2005年IT行业趋势预测

　　国际金融报记者 范俊 综合报道

　　日前，全球著名的信息技术服务及解决方案提供商，Unisys公司的IT安全顾问发表了一份其对2005年企业所面临的IT安全挑战和行业发展的趋势预测报告。

　　Unisys首席安全顾问Sunil Misra与Unisys识别与访问管理部门首席设计师Patrick O'Kane认为2005年IT安全领域将面临下列挑战和发展趋势：

　　应用软件漏洞将导致《产品缺陷法》出台

　　浏览器和操作系统的供应商经常由于企业安全漏洞成为批评的焦点。应用和相关软件也同样容易遭受攻击，但很多时这都被忽略。

　　随着应用程序更加接近互联网的边缘，某厂商的应用或数据库产品遭受攻击而导致客户损失，客户因而对软件供应商提出法律起诉，这在2005年爆发将只是时间的问题。

　　业务伙伴和其他方的可靠网络将成为风险来源

　　由于企业通过公司网络与业务伙伴、供应商和客户进行的业务交往日益频繁，企业IT基础架构和重要业务信息遭受破坏的可能性也随之增加。

　　Misra表示，企业必须将安全重点从简单的信息安全演进成更有计划的、面向流程的方法，以保护基础架构和核准的用户，包括合作伙伴达成的全面策略、诸如代理防火墙的技术保护，以及联合身份管理等。

　　移动领域将成为滋生安全事件的黑点

　　随着第三代网络、手机和PDA等移动环境和设备的日益智能化，它们对业务变得不可或缺，企业IT基础架构的边界已经超出了目前安全基础架构能够覆盖的范围。广泛使用的蓝牙和其他公共移动环境的保护技术尚显稚嫩，并且难以使用，从而为无线数据盗窃提供了可乘之机。

　　企业将转向主动式的“深入防御”策略

　　由于企业必须遵守严格的企业法规，这就意味着安全不再只是技术人员的问题。针对违反安全规则和不遵守法规行为的惩罚已经明显变得更加经济化，并将责任归结到个人。

　　在2005年，企业管理层将更加意识到多层端到端解决方案的价值，以及实施它们的必要性。这种解决方案能够满足各种要求，从威胁和漏洞分析，到多种技术和可管理安全服务策略的开发和实施。他们通常会发现，将这些解决方案的设计、实施和管理外包给专业合作伙伴，是实现优化风险管理和投资回报的高效方式。

　　加快采用联合体系结构，进行身份和访问管理

　　通过联合身份管理，参与的企业能够共享彼此的验证和授权服务。同样，企业要和外部合作伙伴及提供商、或实现公司内部业务部门之间安全地共享信息，协作也是至关重要的。

　　Unisys在2004年10月进行的一次研究调查表明，37%的被调查者表示他们将在明年内实施协作方针。由于行业采用了OASIS安全宣示标记语言2(SAML2)标准的最新版本，这种新兴技术的采用率可能会进一步提高。

　　虚拟目录技术将成为身份集成项目的重要组成部分

　　虚拟目录技术提供了一种可从多个系统查看和整合身份信息的途径，而无需实际合并数据库。随着虚拟目录技术的成熟，虚拟目录解决方案也得以实现，这种解决方案对整合新系统和传统系统来说十分重要。

　　O'Kane表示：“新的虚拟目录技术正在消除实际移动和整合数据的必要性。通过这种做法，它们可以解决了相关的数据所有权问题，加快了身份整合时间并降低了成本。在2005年，企业用户将充分了解虚拟目录的这些优点，并在其安全战略中采用虚拟目录。”

　　网络攻击方式将更加凌厉Misra表示：“一些攻击者会企图制造一些带来长期影响、而非一次性的攻击，这些行为可能纯粹出于恶意，但大多数背后都怀有经济动机。在2005年，我们预计会出现第一种具有真正危险效果的蠕虫或病毒，能够改变或破坏记录层的信息，由此产生的影响将无法通过简单手段来挽救，例如从先前备份的数据版本恢复。企业将花费大量时间和资金来寻找和替代被改动的内容。最糟糕的是这些恶意攻击将破坏受害者的运营和业务诚信，这对电子商务来说是十分严重的冲击。”

　　互联网暴徒的有组织攻击将会增加

　　新的网络犯罪组织不断涌现，它们与其前辈不同，经常纯粹为经济动机而犯罪，而且不计后果，热衷于发动更具破坏力的攻击。Misra表示：“迄今为止，网络勒索者通常只是威胁如果不向他们缴付敲诈金额，他们将制造破坏，例如清除计算机硬盘上的内容或破坏数据指针等。我们将看到如果威胁没有得逞，他们将使用多种攻击手段，从有目标的拒绝服务攻击到破坏记录层信息，真正造成严重破坏。”

　　信用报告机构将更多地参与管理身份盗窃的后果

　　许多身份偷窃都涉及信用卡账户信息，罪犯可以使用这些信息，来尝试访问其他系统，例如银行和经纪账户，以偷窃更多的信息或访问其他资源。报告机构需要帮助设计用户身份验证方法，从而防止身份窃贼使用偷窃的身份信息来访问其他来源的信息。O'Kane表示：“如果信用报告机构不通过消费者教育和其他主动措施来更多地参与其中，政府将会介入，开始为他们解决这个问题。”