进入企业网络并到处浏览,获得访问权限以及从根本上欺骗系统。企业的所有数据——从用户ID到知识产权——都需要得到保护,以免被攻击者窃取。”

据Gartner的调查显示,排在身份管理之后的其他安全技术包括数据丢失防护(Data Loss Prevention,DLP)、防病毒软件和反恶意软件、防火墙以及入侵防御系统(IPS)。

然而,Gartner声称,企业的安全项目往往滞后于其他IT领域。在其最近关于企业CIO如何安排IT项目优先顺序的调查中,安全技术项目排在第九位,落后于一些新兴技术,如虚拟化、云计算、Web 2.0和移动计算技术等。

安全产品研究和咨询机构Security Consortium的CEO Mark Kadrich对这一趋势感到困惑。他指出,安全支出可能保持稳定,但安全威胁却是不断发展的。他说,“网络变得日益复杂,安全威胁越来越难以对付。而且,显而易见的是,专业攻击者的攻击能力是与日俱增的。安全支出的停滞不前令人担忧。”

Kadrich表示,许多企业大肆购买新的安全技术,但却没有充分利用其现有的安全技术,也没有考虑如何整合新技术与现有的基础设施。

Gartner的报告显示,企业的平均安全支出为每员工525美元,但是有些行业的平均安全支出要更高一些。其中,大型保险公司的平均安全支出为每员工886美元,专业服务行业为每员工836美元,政府机构为每员工671美元,金融服务行业为每员工637美元。