【51CTO.com 綜合消息】2009年6月12日，EMC安全事業(yè)部RSA今天公布了兩項新的研究報告，這兩項研究報告對許多有前途的技術所顯現出來的深遠安全問題進行了研究分析。這些新技術包括云計算、虛擬化、社會網絡、移動通信等，同時還對它們給全球公司所帶來的關鍵業(yè)務風險和回報進行了探討。

第一項研究報告由IDG公司研究服務部門執(zhí)行，它揭示了組織采用全新的連接、協(xié)作和通信技術的匆忙速度，與安全部署這些技術的準備狀態(tài)存在著巨大差距。第二項是有關RSA業(yè)務創(chuàng)新安全理事會的研究報告，它概述了企業(yè)如何利用這些新技術所帶來的巨大商業(yè)優(yōu)勢，同時不會使公司陷入風險之中。

“很多企業(yè)日益成長為‘超級擴展型企業(yè)’，它們比以往任何時候，以更豐富的方式相互交換信息，” RSA總裁Art Coviello說道?！靶律腤eb技術、社會技術和移動技術的快速采用，以及越來越普遍的外包現象，正在迅速消融組織和信息資產的傳統(tǒng)邊界。安全戰(zhàn)略必須要進行重大轉變，以確保公司能夠實現削減成本和達到收入目標的目的，同時不會造成新的、具有危險性的業(yè)務漏洞?！?/P>

IDG報告顯示，許多公司在沒有認真思考的情況下就實現了跨越

受RSA的委托，IDG公司研究服務部門進行了一項調查，該調查針對收入超過10億美元公司的100位頂級安全高級管理人員，結果表明一些企業(yè)是如此的熱衷于新的Web技術和移動技術，但他們在部署這些技術的同時，卻沒有對關鍵的流程和數據提供足夠的保護。

主要調查結果包括：

◆70%以上的被調查者認為新的Web技術和通信技術給連接和信息交換層帶來了提升，使他們的組織越來越向超級擴展型企業(yè)發(fā)展。在過去的12-24個月中，多數被調查者都增加了虛擬化、移動、社會網絡技術的使用，超過三分之一的被調查者增加了云計算的使用。

◆但是，許多接受調查的公司并沒有采取任何戰(zhàn)略對采用這些新技術所帶來的風險進行評估。在一些組織中，企業(yè)的安全團隊只有在發(fā)生問題時才會被要求介入，而在其它時候，使用這些新技術之前安全團隊甚至沒有得到任何的通知。不到一半的被調查公司已經制定了相關的政策，以指導員工如何使用社會網絡工具和網站。

◆30%以上的被調查公司已經有一些企業(yè)應用或業(yè)務流程運行在云環(huán)境中，還有16%的被調查公司計劃在未來的12個月內開始遷移到云環(huán)境中。在這些公司中，有三分之二還沒有實施云計算環(huán)境下的安全策略。

◆10個受訪者中有超過8個感覺到削減成本和創(chuàng)造收益的壓力使它們大大增加了暴露在安全風險下的可能性。10個受訪者中有超過7個在過去的18個月中經歷過安全事件。

◆大部分受調查者都表示，需要改變和提高企業(yè)的安全戰(zhàn)略，以適應超級擴展型企業(yè)的現狀。

研究結果在IDG公司研究服務部門的白皮書“隨著超級擴展性企業(yè)的不斷成長，風險也在日益擴大”中有詳細的描述，您可以從(www.rsa.com/innovation)下載 。組織機構也可以對它們成為超級擴展型企業(yè)的安全準備狀態(tài)進行測試，并將測試結果與受調查高級管理人員的結果進行對比。

頂級“信息安全官”表示，超級擴展型企業(yè)需要新的安全措施

同樣在今天，RSA還公布了其業(yè)務創(chuàng)新安全理事會的第四份報告：“構建大道：在前所未有的風險環(huán)境下打造“超級擴展型”企業(yè)?！痹谶@份報告中，來自世界各地的頂級安全領導者共同探討了在今天這樣一個原本能夠推動新的商業(yè)價值的善意行動卻會使企業(yè)置于災難性風險之中的世界里，如何轉變安全戰(zhàn)略。（若需要完整報告中文版，請聯系我們）

