没有终点的竞赛

admin管理员组

文章数量:1585965

成长并演进是一切生态体系的本能，这是一个不可阻挡的车轮。当信息应用不断推进之时，现有的技术与产品的使命就是自我革新以迎接挑战。那么，未来的信息安全将是什么样的面貌呢

     在“***－防御－新***－新防御”的周而复始的循环中，***技术和网络安全技术一起在演进、完善。这个过程永远不会停止，这就是自然的规律。威胁与安全，也将在网络的世界里一路同行。 自然界中存在着各种各样、大大小小的生态系统，其中也包括我们今天所说的安全生态系统。既然是生态系统，就需要保持一个动态的平衡，否则，平衡被破坏了，生态系统也将随之消亡。

    平衡来自于系统中各种力量的此消彼长。就好像在人体内部的生态系统中，如果没有病毒的存在，人体的免疫能力就会下降，人类的体质就会下降，对整个人种的发展就会有不利影响。换句话说，病毒的存在是人类不断提高自己的免疫能力、不断强壮的动力。而病毒也在不断进化，变得越来越复杂。两个系统在不断的斗争中不断发展自己，两个系统也都变得越来越强壮。

    网络世界中的安全***俨然就是人体免疫系统和病毒斗争的翻版。网络的漏洞成为***滋生的土壤，***的***使网络发展出安全保护机制。不断翻新的***手段，带来了安全技术的快速多元化发展，使网络更加强壮。

    不断更新的防御体系，又迫使***去寻觅网络中新的弱点，或者开发新的***技术。在“***－防御－新***－新防御”的周而复始的循环中，***技术和网络安全技术一起在演进、完善。这个过程永远不会停止，这就是自然的规律。威胁与安全，也将在网络的世界里一路同行。

威胁快速切换 防御及时跟进

    病毒、灰色软件、垃圾邮件和网络钓鱼齐上阵，而且变化迅速，让安全形势依然严峻。而安全技术的应变之道是构筑多层次防御体系，立体化防范网络威胁。另外，加强用户的安全防范意识也会让网络变得更加安全。

威胁之一：病毒

    纵观网络安全的发展历史，有一条主线始终贯穿其中，那就是病毒和防病毒技术的反复较量。

    有意思的是，在第一部商用电脑出现之前，电脑的先驱者冯·诺伊曼已经勾勒出病毒程序的蓝图。不过在当时，绝大部分的电脑专家都无法想象会有这种能自我繁殖的程序。第一个真正的电脑病毒在1987年诞生，随着DOS操作系统和Windows操作系统的相继出现，病毒也如影随形。Internet在引发了信息革命的同时，也给了病毒一个再攀高峰的机会。1988年，第一个蠕虫病毒在Internet上出现，从此开始了蠕虫病毒的统治时代。1999年，第一个具有全球破坏力的病毒美丽莎（Melissa）造成近4亿美元的损失，红色代码（CodeRed）病毒带来的损失高达26亿美元，尼姆达（Nimda）病毒造成的损失是10亿美元。之后还有SQL Slammer病毒、Sassar病毒，直到狙击波（Zotob）病毒。这些病毒的共同特点是利用了Windows系统的漏洞，不同之处在于它们留给企业的防御时间越来越短。从漏洞公布到病毒爆发，Nimda用了336天，而狙击波只用了4天。



    在和新的蠕虫病毒的较量中，防病毒软件总是处于下风，因为签名识别技术只能在病毒出现后才能收集样本，而此时病毒已经造成了损失。基于行为识别技术来防范未知病毒是防病毒软件追求的目标，但道路并不平坦， 趋势科技资深技术专家齐军就认为，防病毒软件在接下来的2～4年内仍将会走签名识别技术和行为识别技术并用的模式。但这个时间未免有些过长，希望在今年，基于行为识别技术的商业化产品能够出现，来遏制一下病毒的嚣张气焰。

威胁之二：灰色软件

    回顾2005年，间谍软件的增长势头最为迅猛。与2004年相比，间谍软件呈现出商业化、集团化的特点，其制造者的目的性更强，他们已经成为一个个被利益所驱使的团伙。间谍软件以窃取用户机密文件和个人隐私为目的，并借此寻求经济利益。

