九大最新熱門IT技術 把把都是雙刃劍

你應當把這些技術看成給人安全而不是讓人掃興的技術。要積極地調查研究虛擬化、企業搜索和智能電話等新興技術。你不能因爲下面這些問題而保持現狀、不敢採用這些新技術。要有所準備，然後一往無前。

一、智能電話帶來越來越大的風險

還沒有誰因爲使用“黑莓”智能電話而被炒魷魚。

這是空洞無物的安慰人的想法。你可能不會因選擇“穩妥的”智能電話被炒魷魚，但沒有哪款智能電話滿足得了每個專業人員的要求，所以抱怨聲不絕於耳也就可想而知了。即使你謹慎行事，也要注意智能電話的三個隱藏問題以及相應的規避方法。

1、產品週期與消費類電子產品一樣快。提供移動設備管理服務的Movero科技公司的首席執行官(CEO)Bruce Friedman說：“有些公司在項目實施到一半時才發現，那款產品已停止供應了，這樣的例子我見過很多。”高端移動電話和智能電話更新速度很快，所以習慣了三到五年技術更新週期的公司發現在測試、採購及部署新設備方面老趕不上步伐。辦法很簡單，但做起來不容易：設法加快產品採購審批及測試過程，比如確保新的應用程序和升級不影響智能電話、操作系統和網絡連接。規劃好6到12個月的產品週期，並按照這個週期來更新。

2. 應用程序氾濫。智能電話的優點在於能夠運行多種應用程序，於是有些員工覺得自行下載應用程序是理所當然的。禁止所有未授權的應用程序，但人的本性決定了公司用戶會設法違反這樣的規定。比較好的辦法是：使用爲應用程序分配“信任級別”、並且只允許事先批准的應用程序訪問操作系統的一種安全協議，比如基於Symbian操作系統的平臺安全(Platform Security)協議，或者Windows Mobile的應用安全(Application Security)協議。

3. 出租車因素。智能電話比筆記本電腦更容易丟失、失竊及受損。應作好規劃，以便實時修復、清除關鍵數據及更換設備。這時候，Movero或者Mformation等公司的“託管移動服務”公司可以發揮作用：如果你要部署大量設備，他們幾乎總是能夠爲你節省費用。

二、虛擬化威脅近在眼前

如果公司一味擴大服務器虛擬化，而不考慮虛擬機有別於物理機器的地方，就無異於爲入侵者敞開了進入數據中心的新大門。我們還無法確認這類威脅的具體性質，因爲它們還沒有切實出現過。因此而高枕無憂的任何人在過去兩年裏肯定沒有注意過信息安全。

VMware和開源廠商XenSource提供的虛擬機管理程序(hypervisor)軟件是數據中心中一層新的特權軟件，類似操作系統，可以全權訪問其他軟件資源;但與操作系統不同，它沒有經過多年的測試與評估。Gartner公司估計，直到2009年，60%的虛擬機不如物理機器來得安全。如果存在安全漏洞，入侵者只要能訪問虛擬化服務器的虛擬機管理程序，就能控制該虛擬機管理程序管理的所有虛擬機。

許多公司保護虛擬服務器的方法與保護物理服務器的方法一樣。如今只出現了少數幾款專門的工具可以監控及保護VMware的ESX虛擬機管理程序，如Reflex Security公司的VSA和Blue Lane科技公司的VirtualShield。針對Xen的安全工具則比較粗糙、簡單。

VMware指出，銀行和軍隊使用ESX Server，這證明這是個安全的平臺。但是虛擬機管理程序的運行有別於操作系統在物理服務器上的運行。

Blue Lane公司的高級副總裁Allwyn Sequeira說，VMware的VMotion工具能夠找到虛擬機管理程序，然後轉移到另一臺物理服務器上來運行，但失去了原來的安全環境。Sequeira說：“採用虛擬化之前，防火牆、路由器和服務器都有一個相對靜態的架構以確保安全。”安全策略針對某個特定的TCP/IP地址，這很常見。他說，當VMotion把虛擬機轉移到新的服務器和新的TCP/IP地址時，新舊兩套安全策略應該保持同步，但常常並不同步。

想跟蹤所有虛擬機、控制在視野範圍之內也很難。Blue Lane公司的一個客戶曾忽視了一臺虛擬機，直到後來檢查時才發現它在6個月前就啓用了。要是入侵者偶爾發現了這臺虛擬機，危險就更大，因爲沒有哪位管理員在跟蹤這臺虛擬機。

