2008年1月28日,北京 —— Unisys公司(NYSE:UIS)日前公布其對2008年的安全預測。 在企業和政府安全快速變化的形勢下,預測未來風險和趨勢對于規劃、防范和管理可能影響企業資產完整性的風險來說是至關重要的。新的安全威脅以及人們越來越依賴和使用新技術,使許多企業和政府IT技術人員在規劃和預測時存在一定程度的不確定性。
Unisys企業安全部副總裁Tim Kelleher表示:“很多企業在發生安全問題后才警覺問題的嚴重性,并匆忙尋找解決方案。”。
“為了應對新威脅,滿足最終用戶日益變化的需求,IT技術人員必須說服他們的企業把安全看作是一項核心業務職能,一個迎合客戶需求、預測未來風險以及為潛在安全事件制定可用解決方案的職能。”
為了幫助政府機關和企業準備和管理2008年可能出現的安全威脅,Unisys專家預測未來一年的企業安全五大趨勢如下:
1.) 保護移動終端設備上的數據會變得越來越困難,并會引起更多關注
隨著移動消費設備(如手機和PDA)的廣泛使用,企業正試圖通過登錄時的密碼和其他保護措施防范安全問題。然而,這樣做會使很多企業漏掉真正的威脅。他們忽視了實體設備以外的東西,常常不能保護保存在設備中的數據,這些數據不僅對其所有者來說非常重要,而且正日益成為犯罪分子進行身份欺詐和盜用的目標。
數據保護成為消費者日益擔憂的問題。事實上,Unisys安全信心指數顯示,接近70%的美國人極其或非常擔心其個人信息未經授權的訪問或濫用。
Kelleher表示:“數字簽名和加密是保護數據的關鍵,但是它們必須融入整體安全計劃,這樣才能解決諸如數據能否或如何從一個設備傳輸到另一設備的問題。”
“如果沒有這樣一個計劃,企業就會發現,其移動設備上的數據要么弱不經風而導致潛在的安全問題,要么保護過度而無法操作。尋求這兩者的平衡就有必要設計一個能夠保持用戶生產力的安全解決方案。”
2.) 隨著更多客戶使用移動設備進行交易,銀行在保護客戶的數據和金融資產方面將面臨著重大的挑戰。
根據最新的Celent報告,手機銀行業務增長強勁,并將繼續作為一種重要的銀行渠道,預計到2010年,將有超過35%的網銀用戶將使用移動設備進行金融交易。在中國,手機銀行同樣發展迅速。據統計,2007年10月,中國銀聯已在全國21個省市區開通使用手機業務,用戶數量超過800萬戶,并且1月至10月累計實現交易近5,000萬筆,交易金額近80億元。隨著這一趨勢的繼續,國內外安全風險將進一步提高。
嵌入了無線射頻識別技術(RFID)和“近場”芯片的手機尤其如此,其中,后者的交易類似于加油站的快速支付(speed pass)。 由于近場技術的設計和消費者使用它的方式,這種設備很容易受到攻擊,如“網絡釣魚”(即以假冒電子郵件消息誘騙賬戶持有人透露個人數據)。 另外一種威脅是惡意代碼,它旨在繞過安全技術,使未經授權的用戶能夠盜取他人的身份證明。
這種電子銀行攻擊使銀行和金融部門的消費者業已動搖的信心再次遭受重創,同時由于銀行需要承擔更多與安全有關的風險,使得銀行需要付出更多的保費。Unisys安全信心指數顯示,40%的美國人極其或非常擔心網銀或在線購物的安全性。
隨著金融機構繼續發展電子銀行的受眾,他們必須更好地集成業務流程和解決方案,防止這些欺詐活動并考慮新的業務模式。銀行必須與電信公司構建更好的聯盟,共享安全知識,以使消費者從中受益。此外,服務提供商還必須在風險和銀行客戶必須采取的保護措施方面開發全面的、交互式的客戶培訓項目。
3.) 企業將繼續尋求實體和電子(如IT)安全措施的融合,以增強對間諜活動的防范
實體和電子安全的融合將繼續推動企業實現新的經濟效率,同時提高人員、IT系統和關鍵實體資產的安全。
Kelleher說:“融合是與安全威脅保持同步的最有效有最有力的方式之一,這些安全威脅是最有可能對人員、數據和構成企業或政府機構生命線的實體資產造成危害的。”
