ZDNET至顶网安全频道 12月23日 评论（文/陈毅东、陈广成）：时值年末，国内主流专业技术网站、社交网站等爆发的群体性用户数据泄漏事件，再一次将安全的等级提升到了前所未有的高度。一时间互联网关于“拖库”，“修改密码热潮”，充斥到网络的各个角落，国内用户安全神经的紧绷程度直逼当年的“CIH”，“熊猫烧香”等重大安全事件爆发时的心里承受底线，而如此重大的数据泄漏事件相信一定会被载入中国安全发展的历史。将2011年定义为数据安全年一点都不过分，一波接一波的安全阴霾会给2012乃至未来的安全发展带来怎样的深远影响。哪些复杂、手段更加隐蔽、方式更加多样化的威胁会在2012年震动IT的神经?同时，屹立在安全潮头的领航者们也不得不慨叹“我们命该遇到这样的时代”，哪些技术和产品能够成为这个时代的弄潮儿，谁又会成为这个处于安全变革转型期，威胁乱象丛生时代的“末世”英雄?ZDNet将与你一起从2012安全威胁的发展趋势，安全技术和产品变革的方向，以及云计算安全的未来走向三个维度进行探讨。2012年安全无论是毁灭还是新生，都将开启新的英雄时代。

CSDN网站600余万用户资料遭泄露，给众多企业信息安全保障带来恐慌

　　毁灭or新生——安全威胁篇

　　APT攻击“横扫千军”

　　业界普遍认为2010年的伊朗“震网”病毒事件，是APT的首例攻击实例。然而今年年初，RSA公司遭受入侵，部分SecurID技术及客户资料被窃取，这一被外界赋予神秘外衣的APT攻击逐渐引起业界关注和讨论。截至2011年10月，APT攻击已在全球多个国家的政府和企业内部发生，造成的损失难以预估。

　　2011年3月，RSA公司遭受入侵，部分SecurID技术及客户资料被窃取。源于攻击者给RSA的母公司EMC的4名员工发送了两组恶意邮件

　　APT攻击可以被看成是各种社会学攻击与各类0day利用的综合体，具有很强的针对性，攻击触发之前针对攻击目标收集大量关于业务流程和目标系统使用情况等信息。这种攻击和普通攻击行为的差别体现在，APT出于经济或其他利益的动机，会利用多种恶意软件和黑客技术武装自己，攻击者愿意花时间和精力瓦解组织的防御能力。

　　我们发现，在APT极高的隐蔽性和目的性面前，大部分企业和组织的安全防御体系都失灵了。攻击行为开始从乱枪打鸟向定向、目标性攻击演变，2012年以至未来，攻击者为目标定制的攻击方式将逐渐显现并且开始个性化。企业只有健全安全标准、安全流程与规范、员工培训等形式形成完善的安全防护体系，尤其是将“人与信息”纳入防范机制，对抗目标性攻击。

　　社交媒体“所向披靡”

　　用“人类已经阻止不了SNS了”这句话，来形容社交媒体的发展一点都不为过。一方面企业认识到社交媒体带来的价值，另一方面从国内的开心网到微博的普及，企业和员工在得到便利的同时，也带来了数据丢失、员工办公效率和恶意软件风险。2012年，社交媒体的资料将成为社会工程学攻击的渠道。盗取信息的人利用社工技术迫使终端用户公开敏感信息、下载恶意软件。

　　另外，企业传统应用开始融入社交媒体的协作功能，这种趋势将让公司制定和实施政策并为更精确的控制制定新要求时更加复杂，IT主管的任务是如何保护网络免遭黑客攻击和保证生产率。企业在制定合情合理的用户政策的同时，应该监督员工使用社交媒体的情况，保证他们遵守公司内部政策，降低发生欺诈事件的概率。

　　边界安全“强弩之末”

　　其实早在几年前，就有人预测针对移动终端攻击时代的来临。然而随着今年包括智能手机、平板电脑等移动设备的风靡，越来越多的企业通过移动终端的应用来提高生产力。但是由于缺少对移动设备的安全和管理手段，大范围的攻击在2011年爆发了。

　　无疑，2012年企业将会以更加开放的态度迎接移动设备的接入，用户在任何时间和地点接入企业网络将会越来越明显，这使传统网络安全防护的边界逐渐模糊。CIO和IT经理们对移动设备谈论最多的恐怕是其带来的网络危害、数据丢失和违法法规。并且可以预计的是，针对移动定位服务来设计各种通过地理定位发起的社会工程学攻击将会被越来越多的罪犯利用。移动设备应用功能趋于桌面计算机的同时，针对安全性的要求也要与PC的安全管理一视同仁。企业要建立移动设备可接受的用法制度，并审计和监视员工中移动设备的活动情况，来检查安全策略的遵守情况。

