許多美國(guó)企業(yè)在安全方面投入了大量資金����。盡管對(duì)企業(yè)來(lái)說(shuō),保證公司安全并不能像技術(shù)投資那樣能直接產(chǎn)生利潤(rùn)�����,但它仍然被視為高度優(yōu)先性的任務(wù)之一���。
面對(duì)層出不窮的惡意軟件和黑客攻擊�����,許多公司和軟件供應(yīng)商對(duì)2006年的預(yù)期仍然不太樂(lè)觀。根據(jù)《InformationWeek》研究部對(duì)300名商業(yè)科技專業(yè)人士進(jìn)行的2006年第一季度“展望/優(yōu)先事務(wù)”調(diào)查�����,各家公司在2006年初都將安全工具���、政策和程序升級(jí)排在了第三重要的位置��,僅次于簡(jiǎn)化/優(yōu)化業(yè)務(wù)流程和削減IT成本之后����,并且排在了提高工人生產(chǎn)率及提高客戶服務(wù)水平之前。
盡管如此�,在受訪者中只有62%的人將安全問(wèn)題放在首要位置。這個(gè)百分比在以往6次“優(yōu)先事務(wù)”調(diào)查中是最低的�����。在去年同期的調(diào)查中�,受訪者中有82%的人把它排在了首要位置,而在2004年第二季度�,這個(gè)百分比更是空前高漲,達(dá)到了91%����。
造成這一比例降低的原因之一,可能是由于一些公司剛剛完成了主要安全系統(tǒng)的升級(jí)�����。另一方面可能是因?yàn)?�,越?lái)越多的公司從系統(tǒng)部署開(kāi)始就將安全當(dāng)作了軟件和系統(tǒng)開(kāi)發(fā)戰(zhàn)略的一部分���,而不是在配置好軟件或系統(tǒng)之后��,再添加安全技術(shù)���。費(fèi)雷斯特市場(chǎng)調(diào)研公司(Forrester)分析師保羅·史坦普(Paul Stamp)表示:“各公司的做法���,正在從外加預(yù)防威脅技術(shù),轉(zhuǎn)變到從系統(tǒng)部署開(kāi)始階段就構(gòu)建安全措施�。”
供應(yīng)商開(kāi)始行動(dòng)
很多軟件供應(yīng)商都在采用這樣的方法來(lái)提高安全性能�。目前,用戶們已經(jīng)習(xí)慣于從微軟公司(Microsoft)和甲骨文公司(Oracle)等軟件供應(yīng)商的網(wǎng)站上定期下載補(bǔ)丁程序����。與此同時(shí),軟件供應(yīng)商們?cè)诮窈笠荒曛幸矊ふ移渌?yīng)商來(lái)提高產(chǎn)品的安全性能�,使得軟件在第一時(shí)間內(nèi)就能恢復(fù)正常。
甲骨文公司不久前宣布�����,公司計(jì)劃采用防御軟件公司(Fortify Software Inc.)的源代碼分析工具��,來(lái)尋找其正在開(kāi)發(fā)的軟件(包括其應(yīng)用程序服務(wù)器�、協(xié)同套件����、數(shù)據(jù)庫(kù)服務(wù)器和身份管理軟件)當(dāng)中的潛在漏洞���。“無(wú)論是我們發(fā)布補(bǔ)丁程序����,還是客戶打補(bǔ)丁,都要付出不菲的代價(jià)����。”甲骨文公司首席安全官(CSO)瑪麗·A·戴維森(Mary Ann Davidson)表示�,“你要做的,就是最終避免這種情況的發(fā)生��?����!?/FONT>
戴維森表示��,甲骨文公司之所以選擇了防御軟件公司的工具�,是因?yàn)槠渌镜漠a(chǎn)品無(wú)法分析該公司如此龐大規(guī)模的代碼數(shù)據(jù)庫(kù)。甲骨文公司的技術(shù)堆棧由3,000多萬(wàn)行代碼組成��,并且由于公司不斷開(kāi)發(fā)新版本軟件�,這個(gè)數(shù)字還在不斷發(fā)生變化����。
戴維森還表示���,在這些分析工具中�����,精確性是一個(gè)大問(wèn)題����。她說(shuō):“誤報(bào)警(False Positive)已成為我現(xiàn)在最頭疼的問(wèn)題����。誤報(bào)警比例過(guò)高的話,安全問(wèn)題就會(huì)進(jìn)一步惡化���。你必須派專人來(lái)對(duì)付這些問(wèn)題�?!倍坠俏墓窘?jīng)過(guò)測(cè)試發(fā)現(xiàn)�,防御軟件公司的產(chǎn)品要比其他代碼分析工具更加精確。
其實(shí)��,代碼分析工具并非新近出現(xiàn)的工具,但這些工具現(xiàn)在卻被用來(lái)處理一些新類型的問(wèn)題��。早期的代碼分析工具主要用于測(cè)試程序��,以確保代碼能夠按照計(jì)劃執(zhí)行任務(wù)����,這樣用戶就可獲得供應(yīng)商所要求的測(cè)試經(jīng)驗(yàn)。而新近的技術(shù)����,比如防御軟件公司的工具,Agitar軟件公司(Agitar Software)的Agitator�����、Parasoft的JTest和C++Test��,以及Watchfire公司的AppScan等工具�����,則是在應(yīng)用程序開(kāi)發(fā)和測(cè)試階段用來(lái)解決安全漏洞���?!拔覀冴P(guān)注的并不是代碼應(yīng)該做什么,而是不應(yīng)該做什么����。”防御軟件公司首席執(zhí)行官(CEO)約翰·杰克(John Jack)這樣表示�。
