编者按：在虚拟化、商业智能等九大技术中，存在着怎样的安全命门？
　　
　　希望本文中列出的安全问题，对于首席信息官（CIO）们而言，是积极的建议，而非泼冷水。企业仍然要坚持探索虚拟化、企业搜索和智能手机等新兴技术。本文所涉及的问题绝不足以成为维持现状的借口，只需做好准备，然后继续前行。

智能手机：风险不断加大

　　从没有人因为使用黑莓手机（BlackBerry）而遭解雇。
　　
　　这一说法无异是空洞无物的承诺。尽管你不会因选择使用了不安全的智能手机而被解雇，但每位专业人士对手智能手机的需求不可能完全一致，因此肯定会有更多的抱怨。即使你的手机没有出过岔子，也不妨看看我们对3种智能手机陷阱的分析和相关的应对技巧。
　　
　　1. 产品周期与消费电子更新换代的速度一致。“很多公司在将智能手机项目部署到一半时发现，那款产品已停产了。” 负责提供移动设备管理服务的Movero科技公司首席执行官（CEO）布鲁斯·弗雷德曼（Bruce Friedman）表示。高端手机和智能手机更新很快，以致习惯3～5年IT更新周期的公司，在测试、采购、并部署新设备时，总有落伍之感。解决这种问题的方法虽然简单，但做起来并不容易：也就是要设安全法缩短产品采购审批和测试过程，比如，确保新应用软件和升级软件不会对手机、操作系统和网络连接有害。在选用智能手机时，将产品周期定在6～12个月，并依此周期更新。
　　
　　2. 应用软件控制。智能手机的威力在于能运行多类应用软件，而某些员工会因此想当然地根据自己的喜好随意下载软件。企业可禁止使用所有未经准许的软件，但是人的本性决定了，商业用户总会想方设法违反这些规定。更合理的做法是：利用基于Symbian操作系统的 Platform Security或者Windows Mobile的Application Security等安全协议，为应用软件分配“信用等级”，并且只给那些事先经过批准的应用赋予访问操作系统的权限。
　　
　　3. 易丢失的因素。与笔记看看这些热门技术能给你带来怎样的安全死穴。本电脑相比，智能手机更易丢失、被窃、以及损坏。所以，应准备好进行实时修复、擦除关键数据、并更换其他设备。Movero或Mformation公司等“管理移动服务”厂商此时正好派上用场：如果需要部署大量设备，他们几乎无一例外地总是能为你节省资金。
　　
　　--Richard Martin

虚拟化：潜在的威胁之源

　　如果组织一味扩大服务器虚拟化，而对虚拟机与物理服务器的本质区别熟视无睹的话，那么他们迟早会给入侵者开辟新的方便之门，使之顺利接入到数据中心。我们目前还无法精准地确定这类威胁的本质，因为它们尚未切实发生过。但是过去2年中，任何对上述事实感到欣慰的公司肯定从未关注过信息安全。
　　
　　VMware公司和开源厂商XenSource公司开发的虚拟机管理软件，是数据中心中新一层特权软件的代表，这些软件与操作系统类似，可全权访问其他软件资源；但它们却没有像操作系统一样，经过多年的测试与评估。高德纳公司（Gartner）预计，从现在到2009年，60%的虚拟机安全性会低于物理服务器。而且如果存在安全漏洞的话，入侵者一旦获取一台虚拟化服务器管理程序的访问权限，必将能够在该软件辖下的所有虚拟机中来去自由，如入无人之境。
　　
　　许多组织将保护物理服务器的手段如法炮制到虚拟服务器上。
　　
　　迄今只出现了少数几个专业化工具，能用来监测并保护VMware公司的ESX虚拟机管理程序，比如Reflex安全公司（Reflex Security）的VSA和Blue Lane科技公司的VirtualShield。目前尚未有成熟的用于保护XenSource产品的安全工具。
　　
　　VMware强调说，银行和军方都使用ESX Server，这说明该软件是个安全的平台。但是运行虚拟机管理软件，有别于在物理服务器上运行操作系统。VMware的VMotion工具可发现、转移、并在另一台物理服务器上启动该虚拟机管理软件，而将其原来的安全环境弃之不顾，Blue Lane高级副总裁奥温·西奎拉（Allwyn Sequeira）指出。“在部署虚拟化之前，防火墙、路由器以及服务器上都需安装一个相对静态的安全架构。”西奎拉表示。因此，安全策略通常是以某个 TCP/IP为核心。当VMotion将虚拟机转移到新服务器上，并给出新的TCP/IP地址时，新旧两套安全策略应该保持同步；但实际上，这一点往往难以实现，西奎拉进一步分析道。
　　
　　因此，欲对所有虚拟机进行追踪，并始终将之控制在视野之内，实属不易。Blue Lane的一名客户就曾忘记过一台虚拟机的存在，直到在检测时才发现，该虚拟机已于6个月前即已启动了。如果有个入侵者刚好于此时趁虚而入，那后果不堪设想，因为没有管理员对此虚拟机的行为进行追踪，他补充说。
　　
　　BMC公司、CA公司以及惠普公司（HP）等系统管理厂商，已纷纷着手在各自的产品中增加虚拟机管理特性。尽管如此，要想溜出管理员的视野之外，还是易如反掌。——Charles Babcock （译／柯睿、赵红权、朱筱丹）

（信息周刊）