雖然BMC、冠羣和惠普等系統管理廠商正在添加更多的虛擬機管理功能，但現在還是輕而易舉就能離開管理員的視線。

三、企業搜索關鍵在於掌握合適的度

企業搜索聽上去完美無缺：員工不用沒完沒了地搜索衆多FTP站點和奇怪的文件名，就能輕鬆找到所需的文件和文檔，從而提高了工作效率。但一旦人們開始搜到不該搜到的東西，搜索就成了安全和合規人員的噩夢。

搜索技術廠商Autonomy公司的美國區CEO Stouffer Egan說，有家國防承包商把機密信息網絡與絕密信息網絡“隔離”開來，但機密網絡上的員工仍能搜索到絕密網絡上的信息。真是糟透了。

標準做法是，如果你無法以其他方式訪問網絡上的信息，那麼也無法通過搜索來找到這些信息。富國銀行在嘗試讓公司主管通過博客與客戶和員工進行交流，它甚至建立了自己的虛擬世界。不過該公司對企業搜索有所限制，限制了員工搜索數據存儲庫的能力，因爲授權機制很複雜。富國銀行把應用開發和部署時間的80%用於授權和驗證等安全措施上。

即使各類信息和特定應用都受口令保護，也並不意味着它們保密起來。弗雷斯特研究公司的分析師Matt Brown說，有家公司發現，其搜索系統能在很少被訪問的一部分文件系統中發現敏感的工資單信息。所謂的“通過隱匿來實現安全”(security by obscurity)遲早會出問題。

最後一個風險是，如果編入索引的資料不足，因而沒有價值;或者搜索關鍵詞要極其精確，員工會放棄使用搜索工具。針對250名商業技術專業人士的一項調查發現，大約四分之一的公司部署了集成搜索系統，卻很少使用。

四、迷失於NAC縮略語

最近炙手可熱的安全縮略語就是NAC――它對不同的廠商來說有着不同的含義。儘管吹得天花亂墜，但沒有哪家NAC廠商完全說到做到，概念的混淆讓安全效果大打折扣。

網絡准入控制(NAC)是思科的產物，它旨在控制哪些設備可以連接到網絡上：設備是否沒有病毒?安全設置是不是最新?如果不是，就加以隔離。網絡訪問控制(或者用微軟的話來說，網絡訪問保護)着力解決的是，一旦設備連接到網絡上，可以進行哪些操作――對照目錄服務器或者訪問控制服務器，檢查個人電腦或打印機的安全狀況，查看具體權限。目前還沒有哪家廠商同時提供網絡訪問控制和網絡准入控制;而廠商之間的合作也剛剛起步。

所以你說要部署完整的網絡准入和訪問控制系統，好比你說要爲孩子的下一次生日聚會弄一頭獨角獸來慶賀。除非思科、微軟和可信計算組織(TCG)以及最近互聯網工程任務組下設的一個工作組就大大簡化NAC部署的標準達成一致，否則這項IT技術不會露出廬山真面目。

對願意等待的人來說，很快能得到廠商的幫助。弗雷斯特研究公司的分析師Robert Whiteley說，思科、邁克菲、微軟和賽門鐵克都正在把端點風險管理功能集成到即將推出的產品中，但至少一年後才能準備就緒。

作爲一種概念，NAC值得人們積極採用――因爲它結合使用反惡意軟件、訪問控制以及身份驗證和配置管理工具，阻止非法設備企圖連接到網絡上，或者在網絡上搞破壞活動。可是現在，利用各種工具來防止惡意行爲需要從多臺服務器獲取數據，也就是說需要多臺服務器協同，這自然增加了複雜性。別欺騙自己，以爲如今的哪個產品已經完全具備了NAC理念。

五、統一通信尚未統一

統一通信領域顯得有點混亂，仍隨着不同技術的整合在逐漸成形。這意味要把合理的通信工具放到業務流程中所需的環節，無論是把點擊呼叫功能嵌入到應用程序中;整合語音、電子郵件和呈現等技術;還是讓員工的討論渠道從即時通信切換到視頻會議。不過，你還無法用哪家廠商的產品可以直接實施統一通信系統，所以企業最好做好準備，因爲將來需要大量的集成和帶崗學習。

貴公司可能已有北電網絡公司的IP PBX、IBM的統一通信軟件、思科的局域網設備以及Oracle的商業應用軟件，希望藉助統一通信項目，把它們都充分利用起來，卻苦於缺乏集成所有這些產品獲得實時通信方面的豐富經驗。舉例說，微軟與北電網絡組成的聯盟正開始提供共同開發的統一通信產品，着眼於未來四年的發展遠景。與此同時，微軟也加大了與其他廠商的產品實現兼容的力度，包括思科、Avaya和西門子等公司的產品。

