亚洲精品乱码久久久久蜜桃-97国产精品人妻无码久久久-加勒比中文字幕无码一区-中文字幕乱人伦高清视频-无码va在线观看

 現在企業面臨的安全挑戰比以往任何時候都要嚴峻。隨著滲透工具和漏洞利用攻擊包逐漸商品化，安全舊患(如惡意軟件等)又被賦予了新的力量。而安全研究人員與網絡攻擊者之間無休止的戰爭，以及越來越多的員工與客戶需要隨時隨以多種方式進行網絡通信，又更增添了攻擊的復雜性。

　更糟糕的是，不景氣的經濟環境讓企業不得不消減對安全基礎設施的投資。基于全球信息安全狀態調查報告(對來自130多個國家的7200位CEO、CIO、首席信息安全官、首席財務官以及其他負責企業IT和安全投資的執行人員的調查)的PricewaterhouseCoopers' 2010報告指出，安全項目范圍減小以及項目部署推遲成為安全項目的成本控制的主要方法。

　在過去五年中，認為“安全開支將增加”的受訪者百分比顯著下降(6個百分點)，超過50％的受訪者表示他們擔心成本減少將更難實現安全保護，同時他們表示對企業資產的安全威脅正在增加。

　由于威脅的增加和預算縮減的壓力，IT管理員的工作量也相應減少了，不僅包括抵御攻擊的工作(他們現在應該已經非常熟悉工具和戰略了)，也包括向企業財務人員說明安全投資的工作。在很多公司，企業已經不愿意花太多資金在安全上了。現在首席信息安全官們不僅需要證明企業資產的安全性，還要提供數據說明這種安全性的價值。

　業務領導與IT安全領導間協作加強是非常具有戰略重要性的。在經濟低迷時期，越來越少的資源被用于專門的安全功能上，然而業務領導在確定開展安全項目前，通常會要求周密且有說服力的計劃。現在如果沒有明確目標以及衡量是否成功的可靠方法，部署新的或者升級現有安全措施幾乎不可能實現。

　管理層的這些要求給安全人員帶來新挑戰。警報和報告形式的信息不僅能夠確保安全設施有效運行，也能夠記錄安全設備的有效性。企業對管理、風險和合規的高度關注都驅使IT安全部門實現更大透明度，首先就需要部署精心設計的完整的且能夠進行集中管理的安全方法，例如防惡意軟件、DLP(數據丟失防御)、漏洞評估和軟件漏洞修復等。管理威脅的能力以及結合報告與解決方案日志的能力變得越來越重要。

　保護數據免受有組織罪犯的攻擊

　無論是來自內部還是外部的攻擊，都不是什么新型攻擊。很多報告表明在過去一兩年中，經濟不景氣的狀況導致網絡犯罪幾率上升，這是因為經濟問題促使惡意團體不斷進行網絡偷竊，然而很多公司卻認為網絡威脅主要來自于新型攻擊形式，而不是因為經濟狀況不佳。

　不管是否是新型攻擊，數據偷竊已經越來越受到C級管理人員的關注。上面提及的PricewaterhouseCoopers報告也同樣指出“在這最關鍵的時期，保護數據成為首要任務”。受訪企業部署數據丟失防御策略的比率已經從2008年的29％上升到2009年的44％。很多調查受訪者指出他們的企業不斷對數據和信息安全資產根據其風險水平進行優先等級排序。

　現在的信息安全戰爭的重點就是金錢。最近國際犯罪集團開始出租僵尸網絡，隨后還幫助較低級別的網絡罪犯洗黑錢。以前只有高技術程序員才能涉足網絡犯罪，現在即使技術門外漢也能利用網絡上的工具包來發動攻擊，大部分攻擊工具包都有保修期、技術支持和軟件版本升級。整個網絡秩序已經失去控制，M86在其四月報告中指出，我們開始看到國際服務經濟的演化，即“犯罪軟件即服務”。

　顯然，惡意軟件已經成為所有人(從消費者到首席信息安全官)的安全關注問題的首位問題。在過去一年中，我們已經見識到單個攻擊(完全無視于簽名防惡意軟件功能)變種數量的瘋狂增加，以及不斷增加的被攻擊并被植入惡意軟件(基于域名分析的Web內容過濾解決方案完全失效)來攻擊訪問者的合法網站。有針對性的攻擊也同樣在上升。McAfee在其2009年12月發布的“2010威脅預測”報告中描述了感染蔓延網絡問題并探討了僵尸網絡，該網絡導致103個國家1295電腦受到感染。

　修復系統和更新軟件已經成為很多企業的關鍵工作。在2009年，幾乎所有供應商(賽門鐵克、McAfee、IBM等)都報告了應用程序攻擊數量的增加。McAfee指出，“攻擊者最喜歡使用的載體是Adobe產品，主要是Flash和Adobe閱讀器”。安全研究人員發現很多最常被利用的漏洞都是五年前甚至更早以前公布和修復的漏洞。只需要定期丟服漏洞就能夠避免這種威脅，然而，修復漏洞是乏味的且費時的。

　社交網絡問題

　Web 2.0的普及又為網絡犯罪提供了新的方式。用戶自己提供的信息成為惡意攻擊的主要來源。IBM ISS在2009年年底報告中指出，在合法網站(如PlayStation.com)發現的惡意軟件比可疑網站發現的還要多。免費博客服務也被用來發布色情鏈接從而誘使用戶點擊并下載惡意軟件。社交網絡(如Facebook和Twitter)在用戶之間建立了某種信任錯覺，為攻擊提供了完美的攻擊載體。

　然而，Web 2.0作為威脅載體的影響無疑會越來越嚴重，社交網絡幫助網絡罪犯將所有個人信息都集中到一臺在線服務器上，完全不受用戶控制。通常情況下，身份盜竊只需花5分鐘閱讀社交網站就能夠完全掌握用戶信息。URL縮短服務(如bit.ly和TinyURL.com)不僅簡單易用，而且能夠很好地混淆真正的URL，并讓人和機器都很難分辨鏈接的安全性。

　HTML 5即將到來，這又將帶來全新的攻擊方式。一旦web應用程序和桌面應用程序間的區別消失，攻擊者將能夠很快掌握主動權。企業安全領導人應該深入評估HTML 5以及下一代谷歌Chrome操作系統來確定風險是否大于回報。這種本地資源與互聯網資源的合并早期將不會給公司帶來很多利益，企業應當保持謹慎。隨后首席執行官就會會要求企業支持某種消費者應用程序，因此安全、桌面和web開發團隊必須做好準備。

　另一方面就需要保護企業的web 2.0服務器。不僅企業自身容易受到攻擊，員工、客戶和業務伙伴都會受到攻擊。每個公司對于互聯網社會都有一定責任，那就是防止自身服務器被用于攻擊其他服務器。在網站架構和質量保證體系中建立安全檢測，運行web應用程序防火墻和IPS(入侵防御系統)，查找包括跨站腳本漏洞、網頁掛馬和SQL注入攻擊造成的不良驗證形式等問題。

　現在面臨的威脅與以往的威脅并沒有明顯不同，只是攻擊者更容易利用現存的威脅載體。而在同時，企業又在盡一切可能控制安全成本。在這種情況下，企業要想確保企業網絡和數據的安全，就必須部署精心策劃的安全措施，并取保業務領導與安全領導間的密切協作。

  歡迎轉載，本文版權歸于杭州網站建設（http://www.hhxlawyer.com）