    另外，以商业宣传为目的的广告软件也严重干扰了人们的日常工作，并且成为了病毒、网络钓鱼的载体。

    包括间谍软件、广告软件等软件在内的灰色软件已经超越传统病毒，成为互联网安全最大的威胁，有数据显示，灰色软件感染率由2004年的30%激增到2005年的90%。



    鉴于灰色软件的猖獗，不管是硬件厂商还是软件厂商，都在自己的产品中添加了反灰色软件的功能，这在很大程度上遏制了此类软件的泛滥。
威胁之三：垃圾邮件

   由于经济利益的驱动，垃圾邮件屡禁不止。垃圾邮件早已成为全球公害，并且仍是主流的网络威胁之一。目前，中国已经成为垃圾邮件的重灾区和受害国。在2005年，从中国发出的垃圾邮件数量排名第三。根据互联网协会的不完全调查，近一两年来，中国网民平均每周收到的垃圾邮件近20件，垃圾邮件的数量占总邮件的60%左右。垃圾邮件不仅浪费宝贵的网络带宽，还严重影响了企业员工的工作效率，收件人不得不浪费大量的时间和精力去处理垃圾邮件。

         我国政府正在加大力度打击垃圾邮件，并加入了相关的国际组织。除了国家间的合作，公司之间的技术合作也非常重要。正是由于缺乏一种能够有效打击垃圾邮件的标准化技术，垃圾邮件才如此泛滥。像雅虎、 思科、EarthLink、VeriSign等公司已就反垃圾邮件统一技术达成了一致，将Domain Keys Identified Mail（DKIM）标准推荐给IETF组织。DKIM基于公用密钥，是一种附带于邮件的数码签名，这样邮件接收者就可以确认信息的来源。

威胁之四：网络钓鱼

    2005年，垃圾邮件依然泛滥，由此引发的网络钓鱼现象也愈演愈烈。2005年末，钓鱼式***的数量又创下了新高。网络钓鱼比较典型的做法是通过发送垃圾邮件，采用欺骗方式诱使用户访问一个伪造的钓鱼网站，这种网站通常会做的与电子银行或者电子商务等网站一模一样，某些粗心的用户往往就会不辨真假，下载***程序或者填写个人的登陆账号和密码，从而导致个人财产失窃。

    传统网络钓鱼URL的存活时间大约只有48-52个小时，这是因为包含网络钓鱼URL的电子邮件在这段时间之内就会被举报为恶意电子邮件。网络钓客会不断关闭陷阱并转换另一个供应者，以免被盯上。不过以监控数据传输取代伪装页面的“间谍式网络钓鱼”将延长网络钓鱼的生命周期。这种***手法结合了网络钓鱼圈套与网站嫁接***，并且锁定线上银行、金融机构、以及其他必须使用密码的网站作为对象。进行间谍程序网络钓鱼***时，作者会利用电子邮件中夹带一个特洛伊***程序，或是一个可下载特洛伊***程序的链接。一旦恶意程序下载并执行之后，无论是通过手动的方式或是利用安全弱点，恶意程序就会监控网络传输的信息，侦测使用者是否通过网络存取特定网页。当使用者要登录银行网页时，间谍程序网络钓鱼会开启真实的网页。使用者输入个人信息之后，就会立刻进入他们所要前往的网站，而不会有任何中断，因此根本没有不寻常的征兆可警告他们可能有问题发生。唯一的差别是使用者的所有登录信息或机密资料同时也会被转送给第三方，而这个第三方就能利用这些信息来进行不法活动。

    无论安全技术如何演化，都不能100％的保证产品安全。因此，计算机使用者在面对恶意程序时所采取的行动就十分重要。多数情况下，使用者必须要采取某些操作才会导致机器受到感染。使用者的认知是维持网络安全无忧的一个关键环节，网络管理员应该定期举办一些教育活动，让使用者随时获得最新信息，避免受到新的恶意程序技术的***。这一点对于较新的使用者十分重要，因为它们是恶意程序作者典型的***目标。

多层次防御

    安全威胁向复杂化、多元化演进的趋势让单一的安全产品无法很好地防御众多的威胁，因此，市场上出现了很多有针对性的产品，通过对这些产品的有机组合，企业网络可以得到更好地保护。

    IM、IRC和P2P安全威胁正在持续增长，它们是散播僵尸程序或与僵尸网络操控者联系时常用的工具。2005年，与IM、IRC、P2P通信有关的安全威胁在整体安全威胁散播媒介中占了16%，IM蠕虫增长幅度在2005年12月更达100％。通过正确的设置，企业防火墙可以阻止IM、IRC与P2P通信协议进入企业网络。

    防垃圾邮件网关产品，可以在垃圾邮件到达邮件服务器之前就进行高效的过滤。这类产品的识别准确率已经达到了90％以上。内容过滤产品，可以扫描进出网络的http流量，阻止恶意威胁进入网络，或者阻断由内向外的非法访问。

