您的位置: 网界网 > 周报全文 > 正文

[周报全文]关注四大安全看点(下篇)

2007年04月04日 10:38:02 | 作者:Joe Levy | 来源:$page.getBroMedia() | 查看本文手机版

摘要:在上期的文章中,我们向读者介绍了“数据安全审计”与“SSL可信部署”的问题,

标签

【CNW.com.cn 专稿】在上期的文章中,我们向读者介绍了“数据安全审计”与“SSL可信部署”的问题,这对于国内企业的应用是有现实意义的。从全球范围看,国外企业界的安全热门,还有“虚拟化的安全架构”以及“多因子认证的大规模商用”。有安全专家表示,这两个领域将成为接下来一个时期内安全界的主要看点,而记者此次也就相关内容着重进行分析。

看点三:虚拟化成为新兴安全工具

虚拟化与安全的结合在2005年就曾提出过,不过从概念到技术,即便在美国也经历了两年多的时间。回到中国,这种新型的安全将会给企业带来更加深层的变化。

除了提高生产能力、可扩展性、节约空间和能源等经济因素以外,虚拟桌面还为用户提供了相对不易受系统崩溃影响的计算环境。

随着恶意软件感染的方式和途径越来越隐蔽,并且更加难以检测和清除,企业的IT人员也越来越多地选择采用虚拟机器映像的方式将机器迅速恢复到已知的正常状态,这样做就不必重新安装或映像整个PC或服务器。

从美国的应用看,AMDPacifica和英特尔的VT扩展技术为虚拟化技术提供了硬件优化支持。受此推动,安全软件供应商将会提供在更完善的超级监控和虚拟机器监控架构上运行的产品,从而在虚拟机器中提供相对不易崩溃的针对实时恶意软件的防御能力。

类似Altiris的软件虚拟解决方案,微软的SoftGridVista等针对遗留应用的UAC文件和注册表虚拟化所提供的虚拟运行层会变得更为普遍,这样程序就可以安装在虚拟机器中而不会为主机带来风险。带有强认证和可靠的连续数据保护(备份)解决方案的大容量集成存储将用于虚拟映像库的存储和安全。

正像代码分析软件被做为安全工具一样,虚拟开发环境(VDE)也会变成开发周期中的一部分。

企业用户需要注意的是,即将流行的虚拟机器平台将提供完全的安全记录与回放能力,为运行过程中任意点存储器和处理器状态的分析提供一个时间状态机。换句话说,企业用户在VDE环境中进行开发,可使遇到的所有软件缺陷都可以复制和检查,从而大大缩短定位和纠正问题所需要的时间,同时大幅提高整体产品可靠性。

回到中国,基于虚拟化的计算环境一直没有得到普及。这也许与国内企业的发展过程与IT应用理念有关。曾有金融机构的IT人员透露说,对于虚拟化,企业对其的成熟、可靠性还需要验证。

不过有趣的是,基于虚拟化的安全看来是一个不错的方案,至少在设想上是这样。因为基于虚拟系统采取的安全措施与应用开发,毕竟会大大降低企业运行中不可预测的风险,有利于企业自身的发展。当然,作为热点确实有看头,但落实到普及还需要时间。

看点四:多因子认证进入大规模商用

多因子认证作为安全认证方式的一种,在经历了漫长的准备阶段以后,终于迎来了大规模商用的时机。事实上,国内外用户对此均相当关注。

众多国内外用户的经验表明,采用多因子认证体系中的双因子认证技术可以降低不必要的安全风险,而且其本身具备经济与部署简单的优势。

双因子认证(2FA)是指结合密码以及实物(信用卡、SMS手机、令牌或指纹等生物标志)两种条件对用户进行认证的方法。这种方法已经为企业所采用,特别是在远程访问时,但在其他领域应用还很有限。

双因子认证的推广之所以受阻,主要在于其需要使用额外的工具并且为IT和技术支持人员带来负担。其批评者指出,这种方法也容易遭受攻击,即在非常小的时间窗口内,易受到中间人攻击(这也是采用严格SSL处理的更多原因)。

除了这些障碍以外,越来越多的企业用户已经开始认识到,不采用双因子认证所带来的隐性成本远比采用双因子认证所需要的成本高得多。

从美国的例子分析:由于受到欧洲银行业的影响,以及欺诈行为带来的成本不断增加,美国金融机构将加快采用双因子认证的步伐,这一行动将会促使消费者更快地习惯这一方法。为减轻必须携带专用双因子令牌设备所带来的阻力,可以利用现在无处不在的移动计算平台(如支持Java的手机或通过短信息服务传递的一次性口令)作为双因子客户平台。

同时,就像欺诈带来的成本促使银行业采用双因子认证一样,这也是电子商务企业采用双因子认证的主要动力,电子支付行业团体,如PCIAPACS已经开始强制使用双因子认证。这一机制很快将会成为认证领域的通用作法,不久以后,我们就会对仅仅采用密码认证的系统产生强烈的不信任感。

一般来说,在安全方面必须接受这样一个事实:并不存在任何形式的硬件或软件能够提供万能的安全解决方案。但这并不妨碍采取相应的安全措施:大门上的锁对“撬锁法”来说可能并不安全,而大门本身也耐不住斧头、锯子、火把或炸药的攻击,但即使这样,你仍然不会因为安全系统不完美而始终大门敞开,或者根本不上锁。

实际上,多采取一些安全措施会在攻击者和保护者之间的这场战斗中为我们增加一些胜算。当然,前提是这些措施是有效的,否则会造成一种虚假的安全感,反而会使事情恶化(+微信关注网络世界),因为用户会因此而警惕性变低。认识到这一点,最好的方式可能就是改变游戏的规则,集中精力使数据窃取型犯罪不那么有利可图。

12
[责任编辑:程永来 cheng_yonglai@cnw.com.cn]