数据安全审计是当前安全技术一大看点

　　根据IDC今年一季度的全球安全分析报告，数据安全审计、SSL可信部署、虚拟化安全架构，以及多因子认证的大规模应用，将成为当前安全界的技术看点。随着新技术在这些领域中的出现，记者特别邀请到业内专家加以分析，同时分成上下两篇，并结合网站专题共同探讨。

　　看点一：数据安全审计

　　事实上，从当初的萨班斯法案诞生之日起，为数不少的安全公司就已经预测到了这一天：数据安全审计将成为企业无法回避的问题。只要是正规的企业，都无法回避自身的数据安全问题。当然，上市公司就更加需要重视。事实上，这里所说的数据安全审计，不仅包括了数据源的安全，而且也涵盖了审计方法与企业IT流程的结合。

　　另外，不少大企业多年运营的经验表明，必须有相应的处罚措施才能保证合法操作。因此，目前有一种倾向就是将严格的管理延伸到中等规模的企业。让咨询师、审计人员以及检查人员感到沮丧的是，小型企业可能无法忍受合法审计过程所带来的复杂性和成本。

　　在现行法律和管理环境所影响到的所有业务领域中，许多人都认为对于IT行业的影响是最容易管理的，因为IT行业采用的主要是现有技术，包括用于数据存储和传输的加密方法和标准，切实可行的密码和认证策略以及平台，还有预防恶意软件及系统完整性保护的可行方法。要与这一描述保持一致，审计追踪性要求将会被分解，而负担主要落在IT硬件和软件供应商身上。

　　在美国，现在已经有这样的先例，用户起诉产品供应商，因为其产品有可被利用的漏洞和缺陷。因此供应商发现，不得不对源代码进行更全面的测试，从而保证用户不会因常见的漏洞而遭受损失，例如缓冲区溢出和权限漏洞。

　　作为安全审计的一环，像Coverity和Klocwork这样的代码执行路径分析工具将会成为开发周期中不可缺少的工具，这样可以尽量保证在发布前发现缺陷并进行改正。提供此类源代码分析工具的企业将会成为安全行业大家庭的一员。

　　另外，这方面的需求还将迫使Flawfinder和Splint这样的开源代码分析工具进一步演化，从而为独立开发人员提供可用的代码分析工具。在某些地方的司法当局，将会强制要求销售此类产品的供应商证明自己采用了此类工具作为安全措施。一系列新的或扩展的行业认证计划将会包括这一部分内容。

　　在相关的报道中企业用户可以看到，美国加州制定了一项含义模糊的、关于可审计性的法案—参议院AB2415号法案。该法案要求：任何在2007年10月1日以后生产的，针对低于50个客户端销售的无线访问设备（如WiFi路由器或无线防火墙），必须以软件和硬拷贝的形式给出警告，告诫用户“其无线网络连接可能会被非授权用户使用”以及如何防止。

　　当然，这样做的表面动机是保护用户，防止非授权用户利用追踪企业的网络连接传输违法的内容而对企业带来可能的伤害。但更深一层的原因可能是为了在出现盗用事件时帮助供应商避免责任。

　　但最有趣的是这一法案可能为下面的案例划上一个句号。同样发生在美国，在最近Virgin起诉Marson的案子中，美国唱片工业协会（RIAA）起诉Marson女士进行了非法文件共享。这个案子以带有传奇色彩的否认性辩护而成功使RIAA撤诉。正如Marson女士的辩护律师Ray Beckerman在其博客中所说，RIAA撤诉是因为面临这样一个无法取证的事实：“RIAA所指控的非法文件共享行为可能是任何其他能够访问Marson女士的无线网络连接或其计算机的人干的（而事实上未启用安全功能的无线网络确实有可能被其他人访问和使用）。”

　　对RIAA来说，它可以花费巨额代价了解到IP地址并不能直接与个人对应后，又联合发起一项新的运动，旨在加快IPv6的采用。同时试图游说将NAT（网络地址转换）定为危险行为并加以禁止。显然，目前情况下这是不可能做到的，除非基于数据的安全审计已经部署。

　　◆在中国，基本的数据安全审计已经引起重视。

　　◆ 三分之一的中国大型企业已经部署或者正在考虑部署类似的审计系统。

　　◆ 凡涉及审计的内容，不仅意味着花费的提高，同时代表了制度甚至流程上的变化。

　　◆ 中国企业需要注意，对安全的妥协，往往夹杂着很多业务与利益的角逐。

　　看点二：SSL可信部署

　　正如发明SSL的美国Netscape公司所描述的：SSL是要“在客户端和服务器之间提供保密连接，并且对服务器进行认证，而对客户端的认证则是可选的。”

