2006展望：安全为先

发布时间：2006年03月14日点击数： 作者：Larry Greenemeier 来源：信息周刊

【字体：小 大】 【收藏】 【打印文章】 【查看评论( 0 )】

摘要:

软件和系统安全将成为企业2006年的当务之急。  
 
   
许多美国企业在安全方面投入了大量资金。尽管对企业来说，保证公司安全并不能像技术投资那样能直接产生利润，但它仍然被视为高度优先性的任务之一。

面对层出不穷的恶意软件和黑客攻击，许多公司和软件供应商对2006年的预期仍然不太乐观。根据《InformationWeek》研究部对300名商业科技专业人士进行的2006年第一季度“展望/优先事务”调查，各家公司在2006年初都将安全工具、政策和程序升级排在了第三重要的位置，仅次于简化/优化业务流程和削减IT成本之后，并且排在了提高工人生产率及提高客户服务水平之前。

尽管如此，在受访者中只有62%的人将安全问题放在首要位置。这个百分比在以往6次“优先事务”调查中是最低的。在去年同期的调查中，受访者中有82%的人把它排在了首要位置，而在2004年第二季度，这个百分比更是空前高涨，达到了91%。

造成这一比例降低的原因之一，可能是由于一些公司刚刚完成了主要安全系统的升级。另一方面可能是因为，越来越多的公司从系统部署开始就将安全当作了软件和系统开发战略的一部分，而不是在配置好软件或系统之后，再添加安全技术。费雷斯特市场调研公司（Forrester）分析师保罗·史坦普（Paul Stamp）表示：“各公司的做法，正在从外加预防威胁技术，转变到从系统部署开始阶段就构建安全措施。”

供应商开始行动

很多软件供应商都在采用这样的方法来提高安全性能。目前，用户们已经习惯于从微软公司（Microsoft）和甲骨文公司（Oracle）等软件供应商的网站上定期下载补丁程序。与此同时，软件供应商们在今后一年中也将寻找其他供应商来提高产品的安全性能，使得软件在第一时间内就能恢复正常。

甲骨文公司不久前宣布，公司计划采用防御软件公司（Fortify Software Inc.）的源代码分析工具，来寻找其正在开发的软件（包括其应用程序服务器、协同套件、数据库服务器和身份管理软件）当中的潜在漏洞。“无论是我们发布补丁程序，还是客户打补丁，都要付出不菲的代价。”甲骨文公司首席安全官（CSO）玛丽·A·戴维森（Mary Ann Davidson）表示，“你要做的，就是最终避免这种情况的发生。”

戴维森表示，甲骨文公司之所以选择了防御软件公司的工具，是因为其他公司的产品无法分析该公司如此庞大规模的代码数据库。甲骨文公司的技术堆栈由3,000多万行代码组成，并且由于公司不断开发新版本软件，这个数字还在不断发生变化。

戴维森还表示，在这些分析工具中，精确性是一个大问题。她说：“误报警（False Positive）已成为我现在最头疼的问题。误报警比例过高的话，安全问题就会进一步恶化。你必须派专人来对付这些问题。”而甲骨文公司经过测试发现，防御软件公司的产品要比其他代码分析工具更加精确。

其实，代码分析工具并非新近出现的工具，但这些工具现在却被用来处理一些新类型的问题。早期的代码分析工具主要用于测试程序，以确保代码能够按照计划执行任务，这样用户就可获得供应商所要求的测试经验。而新近的技术，比如防御软件公司的工具，Agitar软件公司（Agitar Software）的Agitator、Parasoft的JTest和C++Test，以及Watchfire公司的AppScan等工具，则是在应用程序开发和测试阶段用来解决安全漏洞。“我们关注的并不是代码应该做什么，而是不应该做什么。”防御软件公司首席执行官（CEO）约翰·杰克（John Jack）这样表示。
对于软件供应商和那些自行开发定制化应用程序的公司来说，今年提高软件产品安全性能的另一种方法，就是将用户身份认证、数据加密和身份管理等安全功能，嵌入到软件中。

另外还有一些安全产品即将投放市场。今年2月，2factor公司推出“真实隐私管理”（Real Privacy Management）软件开发套件。公司采用这个套件，可以开发出一种持续运行、并能够执行相互认证和加密功能的应用程序。2factor公司表示，公司产品与安全套接层（SSL）加密的方式不一样，发送方和接收方在任何网络和设备上所进行的任何一次传输，它都会进行认证和加密。

真实身份

大体看来，加强用户身份认证也将成为今年的一个焦点。“自由联盟计划”（Liberty Alliance Project）新建的强力认证专家组（Strong Authentication Expert Group），
包括美国运通公司（American Express）、美国国防部（Defense Department）、惠普公司（HP）和英特尔公司（Intel）在内，正准备构建一个框架来帮助各家公司实施双重用户身份认证（这意味着同一位用户要接入网络，就需要提供两种独立的身份认证形式）。

这个框架将提供开放式的规范，使得硬件与软件令牌、智能卡和生物识别等多种身份认证技术，能够共同应用于网络中。这个框架的出台，是由于美国联邦金融机构检查委员会（Federal Financial Institutions Examination Council，一家政府标准机构）已经规定，金融服务公司今年年底之前，必须要为在线应用程序建立双重身份认证方法。

身份认证技术的下一步发展趋势，就是公司和顾客之间的相互身份认证，这就要求客户必须创建一个个人页面，以后每次登录公司Web应用程序时就可以使用这个页面。如果客户在没有输入特定个人信息的情况下，比如自己喜欢的短语或者宠物的一张数码照片等，转入一个登录页面时，他就会接到该页面可能不合法的警告。

开放认证组织（Open Authentication）是由55家技术和用户公司，包括Diversinet公司、PortWise公司和VeriSign公司等在内组成的联盟，他们在提交给一家国际标准组织的提案中就提倡了这种方法。目前，该联盟已经向互联网工程工作组（Internet Engineering Task Force，IETF）提交了一份草案，概括阐述了如何在Web应用程序当中创建相互身份认证的方法。

由于安全是风险与成本之间博弈的一项数字游戏，各家公司在2006年将尽力评估其IT环境的风险水平，并在安全技术和用户教育方面进行相应投资。与失去商业机遇，甚至数据丢失或被盗等更糟糕的情况相比，对网络和Web应用程序加以安全保护的成本，也许就是微不足道了。