根據IDC今年一季度的全球安全分析報告，數據安全審計、SSL可信部署、虛擬化安全架構，以及多因子認證的大規模應用，將成為當前安全界的技術看點。隨著新技術在這些領域中的出現，記者特別邀請到業內專家加以分析，同時分成上下兩篇，并結合網站專題共同探討。

看點一：數據安全審計
事實上，從當初的薩班斯法案誕生之日起，為數不少的安全公司就已經預測到了這一天：數據安全審計將成為企業無法回避的問題。只要是正規的企業，都無法回避自身的數據安全問題。當然，上市公司就更加需要重視。事實上，這里所說的數據安全審計，不僅包括了數據源的安全，而且也涵蓋了審計方法與企業IT流程的結合。

另外，不少大企業多年運營的經驗表明，必須有相應的處罰措施才能保證合法操作。因此，目前有一種傾向就是將嚴格的管理延伸到中等規模的企業。讓咨詢師、審計人員以及檢查人員感到沮喪的是，小型企業可能無法忍受合法審計過程所帶來的復雜性和成本。

在現行法律和管理環境所影響到的所有業務領域中，許多人都認為對于IT行業的影響是最容易管理的，因為IT行業采用的主要是現有技術，包括用于數據存儲和傳輸的加密方法和標準，切實可行的密碼和認證策略以及平臺，還有預防惡意軟件及系統完整性保護的可行方法。要與這一描述保持一致，審計追蹤性要求將會被分解，而負擔主要落在IT硬件和軟件供應商身上。

在美國，現在已經有這樣的先例，用戶起訴產品供應商，因為其產品有可被利用的漏洞和缺陷。因此供應商發現，不得不對源代碼進行更全面的測試，從而保證用戶不會因常見的漏洞而遭受損失，例如緩沖區溢出和權限漏洞。
作為安全審計的一環，像Coverity和Klocwork這樣的代碼執行路徑分析工具將會成為開發周期中不可缺少的工具，這樣可以盡量保證在發布前發現缺陷并進行改正。提供此類源代碼分析工具的企業將會成為安全行業大家庭的一員。

另外，這方面的需求還將迫使Flawfinder和Splint這樣的開源代碼分析工具進一步演化，從而為獨立開發人員提供可用的代碼分析工具。在某些地方的司法當局，將會強制要求銷售此類產品的供應商證明自己采用了此類工具作為安全措施。一系列新的或擴展的行業認證計劃將會包括這一部分內容。

在相關的報道中企業用戶可以看到，美國加州制定了一項含義模糊的、關于可審計性的法案—參議院AB2415號法案。該法案要求：任何在2007年10月1日以后生產的，針對低于50個客戶端銷售的無線訪問設備（如WiFi路由器或無線防火墻），必須以軟件和硬拷貝的形式給出警告，告誡用戶“其無線網絡連接可能會被非授權用戶使用”以及如何防止。

當然，這樣做的表面動機是保護用戶，防止非授權用戶利用追蹤企業的網絡連接傳輸違法的內容而對企業帶來可能的傷害。但更深一層的原因可能是為了在出現盜用事件時幫助供應商避免責任。

但最有趣的是這一法案可能為下面的案例劃上一個句號。同樣發生在美國，在最近Virgin起訴Marson的案子中，美國唱片工業協會（RIAA）起訴Marson女士進行了非法文件共享。這個案子以帶有傳奇色彩的否認性辯護而成功使RIAA撤訴。正如Marson女士的辯護律師Ray Beckerman在其博客中所說，RIAA撤訴是因為面臨這樣一個無法取證的事實：“RIAA所指控的非法文件共享行為可能是任何其他能夠訪問Marson女士的無線網絡連接或其計算機的人干的（而事實上未啟用安全功能的無線網絡確實有可能被其他人訪問和使用）。”

對RIAA來說，它可以花費巨額代價了解到IP地址并不能直接與個人對應后，又聯合發起一項新的運動，旨在加快IPv6的采用。同時試圖游說將NAT（網絡地址轉換）定為危險行為并加以禁止。顯然，目前情況下這是不可能做到的，除非基于數據的安全審計已經部署。

◆在中國，基本的數據安全審計已經引起重視。
◆ 三分之一的中國大型企業已經部署或者正在考慮部署類似的審計系統。
◆ 凡涉及審計的內容，不僅意味著花費的提高，同時代表了制度甚至流程上的變化。
◆ 中國企業需要注意，對安全的妥協，往往夾雜著很多業務與利益的角逐。