    在网络中部署安全弱点扫描软件，随时保持扫描软件更新，可让对网络安全弱点的冲击降至最低，同时降低被此类蠕虫感染的风险。而IPS能够抵御已知***、零日***（未知）、DoS***以及间谍软件的***，实现了主动防御。防病毒软件更是转型为全面捍卫互联网安全的工具，增加防范各种网络威胁的功能，并逐步提高主动防护的能力。

    这些产品的技术都已经比较成熟，在近期的演进过程中，我们可能看不到它们会产生“基因突变”。那么谁会快速进化呢？答案是UTM设备。UTM设备体现了集中化管理的思想，它通常是从防火墙或者IPS演进而来，通过增加功能从而集防火墙、×××、防病毒、防垃圾邮件、***防御、内容过滤等功能于一身，在网关处阻挡多种网络威胁，并简化用户的管理，节省用户的安全投资。虽然UTM设备是“多面手”，但这也恰恰是它的致命伤。由于芯片性能和产品架构的限制，在同时开启UTM设备的多个功能时，其运行速度往往让用户无法忍受，这样的表现与其设计初衷相去甚远。

    既然这样的UTM设备不能满足市场的需要，那么UTM的进化就成为必然。根据记者了解的情况，在2006年末到2007年上半年，UTM设备将发生质的变化，全新设计的硬件架构将使UTM的性能有10倍以上的提升。到那时，再提到这种全新架构的UTM时，人们将忘记它是从防火墙还是从IPS演进而来的这个话题。

保卫终端

    通常，说起安全防御，我们会想到防御来自外部的***。但越来越多的数据表明，内部***造成的后果同样严重。由此，终端安全开始受到重视，并形成了一个新的演进方向。

    计算机终端拥有广泛的用户群。无论是企业级用户还是个人用户，绝大多数人都直接使用计算机终端（PC或笔记本电脑）进行办公、业务处理、个人事务处理、上网等。对终端安全关注的人数更为广泛，影响的范围也更大。计算机终端作为信息存储、传输、应用处理的基础设施，其自身安全性涉及到系统安全、数据安全、网络安全等各个方面，任何一个节点都有可能影响整个网络的安全。而计算机终端广泛涉及每个计算机用户，由于其分散性、不被重视、安全手段缺乏等特点，已成为信息安全体系的薄弱环节。如果终端遭受病毒感染、蠕虫***和******，就很容易通过网络进行扩散，从而影响到网络中其他终端和业务系统的安全。因此，有越来越多的用户和厂商开始调整安全防护战略，将着眼点重新回归到计算机终端安全上来，这使得终端安全成为市场上的热门话题。

    传统的安全方案主要围绕网络实现，例如：在网络边界，采用防火墙对网络连接和访问的合法性进行控制；在网络传输上，采用***检测系统监视******和非法网络活动；在主机设备，采用主机加固措施加强主机防护能力等等。但当我们的视角必须关注到计算机终端本身的安全时，发现面向终端的安全保护和控制措施来的更直接，效果也更好。计算机防病毒系统防止系统和数据遭受破坏，应用也最为广泛；补丁管理弥补系统漏洞，防止蠕虫、******；终端访问控制防止网络***，避免***跳转***，防止网络资源滥用；资产管理可以让企业全面、及时掌握终端资产状况，便于管理；操作许可限制能够更好地通过技术控制贯彻IT制度的落实。

    终端安全就是网络安全的一个有机组成部分。以思科的网络准入控制（NAC）计划为例，它的目的是利用网络基础设施加强网络的安全性。利用NAC，用户可以检验终端设备（包括台式机、笔记本电脑、服务器和PDA等）的安全可靠性，例如是否安装了最新的杀毒软件。如果NAC发现了不安全的设备，就可以阻止这些设备进入网络，并将它们限制于部分网段，或者通过自动纠正流程使它们符合安全政策的要求。

    我们可以看出，NAC计划的目标虽然是保证网络安全，但它出发点却是终端，把确保终端安全作为保证网络安全的前提。NAC计划和终端安全厂商的产品形成了很好的互补关系。与此类似的还有趋势科技的网络防毒墙（NVW），NVW可以阻止不安全的终端访问互联网，直到终端打上补丁或者将防病毒软件升级到最新版本。

