【IT168 专稿】2007年，在体验过Vista系统全新的安全措施之后，用户不停地抱怨微软的系统过于“安全”了。史蒂夫鲍尔默回答说：“唉，这一切不是你们要求的么？”但不久就不得不做出让步，微软发布了Vista Service Pack1，推出了“Windows 95安全仿真”模式。

　　这就是IT供应商多年来一直面临着的困难选择：允许无限制地访问和使用所有功能会面临安全风险，而加强安全性又必须牺牲可用性。通常，人们只能在“拥有无限权限的超级用户模式”以及“最高安全级别模式”之间寻找平衡点。

　　不幸的是，准确定位平衡点是非常困难的，最好的情况是IT供应商提供自由的功能选项，而将配置工作留给IT人员和安全管理员。有人认为这样做是不够的，应当在缺省情况下使用最严格的安全策略；另一些人则认为IT太复杂了，用户教育和培训没有太大用处，计算机应当变得像家电一样容易使用。

　　尽管缺乏普遍的共识，但IT行业仍然在坚定不移地追求更高的安全性，尤其是安全强度以及可用性。2007年，安全行业将呈现出四大趋势。

SonicWALL首席技术官  Joe Levy

IT走势：更安全更好用

　　①针对数据安全的可审计性要求将会逐渐普及。大企业多年运营的经验表明，必须有相应的处罚措施才能保证合法操作，因此目前有一种倾向就是将严格的管理延伸到中等规模的企业。让咨询师、审计人员以及检查人员感到沮丧的是，小型企业可能无法忍受合法审计过程所带来的复杂性和成本。

　　在现行法律和管理环境影响到的所有业务领域，许多人都认为IT行业是最容易管理的，因为IT行业采用的主要是现有技术，包括用于数据存储和传输的加密方法和标准、切实可行的密码和认证策略以及平台，以及预防恶意软件和系统完整性保护的方法。审计追踪性要求将被分解，而负担主要落在IT硬件和软件供应商身上。

　　现在已有这样的例子，用户起诉产品供应商，因为其产品有可被利用的漏洞和缺陷。因此供应商不得不对源代码进行更全面的测试，保证用户不会因常见的漏洞如缓冲区溢出和权限漏洞而遭受损失。像Coverity和Klocwork这样的代码执行路径分析工具将成为开发周期中不可缺少的工具，提供这类源代码分析工具的企业将成为安全行业大家庭的一员。

　　②SSL将重获信任。从1994年出现到现在，SSL丧失了大部分实用价值。早期，因特网是安全的，用户使用SSL网络浏览器时，一旦弹出带有主题名称、认证单位或合法性错误的加密链接警告，都会打电话给IT支持人员。由于警告经常是打字错误引起的，或证书是自我签发的，IT人员通常会说：“没事，点OK（确定）就行了。”用户很快对警告没有了戒心。

　　当真正的威胁到来时，系统已处于危险中，SSL却只提供了加密，没有进行任何有意义的身份认证。使事情更糟的是，这种习惯使SSL被恶意代理软件利用，一旦建立了一个“未经合法身份认证的”SSL连接，防御性内容分析工具（如URL过滤或深度包检测）都无法起作用，使恶意流量能在检测不到的情况下“安全”传输。

　　当然，现在情况有了变化。新的网络浏览器集成了防网络钓鱼的功能，还有供老版本浏览器使用的插件，但就像SSL一样，这些功能也许很快会变成前面所述情况，用户面对警告最自然的反应就是“没事，按OK就行了”。

　　微软IE7.0采取了一种聪明的（也是比较麻烦的）方式给出SSL证书警告：当一个进程的SSL参数存在问题时，IE7会给出一个满屏的警告：如果用户以“没事，直接点OK”的方式来处理，那么整个浏览器会话将被关闭。IE7.0这一新特点的最大作用是使业界重新关注SSL的意义。

　　随着IT支持人员认识到IE这一不寻常举动的影响，将会有新的行动来重建SSL连接的合法性，从未使用证书认证服务的管理人员也将会逐渐转向这种信任链传递方式。特别是经常访问的系统和程序，如SSL-VPN、Web邮件系统和某些基础设施网络以及安全设备将需要更高级别的安全证书，而不仅仅是自我签发或本地签发的证书。如果这种方法得到普及，将会为用户带来一种完全不同的使用体验。

　　同时，内容和安全供应商也会调高将SSL作为隐藏传输内容工具这一潜在威胁的响应等级。为了响应采用SSL的隐蔽式匿名代理服务或其它利用SSL的威胁，内容安全解决方案将会采用更严格的措施，例如禁止可疑的SSL连接和SSL代理（特别是避免SSL中间人攻击），从而重新获得内容的可视性。

