安恒信息专家谈：安全趋势正在向应用层发展

中国与外国安全防护的差距

以日本的信息安全为例，当日本需要进行某方面的信息安全建设时，日本的相关主管部门首先会建立相关标准，然后各需求公司会按照标准进行安全建设。而目前国内则是完全相反，各需求单位、公司会先进行相关安全建设，然后再去与国家相关标准靠拢，或者寻求其他途径解决标准问题。

另外，现在国外更加注重安全度量——Security Metrics，会对安全数据进行统计，形成图表，让安全可见、可视，直观体现安全的价值所在，看到安全建设的效果。

最后，Web应用安全也是当前国外的安全防护主要方向。比如强调对于SQL注入、XSS跨站等攻击的防护。

软件漏洞将成为今后黑客利用重点

从最早1988年莫里斯蠕虫开始、2003年爆发冲击波病毒，到今年大兴其道的网络钓鱼、挂马、社交工程学攻击。可以看到病毒发展史是，从最早感染单机电脑，比如引导区、扇区转化成蠕虫性质，基于网络大规模传播性质，像一个交叉线一样。以前是单独的病毒体制，病毒和蠕虫不是一个概念，病毒是不断的复制自己，蠕虫是利用系统本身的漏洞进行传播。而现在发展成两者融合一起，新一代的攻击技术出现了，病毒技术加蠕虫技术既利用系统漏洞攻击进入系统，还通过受感染系统迅速传播、不断复制，像SQL Slammer病毒就是利用SQL SERVER 2000的解析端口1434的缓冲区溢出漏洞对其服务进行攻击和传播，蠕虫加病毒的方式现在最为可怕。

另外，软件漏洞会成为今后的重点。以前黑客攻击主要利用系统自身的安全漏洞，而现在利用软件漏洞进行攻击的越来越多。比如，黑客可以利用Microsoft Office组件的问题，能够在Word里嵌入一段代码，当打开Word文件后，代码也将自动执行。也就是说，当你打开文件在看内容的同时，主机很可能已被黑客控制了。同样的问题还出现在：Realplayer播放器、Adobe PDF阅读软件等。另外，黑客与微软之间的“漏洞PK补丁”战争，使得可以利用的系统漏洞愈发少见，这使攻击者的目标开始转向诸如Flash、千千静听、暴风影音这类常用软件暗藏漏洞的挖掘利用。所以由于软件漏洞所引发的安全问题是非常值得重点关注的。尤其是涉密人员和单位要时刻警惕，不要随意打开陌生邮件或未知不可信任的文件。

安全向来都是相对的，没有绝对的安全。比如Windows7，Windows7从某种程度来说是很安全，比如做好主机安全策略、日常使用规范、加防护软件等等，短时间内它是安全的，但是仍然面临很多风险。现在突破Windows7的攻击手段越来越多，目前有些木马就能突破Windows7的UAC防护。但攻击永远是防不胜防的。

从应用安全到数据安全

对于普通用户、网友来说，他们最关心的是自己的网银账号、网游账号、电子邮箱账号……等各类个人账号、密码、隐私是否会被盗，自己的电脑是否会感染木马病毒，个人如果解决这类问题的话，实际很简单，只要安装好常用的安全防护软件就可以，如：360。定期对系统进行扫描和检查，发现问题及时修补。

企业在安全需求上则不同，企业所需要的安全防护更广泛，比如采用Web应用防火墙，对企业的B/S应用系统进行安全防护；采用Web应用安全扫描器，对企业的网站系统进行定期扫描，发现问题，解决问题；采用数据库审计系统，对企业的核心数据库进行审计和记录，发现蛛丝马迹，谁在什么时间做了什么，有据可查等。

另外，安全管理是极为重要的部分，也是最难去做的部分，因为安全设备之间还没有统一的标准。各家不一样，接口不统一。

现在有些用户希望在建立大的安全管理中心同时，结合后台运维或者自己有一套运营系统。这是一个很好的理念：人、技术、流程、标准、运维，再结合动态防御，形成大的安全防护体系，同时建设安全管理中心，提高安全服务水平，从而能够达到安全状态可视化、可运营化。但实现起来依然困难重重，这也是目前安全的瓶颈之一。

三分技术七分管理

再好的技术和产品也要看如何使用、怎样使用，安全向来是三分技术、七分管理。购买再全的安全设备，但如果没有很好的安全意识、没有很好的安全管理制度、体系、相关规定，包括人员方面的建设等，而仅仅进行了安全设备的罗列和部署，实际上等于将安全设备都扔在一边不用是一个道理，那整体安全水平还是很低的。

当前的安全将会逐步以应用安全、Web安全为主，慢慢发展起来。而最重要的是：加强人们的安全意识是当前最为紧迫的问题。