吴敏
在即将过去的2006年,信息安全事件的发生率确实已经有所下降,往年震动业界的安全事件也几乎没有发生。不过,在这种较为平静的表面之下,信息安全的攻击手段正变得更具有针对性,且安全形势也更为严峻。更为重要的是,这种危机四伏的气氛让用户们感到惴惴不安。
那么在2006年,哪些威胁给用户带来安全困境?哪些安全防护成为用户的关注焦点?哪些防护手段成为了业界的主流?为了解答这些问题,我们从2006年的信息安全领域精选了“十大主线”,借此理清信息安全2006年的发展脉络,并初步勾勒出信息安全产业变化的趋势。
1.用户信心指数持续下降
近日,美国《InfoWorld》的安全调查显示了一个令人担忧的情况,用户的信息安全信心指数正不断下滑——且这已是持续的第四年了。虽然有56%调查对象对其企业系统“比较自信”,在调查占据最大比例,但恶意软件和钓鱼式攻击的不断升级也足以让他们头疼不已。
如果说2005年是攻击者由好玩心重的年青黑客业余爱好者向更具犯罪思想的专业人员过渡的一年,那么2006年则显示出这种经过更好支援、更好训练培养出来的不法分子会带来多么致命的损害。他们的恶意软件更具倾向性也更鬼祟,能深入操作系统和应用程序中挖掘出保密信息。同时,越来越精密的钓鱼式攻击也将目标锁定在更小型的企业身上。
2.中航信事件凸显灾难恢复难题
10月10日13时28分,中航信离港系统主机发生故障,包括北京、上海、广州在内的众多机场的离港系统发生整体性瘫痪,多个航班被迫延误,在时隔50分钟之后,中航信离港系统恢复正常,各机场航班也相继恢复起降秩序。此类事件此前在民航、金融、铁道等行业也时有发生。
该事件凸显了我国灾难恢复中的难题。虽然国内各行业对信息安全建设正给予越来越多的重视,投入也呈现稳定增长趋势,但目前大部分单位还没有有效的灾难恢复策略,没有建立起统一的业务连续管理机制。而且,国内的灾难恢复工作还存在概念模糊、重复建设、过于简单、厂商方案不能满足需求等一系列问题。
3.等级保护遭遇落地难题
2006年年初,公安部出台了《信息安全等级保护办法(试行)》(以下简称《等级保护》),并选择了一些银行作为等级保护的试点单位,意图通过严重依赖信息化展开业务的银行试点,总结经验在全国范围内推广。但大多数银行的CIO或CSO都认为落实起来难度相当大,因此绝大多数商业银行还处在观望状态。
在一些专家看来,现在出台的《等级保护》只是一个红头文件,而且由于银监会、保监会、证监会、信监会、工商会共用一个文件,一个框架虽然可行但不实际,一旦跟行业的具体问题相结合,必然存在鸿沟。
4.移动平台成攻击目标
经济学人智库(EIU)公布的研究结果指出,目前许多企业在移动装置安全工作方面有严重缺陷。尽管全球有82% 的企业表示,他们观察到来自移动网络的病毒攻击损失远大于来自传统固网的病毒攻击,然而相较于81%的企业对笔记本电脑进行安全评测,只有 26%的企业能够真正评估智能手机的安全风险。
而对于个人用户来说,手机病毒也已经带来了重大危害,成为无线通信领域的重要安全威胁。不过,随着手机病毒的肆虐,不少手机杀毒厂商开始趁机崛起,而各种手机杀毒软件也在今年不断出现。
5. Rootkit威胁可能急剧恶化
对于Rootkit的关注其实源于2005年11月,当时一位独立研究人员披露在索尼-BMG CD上存在Rootkit工具。这是一种特殊类型的恶意软件,Rootkit的目的在于隐藏自己以及其他软件不被发现,所以用户无法检测到Rootkit,也几乎不可能删除它们,更不知道它们在做什么事情。
尽管今年渗透到电脑中的Rootkit数量还不多,但安全专家们对此极为关注。在他们看来,Rootkit问题会急剧恶化,因为使用间谍软件、广告软件和bot的不法分子把Rootkit作为工具箱当中的一个标准工具有其经济上的动力。
6.内容安全技术走红
今年7月15日,萨班斯法案正式生效,这意味着Nasdaq的全球上市公司不得不提前部署这些最新的信息安全技术,以迎接即将到来的法律遵从挑战。然而,多数人并不知道,中国在2006年3月1日生效的公安部颁发的82号文件,对中国的互联网组织提出了同样新的要求——必须利用信息安全技术留存组织的相关上网记录,以便用于调查取证。国际国内两部不同的法规虽然编制的目的不同,然而殊途同归,均要求组织采用最新的信息安全技术,这悄悄地刺激内容安全技术开始在中国市场走红。
7.UTM成厂商竞争重点
虽然早在2004年9月,IDC就首次提出了“统一威胁管理(UTM)”的概念,将防病毒、入侵检测和防火墙安全设备纳入其中。但在今年,几乎所有面对企业市场的安全厂商,乃至网络设备商,都相继推出了自己的UTM产品。可以说,众多安全技术的融合已经出现了具体的产品形态和市场。而据IDC预计,这类新型设备将成为未来信息安全领域的主流设备,并将于2008年占据信息安全市场的半壁江山。
8.流氓软件人人喊打
无论是雅虎和奇虎的口水战,还是MSN Messenger成了这些网络流氓的工具,都让流氓软件成为2006年的安全焦点之一。同时,随着Web2.0的演进,流氓软件业也在迅速跟进,并向“更高侵扰能力”攀升。不过,这也促使众多安全厂商推出相应的查杀流氓软件工具,甚至出现了专门针对流氓软件的公司。不过,“流氓软件”等网络威胁牵涉到各种不同群体的利益,目前还很难得到彻底解决。
9.风险评估步出迷茫期
2006年3月7日和3月18日,国务院信息化办公室连续在北京和昆明召开了“《关于开展信息安全风险评估的意见》宣贯会”。这是继2005年国信办在北京、上海、电子政务外网等8个单位进行了风险评估试点工作后,促进风险评估理论全面落地的重要行动。这意味着建设已进入国家信息安全保障体系的建设到了一个新的阶段——落实与实践阶段。
此举将有望对信息安全产业的发展起到积极作用,在对网络与信息系统安全的潜在威胁、薄弱环节、防护措施等进行分析评估后,相关安全产品、解决方案的需求量在增大的同时,将会更切实贴近用户需求。
10.物理安全与信息安全融合渐成趋势
在2006年,企业的物理安全和IT安全开始出现了融合趋势。其中,一些与物理安全相关的大厂商,如ADT、Diebold、霍尼韦尔和Stanley Works等,开始与客户一起研究访问控制系统、生物特征识别技术和IP网络视频等——这些技术要求既了解安全环境,又了解物理安全环境。同时,用户方面也出现了类似需求,一些大型跨国公司的安全主管在今年明确表示,在采用诸如IP网络视频之类的技术时,希望只与一家厂商而不是与多家厂商打交道。这种融合将在厂商和CSO中引发巨大的变数。
网友评论