　　云服务“云之罪”

　　随着数据向云平台转移，网络攻击者和数据窃取者也将闻风而至。最直接的威胁是窃贼从厂商用于存储数据的服务器上窃取信息，远程操控、公司内部人士或其他获准进入数据中心的人员都有可能窃取，任何被窃数据都极有可能被非法复制。

　　另外值得注意的是，云服务带给用户按需的计算模式同时，也给网络犯罪提供了大量的计算资源。这些资源具有强大的网络攻击性，并具有很强的破坏性。因为云服务的租金将越来越便宜，各种类别恶意代码将会低成本的滥用在大多数合法的云服务上，这种合法的云服务将继续被不同的网络攻击犯罪所利用。云供应商应该反思，以期更好的监测系统消减利用云发动的恶意攻击。

　　搜索引擎“功与过”

　　搜索引擎拥有庞大的用户群是毋庸置疑的，但它不仅是互联网上最流行的应用，也是恶意网络的主要进攻发起点。2011年上半年，搜索引擎中毒是最流行的恶意软件载体。据某厂商的调查报告显示，在近40%的所有恶意软件事件中，搜索引擎/门户网站是进入恶意软件交付网络的切入点。

Blue Coat 2011年中网络安全报告显示，搜索引擎中毒是最流行的恶意软件载体

　　网络罪犯根据新闻事件创造感染的搜索结果，把其作为发起攻击的诱饵，然后通过数量巨大的用户基数进行传播。尤其是2012年到来的伦敦奥运会、美国总统大选以及玛雅历法、末日预告等热点新闻和事件会被用来炮制诱饵，骗取用户点击恶意链接。只有通过更好的监管搜索结果，才能避免成为恶意网络的攻击发起点。

　　毁灭or新生——安全技术变革篇

　　下一代防火墙

　　2011年一开年，多家厂商不约而同的开始对下一代防火墙(NGFW)齐发力。锐捷网络、梭子鱼、深信服陆续在国内发布下一代防火墙产品，加上耕耘已久的SonicWALL、juniper、Check Point等厂商，这个在2009年Gartner定义的来形容防火墙进化发展的产品开始进入IT经理们的视野。

ZDNet安全频道曾在9月份重点专题报道：下一代防火墙能否笑傲江湖

　　虽然NGFW没有统一的标准，各家厂商对NGFW的发展诉求是一致的，把传统防火墙将访问控制对象从网络层、传输层(L3-L4)调整为应用层(L7)协议，并能够识别用户、应用和内容，具备完整的安全防护能力的高性能下一代防火墙。

　　对于用户而言，要的不仅是高性能、多功能的安全产品，在面对威胁时，一款定位于边界防御的安全产品能否表现出稳定和高可靠性至关重要。会不会和当时UTM推出一样，是一些安全产品或功能的叠加，这有待市场的检验。但长期来看，NGFW代表了未来综合安全网关的发展方向，国内其他FW、UTM等厂商在2012年也会改进现有产品线以符合NGFW方向。技术上也将不断发展和规范，在市场逐步接受的同时，NGFW的统一标准也会期待推出。

　　下一代IPS

　　Gartner在今年10月份发布题目为《定义下一代网络入侵防御Defining Next-Generation Network Intrusion Prevention》的报告指出，“未来的威胁将集中在将目标恶意程序安装于用户的PC，采用先进的技术躲避检测并使用僵尸网络传递机制实施多级攻击。在这样的环境下，只简单地阻止针对未修补服务器的攻击时远远不够的。”

　　Gartner 使用‘下一代网络 IPS(next-generation network IPS)’这一术语来表示网络IPS 需要不断发展，以应对网络通信和应用程序以及安全态势的变化。除具备标准的第一代 IPS 功能外，下一代 IPS 至少还拥有应用程序感知、背景感知、内容感知，提供全套堆栈检测。

　　10月12日，迈克菲就宣布推出其网络安全架构，称该架构将先进的网络入侵防御与下一代核心控制功能相集成。也许你会觉得下一代防火墙刚耳熟，下一代IPS又钻进视野，到底是概念炒作还是真有其用?谁能代表安全产品的明天?无论怎样，只有满足客户需求，在实际使用中可以提供良好效率和安全性的产品才是王者。但根据安全圈子的规律，明年会有更多的厂商跟进推出类下一代IPS产品。

　　安全运维SOC

　　SOC作为一个舶来词，并没有形成统一的定义。某媒体调查显示，在用户对SOC的认知程度调查上，调研结果比较让人惊讶，仅有6.6%的用户表示对SOC安全运维管理很熟悉。57%的用户了解一点儿。而高达36.4%的用户不了解。但是，安全管理的需求却很突出，市场亟需培育。

