应对安全挑战 影响企业风险管理的三项趋势

申请免费试用、咨询电话：400-8352-114

在这个新的全球环境中，公司都急于利用面向服务架构( SOA ) 、云计算和其他分布式的计算模型，这给攻击有了更多的漏洞可以利用，因此企业需要教育职工如何手应对随之而来的安全挑战。

身份安全

每天都有数十亿人在网上彼此连接，因此身份受到了高度关注。位于防火墙后面的应用软件已不再起保护作用。交易依赖于双方信任的程度，而企业又把信任寄希望于其他的认证系统。然而，考虑到身份盗窃和欺诈行为的不断上升，很显然，如果不设立政策，程序和最佳做法，那么信任是错位的，违规的或不确定的。

在SOA环境中这些概念变得更为复杂，因为身份不局限于单独的用户。通常，服务本身必须有一个身份。也就是说，当一个服务调用其他服务时，每个服务都需要一个身份。例如，航运服务可能会被命令处理系统自动调用，而且系统必须将航运服务识别为一个值得信赖的身份，否则调用命令就失败。从命令处理到医疗卫生许可，再到高价值的银行业务，每个企业必须非常谨慎地对待SOA安全问题。信任是推动这些业务的核心原则。失败的策略的影响可以触及所有通往底线的途径。

此外，身份确认制度继续扩张，迫使人成为自己的身份管理员，玩弄自我创造和由第三方发行的身份，从事每一项服务，并且在越来越多的身份曝光中权衡着隐私和声誉。个人也必须有一套共同的 “操作程序”来引导新的安全格局。

展望未来，所面临的挑战在于，发展一套共同的身份政策，程序，最佳做法和技术以及多用途的可用于整个服务供应商的身份系统。这些系统应该能够容纳复杂的身份关系，同时为定位那些相同的身份提供一种简化的方式

信息安全

这已经成为企业高层思考的问题，各机构可以期望有一个持续的推动以尽量减少数据泄露的风险。因此，应该将新的关注放在隐私管理工具掩盖数据的能力上，特别是在非生产环境，如应用开发的数据保护领域，因为数据保护持续短缺。这可以加强密码系统的需要，以及随之而来的化繁为简的需求。

集体, 安全实践——其中包括数据管理，数据监测，以策略为基础的数据分类和安全要求的记录，应为某一特定的存放处提供计算和反映安全保护的指标。这些指标可以用来制定指导数据库使用的 “信任指数”。具备高度信任指数集合的数据库可用于高风险的决定;反之，存放在低信任指数集合的数据库只能用于低风险的活动。这些库可在整个企业里重复使用，而且适用于接收外来的各种信息，特别是混搭程序持续成为主宰创新的动力的情况下。

应用安全

2008年，一种新的威胁——被称为搜索引擎优化( SEO )代码注入，造成大约120万的网站中毒，其中包括一些高知名度的网站。从这个特别的破坏性威胁中，人们清楚地看到，面对黑客攻击，应用软件又回到了起点。

部分的脆弱性存在于从整体应用到复合应用的演变过程，同时存在于SOA式的的进程设计中，并遍及Web 2.0风格的工具和混搭程序中。这些复合应用程序可以在一个真正的混合搭配的方式中，包含源自各种材料的应用程序代码。虽然它极大地提高编程效率，使许多几乎没有训练非程序员能够编写复杂的应用软件，但是也让应用程序变得容易有漏洞。

也许，可组合的应用程序最大的挑战是，无法使应用程序充分理解编程语言，安全态势。直至应用程序被安装，所有诱发因素都暴露，包括恶意软件和漏洞，人们才发现为时已晚。安全发展方面的专业知识正被嵌入到工具和开发平台，这样一来，每一个发展阶段都可以执行安全检查了。

这些安全的趋势也可以为前瞻性的公司提供大量的机会。所以，企业怎样管理风险，将决定企业要么蓬勃发展，要么在面对新兴技术前失败。（IT专家网）