公司必須確認哪種業務流程會受益於統一通信技術;之後再來選擇合理的廠商。幫助公司客戶實施統一通信規劃的Vanguard通信公司的總裁Don Van Doren說：“如果你選擇的廠商無法滿足你的業務要求，你就會陷入困境。”公司也不應該想當然地以爲，必須全面改用IP協議，才能部署統一通信系統。Don Van 說：“就某些應用和業務問題而言，統一通信系統能夠與遺留系統很好地兼容。”

工業設備供應商Ultrasonic Precisions公司的CIO Steven Fishman說，該公司把網絡會議系統、視頻會議、Outlook電子郵件和聯繫人系統集成到基於微軟軟件和思科設備的單一系統上後，工作效率大大提高。不過部署工作要試好多次，還要與廠商緊密合作。而這需要妥協：Fishman決定避開集成任何非微軟應用軟件的做法，因爲它們與SharePoint、Exchange 2007和微軟Dynamics GP10不能很好地兼容。

六、SOA：規範你的行動

面向服務的架構(SOA)本該可以讓技術基礎設施變得更加靈活、運轉更迅速。但要是創建的Web服務缺乏足夠有效的治理，就會出現失控、甚至適得其反的局面。

伯頓集團的分析師Anne Thomas Manes說，就最初的一批Web服務而言，你採取之前的做法恐怕不會有什麼問題――極少跟蹤Web服務的性能、不同的開發人員無計劃地隨意改動生產環境的Web服務，或者很少使用自動化的監控工具。但除了這批服務之外，她說：“你應當認真考慮對整個生命週期進行適當的治理。”

這就意味着確保新創建的服務歸納到註冊中心，並且存儲到存儲庫中;應通過中央系統來實行變更管理;要麼禁止使用不同版本的服務，要麼詳細地記錄下來。服務需要進行測試，以便服務滿足其他許多流程的要求。如果服務要重複使用，它必須與許多系統協同使用，而不是隻與當初開發人員青睞的那些系統協同使用。要密切關注服務的使用情況、在什麼情況下使用;還要找出並解決導致性能下降的環節。

畢博諮詢公司顧問Pete McEvoy最近撰寫的有關金融服務行業SOA的一份報告得出了類似結論：“SOA已有7年的歷史，但哪又怎樣?”他認爲，服務創建團隊的IT專業人員“要像產品經理那樣來工作”，因爲如果服務需要更新，就要有人承擔起責任。他寫道：“之前很少有哪家公司徹底全面地考慮諸如此類的操作問題。”

ZapThink公司的分析師Ron Schmelzer說，SOA旨在通過鬆散耦合、明確定義的服務來創建靈活的架構，這種架構針對應用的重複使用作了優化。他說：“人們以爲SOA和Web服務是一回事。實際上，Web服務只是服務訪問方式的改變，SOA卻是做事方式的改變。”

七、警惕面向大衆的商業智能

隨着商業智能(BI)逐漸從分析師和金融專家的桌面走向大衆，就要警惕向大衆提供BI時出現的“最壞習慣”。

如果你任由用戶使用原始數據從頭開始生成報表，這種報表可能會誤導人，不同的團隊會得出不同的結果。所以，最初的報表創建工作最好交給專家去處理。但公司要向那些希望深入學習的員工提供“學習課程”，惠普公司信息管理實踐部門的負責人Jonathan Wu說。否則，“你就沒法培養出高級用戶(power user)。”

業務部門的經理們應當與公司內外的BI分析人員一起，幫助確定爲員工們提供哪些衡量尺度和指標。他們還要就數據定義和命名標準達成一致。Wu曾與一家開發與客戶關係管理(CRM)有關的報表系統的公司合作;對財務部門而言，這裏的“客戶”是指支付服務使用費的員工;而對營銷部門來說，“客戶”也指潛在客戶。

適合使用BI的人會期待某些工具，比如儀表板，所以IT團隊應該記下什麼東西會添加到項目中。Wu說：“而更重要的是告訴用戶將來缺什麼東西。”

大多數公司並沒有把BI當成是災難恢復規劃中的一項關鍵應用，哪怕員工依靠這些工具來作出關鍵決策，也是這樣。Wu見過BI應用系統因服務器出現故障而停頓幾周的例子。

IT團隊還要準備好應對要求更改數據類型和報表的衆多請求。除非員工開始使用BI系統，否則他們不會知道可以用它來做什麼。Wu說：“如果他們不問，很可能是沒在使用。”沒有什麼比花巨資搞起來的項目卻閒置不用更爲失敗的了。

八、SaaS的缺點

當然，你可以快速部署軟件即服務(SaaS)應用。它們甚至能夠爲貴公司避免費用、爲IT部門避免麻煩。但是SaaS應用到底適不適合你呢?

