IT安全支出保持穩定 未列入CIO優先考慮計劃
據美國信息技術研究和咨詢公司Gartner日前發布的報告預測,2011年,IT安全支出將保持穩定,身份管理將成為最受關注的主題,而安全項目仍未被企業的首席信息安全官(以下簡稱CIO)列入其優先考慮計劃。
Gartner預計,在未來12個月內,企業的信息安全支出將約占其整體IT預算的5%。雖然這一比例較去年的6%略有下降,但由于整體IT預算將增加約2%,所以實際安全支出將保持穩定。
Gartner將于6月21日至23日在華盛頓舉行“安全和風險管理峰會”。目前,Gartner正在審查其最新的安全支出數據,這些數據是通過最近的大量研究工作獲得的。
Gartner執行副總裁Vic Wheatman表示,很少有企業考慮在即將到來的支出周期采用額外的安全技術,但那些在經濟衰退時期被暫時擱置的技術將可能得以部署。他指出,“從某種程度上說,企業在經濟衰退時期必須盡量保持穩定運行,因而不得不冒著易受攻擊的風險。我認為企業現在正在迎頭趕上,而且市場整合和新興技術為諸如入侵防御和強身份認證等領域帶來了更好的價值主張。”
Gartner舉行的2010 CIO調查顯示,身份管理已經成為最受重視的安全技術,超過20%的受訪者將其列為重點支出項目。Wheatman認為,企業對身份管理的重視與以下三大趨勢息息相關:對自助服務應用集成的日益關注,包括內部和可信的外部合作伙伴;確保對提供敏感數據的系統進行強身份認證的需求;通過合規審計的必要性。
Wheatman還表示,企業對身份管理的重視在一定程度上可能還與日益受到關注的高級持續性威脅(Advanced Persistent Threat,APT)有關:惡意的國內外攻擊者通過難以檢測的方式秘密訪問企業的網絡和數據,例如竊取用戶名和密碼。在許多情況下,這些攻擊者只是登錄到企業網絡,貌似合法用戶,未被任何人發現。
Wheatman強調,“APT當然會帶來問題,由于攻擊者能夠進入企業網絡并到處瀏覽,獲得訪問權限以及從根本上欺騙系統。企業的所有數據——從用戶ID到知識產權——都需要得到保護,以免被攻擊者竊取。”
據Gartner的調查顯示,排在身份管理之后的其他安全技術包括數據丟失防護(Data Loss Prevention,DLP)、防病毒軟件和反惡意軟件、防火墻以及入侵防御系統(IPS)。
然而,Gartner聲稱,企業的安全項目往往滯后于其他IT領域。在其最近關于企業CIO如何安排IT項目優先順序的調查中,安全技術項目排在第九位,落后于一些新興技術,如虛擬化、云計算、Web 2.0和移動計算技術等。
安全產品研究和咨詢機構Security Consortium的CEO Mark Kadrich對這一趨勢感到困惑。他指出,安全支出可能保持穩定,但安全威脅卻是不斷發展的。他說,“網絡變得日益復雜,安全威脅越來越難以對付。而且,顯而易見的是,專業攻擊者的攻擊能力是與日俱增的。安全支出的停滯不前令人擔憂。”
Kadrich表示,許多企業大肆購買新的安全技術,但卻沒有充分利用其現有的安全技術,也沒有考慮如何整合新技術與現有的基礎設施。
Gartner的報告顯示,企業的平均安全支出為每員工525美元,但是有些行業的平均安全支出要更高一些。其中,大型保險公司的平均安全支出為每員工886美元,專業服務行業為每員工836美元,政府機構為每員工671美元,金融服務行業為每員工637美元。
【編輯推薦】