　　SOC安全运维管理平台致力于将目前信息系统中各类数据孤立分析的形态转变为智能的关联分析，并借助整个平台，实现技术人员(维护人员、应急小组)、操作过程(相应的管理制度和事件处理流程)和技术三者的融合。解决海量数据和信息孤岛的困扰，整体上简化安全管理的数据模型。

　　在安全防御无边界的今天，安全意识与体系推广显得尤为重要。如果云安全技术将所有人都加入到了安全防护中来，那么SOC就做到了从信息的源头杜绝了威胁的发生。在未来，SOC管理理念将与云安全等新技术有机结合，更好地服务于行业用户的安全运维管理。

　　可信云计算

　　业界预测明年将会有更多的企业从观望转向真正采用云服务。但在云技术当中，数据的移动、存储和访问都和以往不同，多数CIO在考虑企业数据和信息迁移到云端时，对云计算缺乏可信，成为云服务更广泛采用的绊脚石。

　　我们看到2011年，以RSA为首的安全厂商开始倡导可信云计算的重要性。确实，IT主管们只有觉得向云端迁移就像向银行存款一样放心，才会到云普遍应用的那一天。这需要企业对云信任的几个因素：可视性、控制性和法规遵从。2012年，不论是云供应商还是第三方机构都会有更多的产品或技术证明企业的数据在云服务环境中得到了很好的保护。同时，更加完善的数据访问策略和机制保证企业对云环境的控制。并且，在迁移云环境之后，企业要像以前一样满足政策监管规定和企业内部的合规性。要达到这些要求，需要身份安全的强认证机制、保护基础架构的安全技术、以及数据加密和丢失防护的技术，这在明年会有较多的厂商跟进和投入使用。

　　高级安全系统

　　随着数据存储系统、计算能力和分析能力方面的进步，信息安全管理的大数据时代已经到来。企业的安全团队需要迅速甄别出内部的威胁，保护信息资产，隔离基础设施受损部分，从而消除攻击威胁。信息安全必须从现有的常规和不协调的静态单点产品阵容，向更高级的安全系统发展。

　　RSA执行主席亚瑟•科维洛在RSA2011大会上表示，面对新的威胁局面，过去的信息安全技术已经疲于应付，并归纳了未来高级安全系统所要具备的基本特征

　　这要求高级安全系统需要具备几个特征，首先是一个治理、风险和法规遵从框架，让企业可以快速响应缺陷和漏洞，对合规要求进行报告;必须具备灵活性，更智能的发现和阻止复杂攻击必需的感知能力和能见度。大型企业往往有相关的技术和能力，建立高级的安全管理系统。但随着时间的推移，中小企业未必能跟上威胁发展的步伐，供应商要确保为中小企业提供安全的能力。

　　毁灭or新生——云计算安全篇

　　云计算安全标准兼容法规呼之欲出

　　众所周知，云计算缺乏统一的标准，比如数据存放在哪里，云计算供应商是否满足当地政府的要求和行业标准等等。同样云计算安全也面临同样的问题，企业一旦从云计算供应商那里选择服务，那么信息与数据的安全如何规避风险?

　　关键的问题之一就是全球化的兼容性法规的制定，如果要充分发挥云计算的优势，为了实现弹性资源的收放自如，降低成本。那么众多的云提供商就要与政府一起合作，制定标准的针对数据、隐私方面的共同标准。包括考虑功能、司法和合同几方面的问题，比如政府管理法案和制度对于云计算服务、利益相关者和数据资产的影响等等。

　　另外，在云计算环境如何通过执行安全策略和相关法规来保证企业自身的合规性也十分重要，比如与云供应商明确在合规责任上的区别，云提供商合规方面的能力等等。

　　总之，未来全球范围内法律对合规的需求使得法律人士和技术专家需要更密切的配合，这一点在云计算中显得尤为突出，原因在于云特有的分布式生态环境产生了潜在的法律风险。

云安全联盟(CSA)发布云安全指南新版本3.0，目前中文版还未推出

　　云计算安全服务变革蓄势待发

　　据Gartner预测，云计算安全服务占据了安全服务市场20%的份额，预期到2013年将会占到60%的份额。以云计算方式提供的安全应用服务，在2013年将会增长三倍。随着企业成本控制因素在企业IT采购中所占到的比重越来越大。基于安全厂商自身强大云安全平台为基础的云计算安全服务，将给安全产业带来全新的改变。

　　云计算安全服务供应商将安全控制及功能提供给企业，为企业提供极具成本效益的技术和服务，比如身份认证、DLP、漏洞管理、Web安全等服务。

　　因为云计算的特性是资源按需提供，灵活极具弹性。企业可根据需要随时增减安全功能，对企业评估安全开始的有效性。如果企业对目前安全架构的有效性存在疑惑，或没有能力短期内完成自身安全架构的建设，则完全可以选择云计算安全服务保障企业Web、邮件等系统的安全性。云计算安全服务能以快速、符合不同企业规模的方式按需定制。而随着又更多的提供云安全服务的厂商加入竞争，企业选择云安全服务的门槛也将降低，将给企业带来更高的价值。