定製方面的限制是SaaS幾乎一開始就飽受詬病的地方。與許多內部部署(on-premise)的應用不同，SaaS應用的代碼是無法改動的。

專業支持SaaS的服務公司Bluewolf的聯合創始人Eric Berridge說，另一方面，SaaS應用的一大優點在於，Salesforce.com等廠商在不斷添加功能，可以馬上提供給用戶。如果換成內部部署軟件，新功能常常捆綁在重大版本里面，客戶有時會錯過這些功能。

因爲新功能頻頻添加到SaaS應用裏面，客戶必須保持靈活。這可能意味着需要添加流程以適應新功能，因而感到壓力的是用戶，而不是IT部門。Berridge說，不過對經理們來說，這意味着要隨時瞭解變化，並且告知用戶，以便他們願意並且能夠隨時應變。

太多的變化並不好。他說，如果新功能意味着你要改動流程或者應用本身的地方超過20%，最好還是採用內部開發的軟件。

弗雷斯特研究公司的分析師Liz Herbert說，SaaS的另一個缺點是：簽署交易的常常是公司用戶，而不是技術人員，而用戶在安全和隱私方面可能毫無頭緒，特別是由於針對SaaS的安全標準還在發展當中。雖然SaaS應用還沒有出現任何重大的安全漏洞，“但人們要引起警惕，”她說。而Berridge認爲，SaaS的安全問題更多地涉及軟件在公司內部如何使用。“你未必想讓紐約的銷售代表看到新澤西州代表的銷售數據。”他說，除非設定了規則，“否則每個人都能看到每個數據。”

另外，許多公司改用SaaS時，要牢記諸如《健康保險可攜性及責任性法案》和《薩班斯-奧克斯利法案》之類的法規。Berridge說，公司需要在本地保存數據副本，以免出現法規問題。這意味着要與SaaS廠商一起定好數據複製時間表。

至於數據集成方面，有第三方軟件包(包括Bluewolf的軟件包)有助於SaaS 軟件與SAP和Oracle等公司的內部部署軟件連接起來。Berridge說，但如果數據交換的速度至關重要，如金融交易，這樣的連接可能變得很棘手。

九、JavaScript讓人不安

Web 2.0採用的是JavaScript動態語言。JavaScript通過Ajax編程，允許Web應用和用戶個人之間進行交互。但JavaScript和Ajax也爲網站入侵者帶來了衆多新的攻擊途徑。

一年前，Yamanner蠕蟲有段時間利用了雅虎郵箱的一處JavaScript漏洞，得以在網上迅速傳播開來，還把地址簿上的電子郵件地址轉發給垃圾郵件發送者。使用JavaScript允許用戶上傳內容的MySpace發生了幾起這樣的事件：惡意代碼把跨站腳本安全漏洞植入到MySpace帳戶中，然後傳染給訪問者使用的計算機。有人把“Sammy是我的大英雄”這條消息植入到了成千上萬個MySpace頁面上。

爲了評估將來的風險，不妨考慮使用Jikto，SPI Dynamics安全公司的首席研究員Billy Hoffman在去年3月24日舉行的ShmoozCon黑客大會上演示了這個跨站腳本引擎。

JavaScript擁有內置的安全模型，名爲“同一來源”：JavaScript只能在來源網站上訪問內容或者執行操作，而在其他任何網站上無法訪問或者操作。但Jikto可用來繞過這種保護機制：把網站內容發送到Google Translate等代理網站，然後代理網站把網站內容從一種語言翻譯成另一種語言。惡意的Jikto用戶可以指示網站內容在Google Translate上顯示，在此進行漏洞掃描，然後查看掃描結果。Jikto可以利用Google Translate或者原本另有其用的其他代理網站來檢索一個個網站的頁面，對它們進行掃描以查找漏洞，從而躲開JavaScript的安全模型。

JavaScript可以經常變動，甚至按指令來改變自己，所以傳統的病毒掃描通常發現不了它們。雅虎郵箱事件就牽涉上傳照片的JavaScript功能，但該功能有可能被人惡意利用，因爲雅虎的代碼並不檢查文件實際上是不是圖片。網上有許多這樣的後門。

公佈了Jikto的風險後，霍夫曼收到了爲非作歹之徒發來的電子郵件，大意是“你可毀了我們的樂趣。”你要作好準備，因爲這批傢伙會想出別的點子來尋樂。