专家：十大值得关注的IT安全趋势

上个月，在马来西亚的 Kuala Lumpur 召开了 Hack in the Box 安全大会。在这次大会的基调演讲中，Bruce Schneier 先生，著名的安全服务提供厂商 Counterpane Internet Security 公司的首席技术官员(CIO)，向我们大家介绍了今天我们值得关注的10大IT安全趋势。

Counterpane Internet Security 公司的CIO Bruce Schneier

1. 相对于过去，信息的价值正在日益凸现。

比如说，Amazon.com 依赖于信息，利用自己的点击购买系统来让书籍的交易变得更加的容易。同样相类似的，当互联网公司 Pets.com 倒闭后，公司的客户数据是“它们所拥有的唯一有价值的财产”。

在诸如用户的登录或验证等访问控制方面，以及在帮助追踪犯罪行为和收集证据的法律执行方面，信息同样拥有巨大的价值。

　　2. 网络从本质上讲是危险和脆弱的。

互联网并不是被故意设计成这种危险和脆弱的结构的。“它只是许多偶然和意外的产物。”Schneier 表示，但是这一情况并没有阻止更多的脆弱和危险的系统迁移到互联网之上。

互联网的诞生，使得公司们能够为帮助大众进行更加有效和便捷的交流与沟通，但是在这其中蕴含着巨大的经济风险。他表示:“如果整个互联网瘫痪了，或是部分瘫痪了，这将会对经济造成真正的打击。”

3. 用户们并没有真正有效地控制好有关自己的信息。

比如说，互联网服务提供商们控制着用户访问网站的记录，以及他们发送和接受到的电子邮件信息。同样的，某些移动运营商在自己的服务器上保存着用户电话的通讯录的副本。

“这些关于你自己的信息中包含着极高的价值，” Schneier 表示。“但是你无法保证和控制这些信息的安全，即便这些信息可能是高度个人隐私的。”

4. 黑客已经日益成为了一种新兴的“犯罪职业”。

黑客不再仅仅是一种业余爱好了。越来越多的情况是，网络攻击是在受利益驱动的罪犯的组织和领导下实施的。Schneier 说:“网络攻击的性质已经改变，因为其目的和对手已经改变了。”

伴随着敲诈勒索的拒绝式网络服务攻击和网络钓鱼攻击，是犯罪性网络攻击的两个典型例子。此外，现在世界上还存在着专门的黑市，用于交易可以让攻击者渗透进企业IT系统的系统漏洞。

　　5. 复杂是你的敌人。

“如果系统越复杂，那么它就越不安全。”Schneier 表示，同时他还宣称互联网是“有史以来最复杂的系统”。

很显然，在安全技术方面的发展远远没有跟上互联网成长的步伐。Schneier 评价到:“安全性的确变的越来越好，但不幸的是，复杂性的演变速度要迅速的多。”

6. 网络攻击的速度要快过相关修复补丁的推出速度。

新的软件漏洞和弱点的被发现速度，要快过生产厂商修正这些错误的速度。并且在另一方面，那些根植在系统深处的漏洞，比如在思科系统公司的路由器中的漏洞，是无法修复的，这就让各大公司一直暴露在了遭受攻击的可能性之下。

7. 蠕虫病毒正在变得越来越狡猾。

它们已经整合了漏洞扫描工具，并扫描公共防火墙以发现漏洞，并且还使用Google的搜索引擎来进行智能聚合。“这种趋势显示了越来越多的蠕虫病毒具有了犯罪背景。”

8. 终端是最薄弱的环节。

Schneier 表示“如果远程电脑是不值得信任的话，无论你的认证体系和计划是多么的完美，这都是毫无意义的。”在很多案例中，在你公司之外的电脑的系统安全是最薄弱的一环。这些电脑更容易受到蠕虫病毒和间谍软件的侵袭，并为恶意的攻击者们提供可乘之机。

9. 最终用户被越来越看作是一种威胁。

越来越多的公司正倾向于开发用于对抗最终用户的软件，Schneier 表示，比如DRM(数字版权管理系统)就是最典型的一个例子。“我们看到，越来越多的安全技术并不是被用来保护用户免遭侵害的，而是用来对抗用户的。”

在至少一起案例当中，即著名的索尼公司背着消费者私下安装DRM软件的案例，这类软件对最终消费者的电脑造成了损害。Schneier 表示，“与这一问题相关的规则和章程的制定将会成为一个巨大的战场”，而参与这场大战的双方将是那些保护用户免遭侵害的PC软件和那些被设计用来对抗用户的PC软件。

10. 法律将会促进IT安全方面的审核。

事实上，我们并不缺乏限定公司应该怎样处理数据的法律。诸如 Sarbanes-Oxley 法案一类的法律将会成为在背后推动企业安全审核的关键驱动力。

责任编辑 赵毅 zhaoyi#51cto.com TEL:（010）68476636-8001