数据安全审计是当前安全技术一大看点(1)

根据IDC今年一季度的全球安全分析报告，数据安全审计、SSL可信部署、虚拟化安全架构，以及多因子认证的大规模应用，将成为当前安全界的技术看点。随着新技术在这些领域中的出现，记者特别邀请到业内专家加以分析，同时分成上下两篇，并结合网站专题共同探讨。
看点一：数据安全审计
事实上，从当初的萨班斯法案诞生之日起，为数不少的安全公司就已经预测到了这一天：数据安全审计将成为企业无法回避的问题。只要是正规的企业，都无法回避自身的数据安全问题。当然，上市公司就更加需要重视。事实上，这里所说的数据安全审计，不仅包括了数据源的安全，而且也涵盖了审计方法与企业IT流程的结合。
另外，不少大企业多年运营的经验表明，必须有相应的处罚措施才能保证合法操作。因此，目前有一种倾向就是将严格的管理延伸到中等规模的企业。让咨询师、审计人员以及检查人员感到沮丧的是，小型企业可能无法忍受合法审计过程所带来的复杂性和成本。
在现行法律和管理环境所影响到的所有业务领域中，许多人都认为对于IT行业的影响是最容易管理的，因为IT行业采用的主要是现有技术，包括用于数据存储和传输的加密方法和标准，切实可行的密码和认证策略以及平台，还有预防恶意软件及系统完整性保护的可行方法。要与这一描述保持一致，审计追踪性要求将会被分解，而负担主要落在IT硬件和软件供应商身上。
在美国，现在已经有这样的先例，用户起诉产品供应商，因为其产品有可被利用的漏洞和缺陷。因此供应商发现，不得不对源代码进行更全面的测试，从而保证用户不会因常见的漏洞而遭受损失，例如缓冲区溢出和权限漏洞。
作为安全审计的一环，像Coverity和Klocwork这样的代码执行路径分析工具将会成为开发周期中不可缺少的工具，这样可以尽量保证在发布前发现缺陷并进行改正。提供此类源代码分析工具的企业将会成为安全行业大家庭的一员。
另外，这方面的需求还将迫使Flawfinder和Splint这样的开源代码分析工具进一步演化，从而为独立开发人员提供可用的代码分析工具。在某些地方的司法当局，将会强制要求销售此类产品的供应商证明自己采用了此类工具作为安全措施。一系列新的或扩展的行业认证计划将会包括这一部分内容。
在相关的报道中企业用户可以看到，美国加州制定了一项含义模糊的、关于可审计性的法案—参议院AB2415号法案。该法案要求：任何在2007年10月1日以后生产的，针对低于50个客户端销售的无线访问设备（如WiFi路由器或无线防火墙），必须以软件和硬拷贝的形式给出警告，告诫用户“其无线网络连接可能会被非授权用户使用”以及如何防止。
当然，这样做的表面动机是保护用户，防止非授权用户利用追踪企业的网络连接传输违法的内容而对企业带来可能的伤害。但更深一层的原因可能是为了在出现盗用事件时帮助供应商避免责任。
但最有趣的是这一法案可能为下面的案例划上一个句号。同样发生在美国，在最近Virgin起诉Marson的案子中，美国唱片工业协会（RIAA）起诉Marson女士进行了非法文件共享。这个案子以带有传奇色彩的否认性辩护而成功使RIAA撤诉。正如Marson女士的辩护律师Ray Beckerman在其博客中所说，RIAA撤诉是因为面临这样一个无法取证的事实：“RIAA所指控的非法文件共享行为可能是任何其他能够访问Marson女士的无线网络连接或其计算机的人干的（而事实上未启用安全功能的无线网络确实有可能被其他人访问和使用）。”
对RIAA来说，它可以花费巨额代价了解到IP地址并不能直接与个人对应后，又联合发起一项新的运动，旨在加快IPv6的采用。同时试图游说将NAT（网络地址转换）定为危险行为并加以禁止。显然，目前情况下这是不可能做到的，除非基于数据的安全审计已经部署。