安全标准仍空白
“黑客”惹祸的关键,安全标准缺失
在网站频繁遭到黑客攻击造成巨大损失的同时,业内有关人士指出,互联网安全标准的缺失才是黑客频繁惹祸的关键,由于缺失安全标准,造成了互联网安全方面存在一些灰色地带,而巨大的黑色产业链条的利益诱惑,又使得在一定程度上刺激黑客产业的发展,互联网各上、中、下游企业,没有形成统一的标准和规划,致使在安全方面无法形成合力,阻击黑客攻击。
“目前,在阻击黑客攻击方面存在巨大的安全隐患,产品标准缺失是主因。在软件方面,如杀毒软件测试就缺乏统一的国家标准,这带来了杀毒软件的误杀和其它的一些安全问题;通过CMS系统(网站内容管理系统)的安全漏洞攻击网站却是黑客最主要的攻击手段,但CMS同样也没有统一的国家标准和行业标准,往往一个CMS系统就有成百上千、甚至有数十万的网站在使用,一旦暴露安全漏洞,对我国的互联网安全将可能带来重大的影响!而目前,部分CMS系统提供商对安全问题不够重视或技术实力不够,导致其CMS产品中有许多漏洞,这也是安全隐患的原因之一。而在硬件服务器方面虽然有一份由国家标准化委员会发布的《服务器安全技术要求》,但在其它领域仍然是缺少标准,如防火墙目前还没有国家标准和行业标准,而厂商依据的是企业标准。”动易网络安全专家对记者说。
而在整个阻击网站黑客攻击的安全防范工作里,其难点还在于软件方面,对此问题,记者进一步向国内目前CMS领域市场占有率第一的动易网络的安全专家了解道,相比于杀毒软件现已得到了有关方面的重视,在CMS 领域,安全标准仍是一个很大的空白。由于标准缺失,用户无法判断哪个CMS产品是否安全,只能听从厂商的宣传,而任何一个厂商都会宣传自己的产品是安全的。所以从用户角度来说,不能只看厂商宣传有多少,而是要看他具体做了哪些工作,比如聘请安全厂商进行安全审计,到网上搜索一下漏洞记录,看有没有及时修复已经发现的漏洞,有能力的还可以自己查看源代码找一找漏洞,这样才能在标准的缺失下,真正选择到一款安全的系统,从而提高网站抵抗黑客攻击的能力。
另据记者了解,目前各CMS厂商依据的是企业标准进行检测,而动易公司则除了在研发过程中注重产品安全外,还特别地将安全审计工作外包给专业的安全厂商、组织进行负责,聘请外脑,以确保动易产品拥有出色的安全性。此外,动易产品还建立了极为严谨的产品安全维护及更新机制,与国内知名的各安全组织建立了长期合作,一旦发现最新产品漏洞,将在24小时内发布漏洞补丁并以短信方式通知所有客户,以确保客户网站安全,这不失为标准缺失下的为用户安全负责的一个最佳途径。
目前,网络安全与信息方面的标准工作已经启动,国内的安全标准组织主要有信息技术安全标准化技术委员会(CITS)以及中国通信标准化协会(CCSA)下辖的网络与信息安全技术工作委员会,但我国网络与信息安全的主要标准化组织CCSA相对而言比较年轻,研究工作才刚刚起步,未来的路还很漫长,还需要各厂商同心协力,相互合作。
网友评论