革命性技术的安全隐忧

    尽管人们总是担心VoIP会受到新型***的危害，但实际上，VoIP面临的最大威胁仍然是普通网络中的安全漏洞。

    VoIP是通信业历史上最具革新性的技术，它既是企业的金矿，也有可能成为***的乐园。Juniper高级系统工程师王卫表示，之所以目前建成的VoIP系统还没有遭遇大规模的网络***，很大程度上是因为VoIP本身尚未成熟，大量的非标准化和互操作性问题给***的***造成了很大的障碍。
但我们有理由相信，利益的驱使将让VoIP这块“净土”很快遭到***的大举***。赛门铁克中国区首席安全顾问田成说：“尽管从目前来看，赛门铁克全球监测网发现针对VoIP的***报告很少，但随着VoIP作为新的通信技术得到广泛认可和部署，***者将它作为集中***目标只是时间问题。”

    VoIP安全联盟（VoIP Security Alliance，VOIPSA）已经发布了一份名为“VoIP安全威胁分类法”的列表，并在其中详细列举了VoIP领域所面临的各种安全威胁。在VOIPSA定义的类别中，有一个类别被称为欺骗和欺诈。VOIPSA秘书长兼主席Jonathan Zar指出，***者可以伪造呼叫者的ID，让它看起来好像来自一个明确具体的来源，***者甚至还可以模仿某人的声音来从事欺诈活动。

    VoIP面临的其他威胁还包括，***者可以截获或监听呼叫，他们不仅能够了解通话的内容，而且也可以跟踪通话的双方到底是谁。VOIPSA还发现了多种类型的拒绝服务***，这些***可以导致网络瘫痪，无法使用，有些***则可能使移动用户设备上的电池永久失效。 

    尽管有些警告说VoIP易受新型***的危害，但是最大的威胁仍然是普通网络中的安全漏洞。David Endler是VoIP安全联盟的主席和3Com公司TippingPoint部门的安全研究主管，他说：“专家们知晓可能的针对VoIP协议的***，但是，实际上损害VoIP的是蠕虫、病毒和利用漏洞所带来的服务器宕机或网络拥塞。”

    他认为，对IP语音组件的分析是保持VoIP网络安全的关键。例如，一些IP专用小交换机是基于Windows的,所以Windows中的任何安全缺陷也都是语音网络中的安全缺陷。Endler说：“用户们也应该检查IP语音装置的管理平台。例如，有些用户使用不需认证的TFTP协议，所以***们可以收集本身可能有价值或可为进一步***提供信息的VoIP网络信息。”

    一些VoIP电话包括数据包捕捉功能，这种功能在为分析网络性能而进行的数据包追踪方面很有效。但是在不正当使用时，具有这种功能的网络电话可被用来嗅探网络以获取诸如口令之类的敏感通信流量。他说：“如果这些电话与网络集线器相连接，这尤其是个问题，它们可在这里查看所有通过的通信流量。”

    Endler表示，从逻辑上讲，在VoIP通信流量自己的虚拟局域网上对其进行分割可有助于其避开针对数据通信流量的***。

    为了保护VoIP网络，Endler建议：定期给装置打补丁以防御已知的威胁；更改所有装置上的默认口令；在安装时遵循厂商的装置保护检查清单的指导；使用***防护装置和VoIP感知防火墙保护IP专用小交换机。

病毒的新“触角”

   关于手机病毒的一个真实故事是：就在趋势科技和新浪网将要宣布在移动业务安全防护领域进行合作之前的几个小时，新浪方面有关负责人的手机中毒了，完全无法操作，只能送修。发生在身边的故事告诉我们：手机病毒不是天方夜谭，它离我们并不远。

    3G的到来将极大地推动智能手机的普及，很多网络上的应用将在手机上实现。到那时，智能手机的用户会比PC用户多得多，***既然能对PC用户发动病毒***、施展网络钓鱼之计以获取商业利益，当然也不会放过手机用户。这一迹象已初露端倪。

    行业分析师预测，移动设备将成为***和恶意软件编写者的下一个目标。2004年，第一个手机病毒 Caribe已经出现。虽然在2005年末，全世界仅有200多种手机病毒，其数量根本无法与流行于互联网上的超过16万种的病毒相提并论，但手机病毒却具有爆发性增长的潜质。自出现以来，手机恶意代码的增长速度几乎是PC恶意代码的10倍。2006年手机病毒的数量更是将增长2倍。

    当前的手机病毒可利用发送短信、彩信、电子邮件、浏览网站、下载铃声等方式进行传播，导致手机死机、关机、资料被删、向外发送垃圾邮件、拨打电话等，甚至还会损毁SIM卡、芯片等硬件。