　　SSL使用的编码方式是公钥加密体制，利用大数值编码的技术将资料编码后再进行传输。可惜的是，自从1994年问世以来，SSL已经丧失了大部分实用价值。早期，Internet是安全的地方，用户在使用采用SSL的网络浏览器时，一旦弹出带有主题名称、认证单位或合法性错误的加密链接警告，用户都会打电话给IT支持人员。由于警告经常是打字错误引起的，或者是由于证书是自我签发的，因此IT人员通常会说：“没事，点确定就行了。”

　　在这种情况下，用户很快就变得对于警告没有什么戒心了。当有真正的威胁到来时，系统事实上已经处于危险之中了。遗憾的是，SSL只提供了加密，却没有进行任何有意义的身份认证。

　　令人感到讽刺的是，用户的这种习惯实际上使得SSL可以被恶意代理软件所利用，一旦建立了一个“未经合法身份认证的”SSL连接，目前的防御性内容分析工具，如URL过滤或深度包检测等，都无法起作用了，从而使得恶意的流量能够在检测不到的情况下“安全”地传输。

　　当然，现在情况有了新的变化。新的网络浏览器集成了防网络钓鱼的功能，并且还提供了供老版本浏览器使用的插件，但就像SSL警告一样，这些功能可能很快也会变成前面所述的情况，用户面对出现的警告最自然的反应就是“没事，按确定就行了”。

　　幸运的是，微软的IE 7.0采取了一种聪明的（当然也可能是令人感到比较麻烦的）方式来给出SSL证书警告：当一个进程的SSL参数存在问题时，IE7会给出一个满屏的警告。如果用户以“没事，直接点确定”的方式来处理，那么整个浏览器会话将被关闭。这实际上是一种逆反心理效应，但其强制关闭会话的做法还是非常有用的。

　　当然，这一警告功能可以禁止掉，如果真的这样做的话，用户可能最终又会习惯于仅仅是按“确定”按钮，而不采取任何其他措施。IE7.0这一新特点的最大作用，就是促使业界开始重新关注SSL的意义。

　　随着IT支持人员开始认识到IE这一不寻常举动的影响，将会有新的行动来重建SSL连接的合法性。为了做到这一点，从未使用证书认证（CA）服务（或者更弱一些，采用内部CA）的管理人员也将会逐渐转向这种信任链传递方式。特别是经常访问的系统和程序，如SSL VPN、Web邮件系统和某些基础设施网络以及安全设备，将需要更高级别的安全证书，而不仅仅是自我签发或本地签发的证书。

　　不少国内外安全专家认为，如果这种方法得到普及，那么将会为用户带来一种完全不同的使用体验。对于企业来说，有关证书的警告将会成为一种受到注意的重要事项。

　　同时，内容和安全供应商也会采取行动。目前不少安全公司已经调高了将SSL作为隐藏传输内容工具这一潜在威胁的响应等级。为了响应采用SSL的隐蔽式匿名代理服务或其他利用SSL的威胁，内容安全解决方案将会采用更严格的措施。例如禁止可疑的SSL连接（采用自签发或未知CA机构签发的证书）和SSL代理（特别是避免SSL中间人攻击），从而达到重新获得内容可视性的目的。这种新的形势将会重新确立对于SSL的信任，并且使PKI服务重新获得活力。

　　自然，基于SSL的种种变化对企业安全是有利的，这将会极大促进企业用户对于SSL加密的信任。换句话说，日后基于SSL应用加密的企业业务将会普及，并有大规模部署的空间。

　　编辑点评：“眼球”中的秘密

　　无疑，无论是数据安全审计还是SSL，抑或是虚拟化架构和多因子认证，其技术根本都是应用安全。因为所有这些技术都最终落实到企业业务的过程中，甚至贯穿到流程的始末。记者想提醒用户的是，凡是涉及到应用层的安全技术，部署与运维的挑战大都无法忽视。很多时候，上线一套安全系统就类似部署一套ERP。因此，企业用户最好能够基于自身的需求，分步骤试点。无论是硬件还是软件，旁路还是在线，“一步一个脚印”，肯定不会出错。