　　③虚拟化成为新兴的安全工具。除了提高生产能力、可扩展性、节约空间和能源等经济因素以外，虚拟桌面还为用户提供了相对不易受系统崩溃影响的计算环境。随着恶意软件感染的方式和途径越来越隐蔽、难以检测和清除，IT人员越来越多地采用虚拟机器映像将机器迅速恢复到正常状态，而不必重新安装或映像整个PC或服务器。

　　AMD的Pacifica和英特尔的VT扩展技术为虚拟化技术提供了硬件优化支持。受此推动，安全软件供应商将提供在更完善的超级监控和虚拟机器监控架构上运行的产品，从而在虚拟机器中提供相对不易崩溃的针对实时恶意软件的防疫能力。

　　类似Altiris的软件虚拟解决方案，微软的SoftGrid、Vista等针对遗留应用的UAC文件和注册表虚拟化所提供的虚拟运行层会变得更为普遍，这样程序就可以安装在虚拟机器中而不会为主机带来风险。带有强认证和可靠的连续数据保护（备份）解决方案的大容量集成存储将用于虚拟映像库的存储和安全。

　　正像代码分析软件被做为安全工具一样，虚拟开发环境（VDE）也会变成开发周期中的一部分。即将流行的虚拟机器平台将提供完全的记录/回放能力，为运行过程中任意点存储器和处理器状态的分析提供一个时间状态机。在VDE环境中进行开发工具，可使所有软件缺陷都可以复制和检查，从而大大缩短定位和纠正问题所需要的时间，同时大幅提高整体产品可靠性。

　　④双因子认证将开始大规模使用。双因子认证（2FA）是指结合密码以及实物（信用卡、SMS手机、令牌或指纹等生物标志）两种条件对用户进行认证的方法。这种方法已经为企业所采用，特别是在远程访问时，但在其它领域应用还很有限。

　　双因子认证的推广受阻，主要在于它需要使用额外的工具给技术支持人员带来负担。批评者还指出这种方法也容易遭受攻击，即在非常小的时间窗口内，易受到中间人（man-in-the-middle）攻击（这也是采用严格SSL处理的更多原因）。剔除这些障碍，不采用双因子认证所带来的隐含成本远远比采用双因子认证所需要的成本高得多。

　　受欧洲银行业的影响，美国金融机构将加快采用双因子认证的步伐。为减轻必须携带专用双因子令牌设备的阻力，可以利用无处不在的移动计算平台（如支持Java的手机或通过短信息服务传递的一次性口令）作为双因子客户平台。电子支付行业团体已开始强制使用双因子认证，这一机制很快会成为认证领域的通用作法。

让被窃数据作废是根本

　　一般来说，在安全方面必须接受这样一个事实：并不存在任何形式的硬件或软件能够提供功能较多的安全解决方案。但这不妨碍采取相应的安全措施：大门上的锁对“敲锁法”来说可能并不安全，大门本身也耐不住斧头、锯子、火把或炸药的攻击，即使这样你仍然不会因为安全系统不完美而始终大门敞开，或者根本不上锁。多采取一些安全措施会为我们增加一些胜算。最好的方式是改变游戏的规则，集中精力使数据窃取型犯罪不那么有利可图。

　　双因子认证本身并不会使窃取主密码更难，但它可以使被窃密码用处不大或根本没有用。同样，围绕面向服务的架构（SOA）和服务型软件（SaaS）的争论非常激烈，设计人员必须采取措施使Web应用漏洞导致的数据库非法访问无法牟利，可行的方法是对所有的数据进行加密。当数据访问受到强加密保护时，盗窃物理设备（如笔记本、PDA或服务器）的价值就仅限于物理硬件本身。

　　让偷窃到的数据没有太大价值并无新意，隐私和安全专家不断在督促金融机构防止罪犯利用偷来的身份获取现金。总之，并非您的姓名和社会安全号码具有价值，而是由于窃贼获得这些信息后可以获得金钱。

　　作为消费者，我们应当在可行的时候尽量采用一次性信用卡密码；作为IT专业人员，我们应当积极欢迎新兴硬件和软件创新。抛开数字版权管理方面的讨论不谈，可信计算工作组可信平台模块的工具，如微软Vista的BitLocker 和日立的DriveTrust，现在就可以使用了。与此前的软件或专有硬件产品一样，这些解决方案更易于使用，还能使被窃数据立即失效。