“在這個特定的時間點，如果我們有這樣一個迅速變化的環(huán)境，我們絕對要哭，‘時間到！’我們需要逐步走出來，我們需要檢驗計劃是否進行了正確的調整，” Diageo(帝亞吉歐)首席信息安全官、理事會成員Claudia Natanson博士表示，“您的計劃是否為即將開始的艱辛困境作好了準備？因為只有最敏捷的，最勝任的，最靈活的計劃才能到達終點?！?

RSA的前一項研究：“推動更快地發(fā)展：在嚴峻的經濟環(huán)境下管理信息安全以尋求戰(zhàn)略優(yōu)勢”，強調了在面臨預算和資源限制時不要使創(chuàng)新倒退的重要性。這項新的報告演示了頂級公司的領導者是如何在促進創(chuàng)新的同時，還不忽略企業(yè)的安全實踐和政策。

報告提供了創(chuàng)建企業(yè)全新安全模型的七個步驟

在與業(yè)務創(chuàng)新安全理事會，世界頂級安全官的深入對話基礎上，本報告著眼于信息安全的發(fā)展方向。它為開發(fā)一個能夠反映即將出現的新機會和危險的最新信息安全模型提供了具體的建議。理事會成員概述了為什么現今的威脅環(huán)境變化莫測，并就如何安全地利用超級擴展型企業(yè)以創(chuàng)造業(yè)務優(yōu)勢共享了他們的建議。具體指導包括：

◆在保護環(huán)境中進行限制。確定能更加有效地利用資源的方式。例如，理事會概述了限制安全資源對不相干的信息資產，存儲數據，以及設備進行保護的戰(zhàn)略。通過在保護環(huán)境中進行限制，企業(yè)同時還能夠降低成本，減少風險并釋放資源，以用于高優(yōu)先級的項目。 

◆取得競爭力。在經濟艱難的時候，如果企業(yè)領導人感覺不能從內部安全組織中得到他們所需要的，那么轉向外部服務供應商，而不將公司安全團隊包含進來將會增加企業(yè)的總體風險。理事會解釋了安全團隊如何專注于他們服務質量和效率，并能清晰地闡明購買服務的價格為他們所帶來的價值。 

◆積極利用相關領域的科技。信息安全部門必須認識到阻止新興Web和通信技術的使用是不可行的；相反他們必須推動這些技術的安全使用。理事會成員就如何從被動安全措施轉變到預防性安全措施，以及如何建立企業(yè)采用新技術的路線圖分享了指導意見。 

◆從保護容器轉向保護數據。在超級擴展型企業(yè)的時代，越來越多的企業(yè)數據都是在不為企業(yè)所控制的容器中進行存儲和處理。例如，數據可能由服務供應商的設施進行處理，或保留在員工使用的PDA，或擁有多個企業(yè)客戶的承包商使用的筆記本電腦中。在這樣的環(huán)境中，理事會對將重點從保護設備轉移到保護數據上提供了指導。 

◆采用先進的安全監(jiān)控技術。在今天的威脅環(huán)境中，安全團隊必須對用來監(jiān)測異常和惡意活動的方法進行升級。理事會成員分享了從基于簽名的防病毒和黑名單方法轉向諸如基于行為的監(jiān)測和白名單等更精確技術的建議。 

◆協(xié)同創(chuàng)建行業(yè)標準。理事會成員就安全技術人員，第三方供應商和新興技術建立統(tǒng)一的信息安全標準，為什么已經到了一個關鍵結合點進行了探討。 

◆分享風險情報。為了使企業(yè)能夠抵御國際黑客和日益復雜的欺詐網絡，理事會推薦了一個涵蓋企業(yè)，執(zhí)法機關和政府的、強有力并具協(xié)作性的情報共享生態(tài)系統(tǒng)。