　　企业可以选择让自己购买的安全设备真正发挥作用。也可以在安全即服务的模式下，将关注点从日常的安全运维转到业务的运营。

　　虚拟化安全进入高速发展期

　　从虚拟化到数据中心，再到云计算。虽然对云计算的定义存在千差万别，但公认的是云计算一定要做资源池，所以虚拟化在云计算中始终扮演举足轻重的角色。如何实现虚拟化的安全是所有企业步入云计算的首要担心元素。从物理走到弹性环境如何控制?虚拟机如何实现安全管理?

　　虚拟化安全经过缓慢的起步之后，众多的厂商纷纷在虚拟化安全控制和管理方面取得了进步，为防火墙、入侵防御提供虚拟设备选择，将迎来新一轮的高速发展期。根据Technavio的调查显示，预计在2014年虚拟化安全管理解决方案的市场规模将达到15.73亿美元，年复合成长率将高达46.9%。

　　因为云计算服务选择了虚拟化技术，那么虚拟机间的隔离和安全防护是必须要考虑的。虚拟通信流量对标准网络安全控制来说是不可见的，无法对其进行监控和检测，那么安全控制功能需要在虚拟化环境中采用新的技术和手段。同时数据和资源的集中到底是否安全?以及不同安全级别虚拟机该如何共存?等问题将得到更有效的解决。

　　另外以虚拟化为重点的基于软件的安全控制和管理解决方案将在未来得到企业的认可，虽然目前这一趋势还存在着不确定性，市场规模也有限，但比硬件成本要低的软件谁不愿意选择呢?

　　云计算能否迈过数据安全这道坎

　　从安全角度看，大数据是指规模和格式前所未有的大量数据，搜集自企业的各个部分，互相关联，以便进行高速分析。随着数据存储系统、计算能力和分析能力方面的进步，数据安全管理的大数据时代已经到来，那么云计算必须迈过数据安全这道坎。据早先一份调查显示，21%的受访者担心云计算会产生数据丢失。20%的人拒绝使用云服务，因为他们对数据安全心怀疑虑，而这样的忧虑在中国更为突出。

　　虚拟化安全和数据安全是云计算安全防护的重点。2011年企业数据安全成了重灾区，这无疑给企业放心的将企业数据放入云端埋下了伏笔。2012年云计算能否迈过这道坎，成了摆在企业面前的实际问题。云计算产业的发展必须克服数据加密、迁移、备份、数据传输安全等方面的问题。

　　不论企业数据放在云端或本地，或是是企业选择私有云模式还是公有云模式，安全问题都是需要考虑的。需要评估数据的风险和合规性，当然如果企业数据在自己的数据中心不需要考虑这方面的因素，那么一旦进入公有云这样的问题就变得完全不一样了，需要关注数据隐私保护、数据归属、服务协议保障(SLA)、数据完整性、数据删除和持续性、不同数据的混合等等诸多问题。

　　可以预见是针对企业数据的高持续性安全威胁，将在2012年来的更加凶猛，因为越来越多的企业意识到云计算的大势所趋，尽快选择已使然，而数据安全的阶段性瓶颈而又不得不面对，这就给了云计算犯罪更多的利益驱动力。所以确保数据安全在未来，依然是云计算取信于用户的关键，而关键数据的安全性是企业业务正常运转的保障，所以针对关键和敏感数据安全的解决方案和策略对企业至关重要。

　　安全成云计算可管理性重要指标

　　云计算是颠覆性的概念，对所有领域而言都是全新的，不可能一蹴而就的。迈进云计算将面临不同数据，不同资源的整合，如何区分数据，如何保证正确的人有正确的权限访问合适的数据和资源，将变的越来越重要。而目前的状况是还存在很多的数据和资源无法进行物理的控制，这就给安全带来了全新的思考。

　　安全已经逐渐成为衡量云计算可管理性的重要标准，管理包括企业风险管理、信息风险管理、第三方机构对云提供商提供管理、信息生命周期管理、加密和密钥管理和身份和访问管理等等。

　　比如企业风险管理的最佳实践。许多云计算部署中缺少对基础设施的物理控制，因此与传统的企业拥有基础设施相比，服务水平协议(SLA)、合同需求及提供商文档化在风险管理中会扮演更重要的角色。

　　比如信息风险管理，需要成熟模型评估管理的有效性，对与企业选择不同的云计算模式时，企业都需要知道信息的采集、流程、分析等要求。身份和访问管理利用目录服务来管理身份，提供访问控制能力，企业将身份管理扩展进云中遇到的问题等。这些管理层面问题不再展开讨论。