    手机病毒的演进新趋势是：由最初的恶作剧，开始向盗取用户私密信息、获取经济利益等方面转变。2005 年11月，第一个尝试窃取手机信息的手机病毒SYMBOS_PBSTEAL.A出现，它会将窃取的信息传送到在一定距离内的其他所有移动装置。

    手机病毒是病毒发展的新分支，据Keegan & Co公司及摩根投资银行分析人士的估计，到2010年，全球手机安全软件市场产值将达到2.5亿美元。为了阻止在空中游荡的“幽灵”，防病毒厂商纷纷采取行动，赛门铁克公司在2005年秋天延长了与世界最大手机制造商诺基亚公司的合同，将在更多诺基亚手机上预装赛门铁克反病毒软件。在国内，趋势科技和新浪网在国内开创了安全厂商和SP运营商在移动业务安全防护领域合作的先河。双方将为智能手机、PDA等数字移动设备提供实时安全防护，以此保护手机用户不受恶意软件的侵害。



    手机安全软件不仅能够自动、实时扫描和监测现有的手机病毒，而且可针对BlueStab的***，提供专门的蓝牙过滤解决方案。病毒特征文件可以通过“空中”提供，与手机内置软件更新所用的方法一样。当新危险出现时，用户就可以及时进行更新。这种产品还集成了垃圾邮件过滤系统，提供短信息和WAP Push信息的多种过滤方式。过滤规则完全由用户设置，垃圾信息过滤后放入垃圾箱中，可避免误删有用信息。

圣何塞来风

    一年一度的RSA大会已经成为网络安全领域的最大盛会，因此，在RSA大会上所涌现出来的创新设想也指明了安全的未来走势。

身份管理受追捧

    RSA大会是各个安全厂商展示自己安全技术和产品的盛大舞台，各种各样的安全理念在这里荟萃，为全球安全界奉献了一顿“饕餮盛宴”。在众多的“美味”中，最令人瞩目、值得品味的就是身份管理。

    许多知名公司不约而同地在身份管理套件中添加了审计、遵从、单点登录等功能，用实际行动表明了他们对身份管理前途的看好。

     IBM推出的Tivoli快速身份管理软件主要针对中小型企业市场，能够帮助较小企业防止遭到内部***并阻止非法访问公司数据。 Oracle也推出了自己新的身份管理软件，新版的Oracle身份管理软件增强了提交能力，可帮助企业实施可持续的法规遵从政策及管理。新版Oracle身份管理软件对一些功能进行了升级，增强了可管理性和对异构环境的支持。 

    CA和 HP公司分别宣布对身份管理套件进行了深度整合，以便用户能够更容易地保护应用访问，并执行遵从性策略。CA 表示，SiteMinder和Single Sign-On这两种产品整合后，将允许用户利用单一用户名和口令一次登录和访问所有的资源。HP在RSA大会上展示了Select Identity 4.0版，该软件可实现自动操作变更和遵从管理。HP称，在增添、升级和撤销应用时，该软件会自动调整授权用户的访问权限。

    Forrester首席分析家Jonathan Penn认为，身份管理产品中出现的改进性整合是一个正确的趋势。他在最近的一份报道中写道：身份管理由一组相互分离，但又具有重叠和共同功能性要素的产品构成，这些要素包括：工作流、角色框架、自助服务界面、委托管理及目录。一些大型厂商正在寻求建立可通过共享这些服务实现整合的文档，以简化用户对这些服务的调用。

目标：开放的安全

    在RSA大会上，业界巨头的表态同样令人关注。思科和 Sun的观点不谋而合，思科首席执行官钱伯斯表示，思科相信开放标准是网络安全的必经之路。他认为，员工有时连接在有线网络上，有时连接在无线网络上，因此不应该对有线网络或无线网络进行不同的安全设计，安全必须是面向整个架构的。Sun首席执行官麦克利尼认为，解决安全问题的答案是开放的架构和共享代码。麦克利尼说：“安全不应只通过防火墙、IDS和病毒扫描进行，而要通过网络构架和基于其上的软件系统来实现。通过社区来开发基于开放标准的软件应用，将是可行的办法。” 

    作为 微软的首席软件架构师，盖茨展望了未来的安全，并把所有迫切需要做的事情分为四类：信任系统（trust ecosystem）、安全工程（engineering for security）、简易性（simplicity）和基础的安全平台（fundamentally secure platforms）。

    要确保安全问题不会成为IT产业发展的绊脚石，这是一个非常大的挑战。虽然我们还将要面对诸多严峻挑战，但我们正在走一条正确的演进之路。

转载于:https://blog.51cto/saidian/20456

本文标签： 终点