不用專家也能預(yù)測(cè)出，2011年，全球經(jīng)濟(jì)狀況仍然是關(guān)注的焦點(diǎn)。2009年開始崩盤，2010年徹底衰退。所有這些跡象表明， 2011年的經(jīng)濟(jì)最多能夠?qū)崿F(xiàn)持續(xù)、緩慢的復(fù)蘇。然而，我們還能看到一絲希望。今年年初，我有幸參加了由世界領(lǐng)先的技術(shù)公司組成的Tech America頒獎(jiǎng)晚宴。在晚宴上，我跟大家分享了Newsweek 文章中的一句話。這篇文章介紹了過去150年里，美國(guó)人面對(duì)危機(jī)所展現(xiàn)的獨(dú)特能力。用記者的話說："美國(guó)為世界做出了榜樣：應(yīng)對(duì)衰退，把握一些創(chuàng)新，快速擴(kuò)大其規(guī)模，創(chuàng)造效益。"

那么，這跟信息安全有何聯(lián)系呢？作為一個(gè)產(chǎn)業(yè)，我們應(yīng)該在2011年應(yīng)該專注什么？我相信，我們這個(gè)時(shí)代最偉大的技術(shù)創(chuàng)新之一，就是虛擬化和云計(jì)算的到來。這些技術(shù)能夠改選陳舊、僵化的IT基礎(chǔ)架構(gòu)，實(shí)現(xiàn)生產(chǎn)率與效率的飛躍。目前，我們有60%到70%的IT預(yù)算用于維護(hù)現(xiàn)有的系統(tǒng)與架構(gòu)。說現(xiàn)在的技術(shù)等同于世界上每一個(gè)機(jī)構(gòu)，無論大小，都投資和人力去建設(shè)和經(jīng)營(yíng)自己的發(fā)電廠，并不為過。

但是，讓我們?cè)O(shè)想這樣一個(gè)景象：軟件平臺(tái)在線可用，定制方便。讓我們?cè)O(shè)想這樣一個(gè)景象：計(jì)算力來自公司之外的地方，可以隨時(shí)隨地大量供應(yīng)。讓我們?cè)O(shè)想這樣一個(gè)景象：信息能夠安全地存儲(chǔ)、高效地管理和訪問，同樣，也是隨時(shí)隨地。這些云架構(gòu)的規(guī)模效益、靈活性和高效率，不僅為我們節(jié)省了大量的資金和維護(hù)成本，同時(shí)讓我們能夠前所未有地在公司之間應(yīng)用和利用信息。這是提高生產(chǎn)力的絕佳機(jī)會(huì)。

但是今天，這一變革被信任、安全和法規(guī)遵從方面的顧慮絆住了。這些顧慮是我們信息安全行業(yè)完全能夠解決的。而且，需要由我們來推動(dòng)這一嶄新、強(qiáng)大的計(jì)算模式。事實(shí)上，虛擬化有可能使我們的安全比當(dāng)前在物理架構(gòu)下更有效、更高效，如果能將安全控制直接插入、嵌進(jìn)虛擬層本身的話。如果說安全有機(jī)會(huì)促進(jìn)業(yè)務(wù)的話，這就是機(jī)會(huì)，我們必須抓住機(jī)會(huì)。

我們專注的另一個(gè)領(lǐng)域是我們理解與應(yīng)對(duì)威脅的方式。過去三年，威脅的形勢(shì)發(fā)生了巨大的變化。2008年開始，病毒和惡意軟件規(guī)避防病毒特征碼技術(shù)的能力日益增強(qiáng)。2009年，犯罪分子發(fā)起、以獲得為目標(biāo)的攻擊大規(guī)模流行。2010年，由國(guó)家精心策劃的攻擊越來越多。2011年，我們還必須防范由非國(guó)家個(gè)體和恐怖分子幕后操縱的先進(jìn)持久威脅（Advanced Persistent Threat），這些威脅可能帶來災(zāi)難性危險(xiǎn)。Stuxnet通過操縱關(guān)鍵基礎(chǔ)設(shè)施的控制系統(tǒng)，成立第一種跨越數(shù)字王國(guó)和物理世界的木馬病毒。Stuxnet預(yù)示著未來的網(wǎng)絡(luò)戰(zhàn)爭(zhēng)和恐怖行動(dòng)態(tài)勢(shì)。它意味著，智能電網(wǎng)（SmartGrid）這樣的下一代基礎(chǔ)架構(gòu)必須內(nèi)嵌安全。根據(jù)IEEE SmartGrid Comm2010研究人員的發(fā)現(xiàn)，智能電網(wǎng)可能被黑客攻擊的點(diǎn)多達(dá)4.4億個(gè)。Stuxnet為我們敲響了警鐘，讓我們看到了當(dāng)前現(xiàn)實(shí)的危險(xiǎn)。同時(shí)也明確地提醒我們，世界的相互依存度日益提高，我們不僅需要企業(yè)間的合作，也需要國(guó)家間的合作。

在邁向2011之際，我試圖就行業(yè)發(fā)展方向做出很多預(yù)測(cè)：行業(yè)整合的鼓聲將繼續(xù)；法規(guī)遵從將進(jìn)入新時(shí)代，其中，數(shù)據(jù)泄露通知法（data breach notification laws）將在全球擴(kuò)散，給IT組織滿足更高法規(guī)標(biāo)準(zhǔn)帶來持續(xù)壓力；移動(dòng)安全將得到密切關(guān)注；用戶驅(qū)動(dòng)型IT和社交媒體對(duì)信息安全領(lǐng)域影響將引起關(guān)注。但是，我之前提到的兩個(gè)領(lǐng)域必將是新一年安全顧慮的最主要領(lǐng)域：一個(gè)是虛擬化和云計(jì)算的安全實(shí)現(xiàn)；二是我們將面臨更新、更復(fù)雜的威脅這一現(xiàn)實(shí)。能否迎接這些挑戰(zhàn)，取決于我們信息安全產(chǎn)業(yè)。

【編輯推薦】

1. RSA2010中國(guó)大會(huì)的亮點(diǎn)和遺憾之處
2. RSA2010中國(guó)大會(huì)相關(guān)報(bào)道頁面
3. 簡(jiǎn)析保險(xiǎn)企業(yè)信息安全策略
4. 如何成功地為你的信息安全事業(yè)投資？