追求更高的安全性:2007年安全行业发展展望

　　2007年令人震惊的IT安全预测：在体验过Vista系统全新的并且有效的安全措施（如用户帐户控制和PatchGuard）之后，用户不停地抱怨“微软的系统过于‘安全’了”。史蒂夫?鲍尔默回答：“唉，这不是你们一切要求的么？”，但不久之后又不得不做出让步，于是微软发布了Vista Service Pack1，推出了“Windows 95安全仿真”模式。

　　夸张归夸张，现在让我们回到现实中来：IT供应商多年来一直面临困难的选择：允许无限制地访问和使用所有功能会面临安全风险，而加强安全性又必须以牺牲可用性为代价。通常人们只能在“拥有无限权限的超级用户模式”以及“最高安全级别模式”之间寻找平衡点。不幸的是，准确定位平衡点是非常困难的，最好的情况是IT供应商提供自由的功能选项，而将配置工作留给IT人员和安全管理员。有人认为这样做是不够的，应当在缺省情况下就使用最严格的安全策略，尽管这种建议的初衷是好的，但提供这种观点的人可能确实不太熟悉IT支持工作费力不讨好的特点；另一些人则认为IT太复杂了，而用户教育和培训也没有太大用处，计算机应当变得像家电一样容易使用。尽管这听起来不错，但却太理想化了，而且忽略了这样的事实，即家电产品都是专用的、功能固定的系统，而计算机的价值恰恰在于其开放式应用所具有的灵活性以及由此带来的潜力。

　　尽管缺乏普遍的共识，但IT行业仍然在坚定不移地追求更高的安全性，特别是在安全强度以及可用性方面。下面是对2007年安全行业发展的一些预测：

? 针对数据安全的可审计性要求将会逐渐普及

　　大企业多年运营的经验表明，必须有相应的处罚措施才能保证合法操作。因此目前有一种倾向就是将严格的管理延伸到中等规模的企业。让咨询师、审计人员以及检查人员感到沮丧的是，小型企业可能无法忍受合法审计过程所带来的复杂性和成本。在现行法律和管理环境所影响到的所有业务领域中，许多人都认为对于IT行业的影响是最容易管理的，因为IT行业采用的主要是现有技术，包括用于数据存储和传输的加密方法和标准，切实可行的密码和认证策略以及平台，以及预防恶意软件和系统完整性保护的可行方法。要与这一描述保持一致，审计追踪性要求将会被分解，而负担主要落在IT硬件和软件供应商身上。

　　现在已经有这样的先例，用户起诉产品供应商，因为其产品有可被利用的漏洞和缺陷。因此供应商发现，不得不对源代码进行更全面的测试，从而保证用户不会因常见的漏洞而遭受损失，例如缓冲区溢出和权限漏洞。像Coverity和Klocwork这样的代码执行路径分析工具将会成为开发周期中不可缺少的工具，这样可以保证尽量在发布前发现缺陷并进行改正。提供此类源代码分析工具的企业将会成为安全行业大家庭的一员。这方面的需求还将迫使Flawfinder 和 Splint这样的开源代码分析工具进一步演化，从而为独立开发人员提供可用的代码分析工具。某些地方的司法当局将会强制要求销售此类产品的供应商证明自己采用了此类工具作为安全措施。一系列新的或扩展的行业认证计划将会包括这一部分内容。

　　在相关的报道中我们看到，今年8月，California州制定了一项含义模糊的关于可审计性的法案：参议院AB 2415号法案。该法案要求任何在2007年10月1日以后生产的针对50个或更少量用户系统销售的无线访问设备（如WiFi路由器或无线防火墙）必须明确以软件和硬拷贝的形式给出警告，告诫用户“其无线网络连接可能会被非授权用户使用”以及如何防止。当然，这样做的表面动机是保护消费者，防止非授权用户利用追踪消费者的网络连接传输违法的内容而对消费者带来可能的伤害。但更深一层的原因可能是为了在出现盗用事件时帮助供应商避免责任。但最有趣的是这一法案可能为下面的案例划上一个句号。在最近Virgin起诉Marson的案子中，美国唱片工业协会（RIAA）起诉Marson女士进行了非法文件共享。这个案子以带有传奇色彩的否认性辩护而成功使RIAA撤诉。正如Marson女士的辩护律师Ray Beckerman在其博客中所说，RIAA撤诉是因为面临这样一个无法取证的事实，“RIAA所指控的非法文件共享行为可能是任何其它能够访问Marson女士的因特网连接或其计算机的人干的（而事实上未启用安全功能的无线网络确实有可能被其它人访问和使用）。”

　　（有利的预测：不屈不挠的RIAA、 MPAA、IFPI和MPA在花费巨额代价了解到IP地址并不能直接与个人对应后，又联合发起了一项新的运动，旨在加快IPv6的采用，同时试图游说将NAT（网络地址转换）定为危险行为并加以禁止。）

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有