確保企業實體和電子資產的身份、真實性和完整性需要強大的數據融合能力,把各種傳感和遠程監控技術集成在一起,如即時驗證、運動傳感器、智能視頻應用、GPS、無線環境傳感器和RFID等。這種融合將繼續使公營和私營機構能夠管理和響應那些影響他們實體和電子邊界、品牌、身份、人員、產品和高價值資產的風險。
隨著全球供應鏈的繼續延伸,融合安全技術在2008年將會有更大的用武之地,如保衛陸地邊界和港口的安全、保護敏感數據、減少間諜活動的機會。企業將會把迄今為止大都各自為政的實體和IT安全措施集中到一起。
這種集成的接入控制系統可能包括監控地面的運動傳感器、驗證工作人員身份的準入卡和生物識別證書、以及確定集裝箱及里面的貨物并發現可能不符的RFID標簽。
其他能夠最大限度地減少使安全挑戰難度增加的威脅的融合應用包括:確保藥品等產品完整性的電子履歷,適用于邊境和港口安全的高度網狀化的無線傳感網絡,以及智能監視和監督應用。
4.) 公營和私營單位將更加注重紙質和電子記錄
全球經濟在很大程度上取決于機構內和機構間電子和紙質記錄的有效傳遞。例如,僅美國一地,支付行業每月作為電子圖像處理的支票數量就呈兩位數增長。聯邦儲備銀行現在每天處理的電子支票約為1,270萬張,而每天處理的紙質支票約為2,530萬張。預計到2008年年底,聯邦儲備銀行每天處理的電子支票將達到2,050萬,而每天處理紙質支票則降為1,350萬張。
而在中國,支票與電子支付使用量也在逐漸增加,據統計,2006年我國金融機構處理票據業務11.9億筆,金額224.7萬億元。其中,支票11.7億筆,金額208.5萬億元。艾瑞監測數據顯示,中國電子支付市場2007年全年交易額實現了100%的增長并突破1,000億元。預計08年仍將保持100%以上的增長。
電子匯兌使用的增加帶來了不少安全問題。例如,很多人喜歡共享重要的個人或企業數據,而不考慮當文檔在多人之間傳輸時所產生的安全后果。
“很多人會很驚奇,由于數據的不當共享、復制、打印,或把數據遺忘在移動硬盤中或打印機輸入中,信息掌握在不適當的人手中的頻率是如此之高。”Kelleher補充說。
據Kelleher的預測,2008年,企業將會對以電子或美國郵件方式發送的文件和數據設置更嚴格的控制。這可能引起企業更加關注對共享移動硬盤和磁盤中的信息的加密,進而增加對企業權限管理解決方案的投資。后者使內容所有者能夠加密敏感數據,控制用戶的打印、轉發、復制或修訂文檔的能力。
5.) 大受歡迎的社交網站將面對更多隱私外泄的潛伏危機
Web2.0技術的廣泛使用和覆蓋將通過MySpace、LinkedIn 、Facebook、校內網、網友天下、51.com和優友地帶等社交網站增加泄露個人隱私的機會。2007年,一些主要的社交網站初次嘗到了隱私外泄帶來的惡果,隨著很多這類網站出于信息共享目的而開始彼此連接,這一趨勢可能會繼續延續。
對等(P2P)網絡為最終用戶帶來了一系列安全風險和漏洞。未經授權的文件共享、個人電子郵件和地址簿的漫無目的的復制、數據泄露、密碼和IM竊取以及通過P2P客戶端的惡意軟件程序的安裝等只是最終用戶體驗到的眾多風險中的幾種。
Kelleher表示:“隨著這些站點彼此互連,許多人會交叉參考一個會員的證書。如果一位黑客竊取了一個賬戶,他就最終會竊取很多帳戶。而且,由于這些站點本身是社交網站,所以這種環境助長了信息的泄露,這種情況很多,不勝枚舉。”
P2P用戶可以通過提高密碼的復雜性,實施諸如個人防火墻、反間諜軟件、反釣魚軟件功能和及時更新反病毒應用的安全措施,安裝最新的P2P客戶端軟件、瀏覽器和操作系統補丁及更新等措施,來最大限度地降低風險。
隨著技術的演進,最終用戶將能夠通過可靠的聯盟式目錄結構和更強大的驗證和加密應用,來最大限度地降低風險。
Kelleher指出,盡管2008年為利用互聯網和支持Web的應用的大量通信及協作功能帶來了機遇,“但挑戰同往常一樣,將繼續在信息交流的自由性與保護信息及人們的身份和隱私之間尋求一種均衡。”