對(duì)于軟件供應(yīng)商和那些自行開(kāi)發(fā)定制化應(yīng)用程序的公司來(lái)說(shuō),今年提高軟件產(chǎn)品安全性能的另一種方法����,就是將用戶身份認(rèn)證、數(shù)據(jù)加密和身份管理等安全功能����,嵌入到軟件中。
另外還有一些安全產(chǎn)品即將投放市場(chǎng)�。今年2月,2factor公司推出“真實(shí)隱私管理”(Real Privacy Management)軟件開(kāi)發(fā)套件����。公司采用這個(gè)套件,可以開(kāi)發(fā)出一種持續(xù)運(yùn)行��、并能夠執(zhí)行相互認(rèn)證和加密功能的應(yīng)用程序���。2factor公司表示�,公司產(chǎn)品與安全套接層(SSL)加密的方式不一樣����,發(fā)送方和接收方在任何網(wǎng)絡(luò)和設(shè)備上所進(jìn)行的任何一次傳輸,它都會(huì)進(jìn)行認(rèn)證和加密����。
真實(shí)身份
大體看來(lái),加強(qiáng)用戶身份認(rèn)證也將成為今年的一個(gè)焦點(diǎn)����。“自由聯(lián)盟計(jì)劃”(Liberty Alliance Project)新建的強(qiáng)力認(rèn)證專家組(Strong Authentication Expert Group)�����,包括美國(guó)運(yùn)通公司(American Express)����、美國(guó)國(guó)防部(Defense Department)、惠普公司(HP)和英特爾公司(Intel)在內(nèi)��,正準(zhǔn)備構(gòu)建一個(gè)框架來(lái)幫助各家公司實(shí)施雙重用戶身份認(rèn)證(這意味著同一位用戶要接入網(wǎng)絡(luò)�����,就需要提供兩種獨(dú)立的身份認(rèn)證形式)。
這個(gè)框架將提供開(kāi)放式的規(guī)范�����,使得硬件與軟件令牌���、智能卡和生物識(shí)別等多種身份認(rèn)證技術(shù)�����,能夠共同應(yīng)用于網(wǎng)絡(luò)中��。這個(gè)框架的出臺(tái)�,是由于美國(guó)聯(lián)邦金融機(jī)構(gòu)檢查委員會(huì)(Federal Financial Institutions Examination Council���,一家政府標(biāo)準(zhǔn)機(jī)構(gòu))已經(jīng)規(guī)定�,金融服務(wù)公司今年年底之前��,必須要為在線應(yīng)用程序建立雙重身份認(rèn)證方法�。
身份認(rèn)證技術(shù)的下一步發(fā)展趨勢(shì),就是公司和顧客之間的相互身份認(rèn)證�,這就要求客戶必須創(chuàng)建一個(gè)個(gè)人頁(yè)面�,以后每次登錄公司W(wǎng)eb應(yīng)用程序時(shí)就可以使用這個(gè)頁(yè)面�����。如果客戶在沒(méi)有輸入特定個(gè)人信息的情況下��,比如自己喜歡的短語(yǔ)或者寵物的一張數(shù)碼照片等�,轉(zhuǎn)入一個(gè)登錄頁(yè)面時(shí)�,他就會(huì)接到該頁(yè)面可能不合法的警告。
開(kāi)放認(rèn)證組織(Open Authentication)是由55家技術(shù)和用戶公司��,包括Diversinet公司�、PortWise公司和VeriSign公司等在內(nèi)組成的聯(lián)盟,他們?cè)谔峤唤o一家國(guó)際標(biāo)準(zhǔn)組織的提案中就提倡了這種方法����。目前,該聯(lián)盟已經(jīng)向互聯(lián)網(wǎng)工程工作組(Internet Engineering Task Force���,IETF)提交了一份草案���,概括闡述了如何在Web應(yīng)用程序當(dāng)中創(chuàng)建相互身份認(rèn)證的方法。
由于安全是風(fēng)險(xiǎn)與成本之間博弈的一項(xiàng)數(shù)字游戲��,各家公司在2006年將盡力評(píng)估其IT環(huán)境的風(fēng)險(xiǎn)水平,并在安全技術(shù)和用戶教育方面進(jìn)行相應(yīng)投資�。與失去商業(yè)機(jī)遇,甚至數(shù)據(jù)丟失或被盜等更糟糕的情況相比�,對(duì)網(wǎng)絡(luò)和Web應(yīng)用程序加以安全保護(hù)的成本,也許就是微不足道了�。
