金融危機的陰影似乎正在逐漸淡去，企業(yè)、政府和各種機構的日常業(yè)務也在步入正軌，盡管道瓊斯指數(shù)還會時不時的出現(xiàn)一些小問題，但全球經(jīng)濟復蘇已經(jīng)是不爭的事實了。在這個“后金融危機”時代，企業(yè)的安全危險面臨著哪些變化趨勢？企業(yè)又如何去做好IT安全工作呢？在2010年IDC亞太區(qū)IT安全會議上，IDC中國行業(yè)研究和咨詢服務部研究總監(jiān)武連峰結合IDC的調研報告，為我們分析了在當下，企業(yè)安全的一些發(fā)展趨勢以及安全服務供應商與企業(yè)應對這些威脅的正確方法。

武連峰表示，在后金融危機時代，IT領域內主要將會出現(xiàn)三大主流。首先是新常態(tài)，在金融危機期間，大部分企業(yè)主要考慮的都是削減企業(yè)各方面的預算，控制企業(yè)運營成本，隨著金融危機的過去，企業(yè)關注的核心又回到了用戶和業(yè)務層面；其次是新技術，這在IT領域并不陌生，每天，我們都會接觸到日新月異的IT技術，而這些技術很多將逐步在企業(yè)中使用，比如云計算現(xiàn)在已經(jīng)服務于很多大型企業(yè)機構；***就是逆向創(chuàng)新，這指的是原來，從發(fā)達國家向發(fā)展中國家輸出新技術，現(xiàn)在已經(jīng)逐漸演變成為由發(fā)展中國家向發(fā)達國家輸出新技術、新理念以及新的商業(yè)模式。

在這種背景下，企業(yè)安全也正在面臨著驚濤駭浪般的各類威脅。根據(jù)IDC的調研報告顯示，現(xiàn)在企業(yè)面臨的安全威脅多種多樣，包括社會化媒體的不斷流行、數(shù)據(jù)爆炸的出現(xiàn)、法律法規(guī)的不健全、企業(yè)業(yè)務的拓展、智能手機等移動終端在企業(yè)中的流行、云服務的出現(xiàn)、虛擬環(huán)境、統(tǒng)一通信在企業(yè)中的運用，甚至包括自然災害和恐怖襲擊。而這其中，社會化媒體在企業(yè)中的使用、智能手機和云服務的流行是企業(yè)面臨的最嚴峻的三大安全挑戰(zhàn)。

面對這些挑戰(zhàn)，企業(yè)必然要做出相應的措施來預防悲劇的出現(xiàn)，我們從IDC的報告中了解到，在2010年，繼續(xù)增加安全支出的企業(yè)占到所有調查企業(yè)總數(shù)的38%，而保持現(xiàn)有投資水平的企業(yè)也占到50%，八成以上的企業(yè)在這個方面有正確的認識，他們認識到安全防御對企業(yè)業(yè)務正常運行的重要性。

企業(yè)在對待安全防御上有著較為統(tǒng)一的認知，大部分企業(yè)CSO都認為，在安全防御上，最重要的就是確保業(yè)務的連續(xù)性以及具有災難恢復的能力，安全成為保障企業(yè)業(yè)務進行的一個必要工具，如何能夠盡量不影響企業(yè)正常業(yè)務的情況下***化的確保安全成為CSO永恒的問題。而在此之后，企業(yè)認為的安全保護重點依次是網(wǎng)絡安全、預防數(shù)據(jù)泄漏、云的安全以及用戶身份鑒定。于此對應的是，在認定何種情況能夠增加企業(yè)安全風險時，大部分企業(yè)將社會化網(wǎng)絡進入企業(yè)排在***位，智能手機的流行、企業(yè)的業(yè)務擴張、基于Web的網(wǎng)上交易和云服務分列二到五位。

仔細研讀以上的IDC調研報告，我們不難看出一些現(xiàn)在正在企業(yè)中流行的安全威脅趨勢以及企業(yè)對其防御的側重點。對與安全服務供應商而言，武連峰認為，應該要對社會化媒體以及云計算做好準備，研究如何做好這兩方面的安全研究，并且，隨著以太網(wǎng)容量的不斷增加，服務于10G-100G以太網(wǎng)中的安全設備也成為安全服務供應商應該立即著手研發(fā)的課題。

而對于企業(yè)而言，武連峰認為，做好“4P防護”是關鍵。所謂4P防護指的是People（人）、Policy & Process（政策與流程）以及Property（資產(chǎn)）。這四個要素同時還具有層次性，他們共同組成了一個完善的安全防御金字塔。處于金字塔底層的是Property（資產(chǎn)），這里指的是企業(yè)對于安全防御的投資，如果沒有基礎的安全設備和完善的安全解決方案，其他任何安全措施都只是空談而已；在安全設備之上，就是Policy & Process（政策與流程），有了完善的企業(yè)安全投資，再在這個投資之上，制定良好的政策規(guī)章以及業(yè)務運營流程，以保證其能夠符合安全的需求，這是企業(yè)能否用好安全設備投資的關鍵；而金字塔的最頂層則是People（人），企業(yè)業(yè)務的進行需要人的參與，而企業(yè)安全維護也需要企業(yè)中每一個雇員的參與，這包括了安全管理人員和普通員工，對于企業(yè)安全管理人員而言，是否擁有較高的安全素養(yǎng)和安全維護能力是企業(yè)安全運維的關鍵，而對于普通員工而言，企業(yè)有必要對其進行培訓教育，以提升每一個員工的安全防御能力。4P結合在一起，企業(yè)的安全防御才能夠得以高效有序的進行。

在后金融危機時代，企業(yè)安全威脅出來了一些新的變化趨勢，與之對應的，企業(yè)的安全防御也出現(xiàn)了一些變化，對于安全服務供應商和企業(yè)而言，都需要去適應這種變化，IDC提出的4P防御體系很可能將成為未來企業(yè)安全解決之道。

【編輯推薦】

1. 提高IT運維管理有“捷徑”
2. 僵尸IP侵入中銀國際客戶賬戶誰保障券商IT安全