本周信息安全威胁等级为低,值得关注的新闻集中在安全漏洞、网络安全和安全市场方面。
 
本周(080204至080210)是我们期待已久的传统节日春节,J0ker在这里给大家拜个年,祝大家在新的一年里身体健康、工作顺利、万事如意! :)
本周信息安全威胁等级为低,值得关注的新闻集中在安全漏洞、网络安全和安全市场方面。

安全漏洞:统计显示2007年漏洞总数量有所下降;关注指数:中
新闻:周三,来自SecurityFocus的消息,IBM下属的安全厂商ISS发布安全报告称,2007年全年所报告的安全漏洞总数量比2006年下降5.4个百分点,这是安全漏洞总数量从2000年来首次出现的下降,之前几年每年的安全漏洞总数量都以平均每年28%的速度增长。这份报告是第二份得出漏洞总数量正在下降这个结论的安全报告,去年十月份Microsoft曾发布安全报告称,2007年下半年所发现的漏洞总数量比上半年有了一定幅度的下降。
笔者观点:尽管来自ISS和Microsoft的补丁报告都认为,2007年中所报告的漏洞总数量要比2006年有小幅下降,但从主要厂商所报告的漏洞数量来看并没有明显的改善,如Microsoft 的产品去年所报告的严重漏洞的数量并没有明显下降,Internet Explorer去年所报告的28个漏洞中,有20个是较为严重的内存破坏漏洞,这和2006年所报告的相同漏洞的数量差不多。笔者认为,2007年所报告的漏洞数量有小幅下降,仍然属于正常的波动范围之内,这种情况也有可能是因为漏洞的报告方式和威胁趋势的改变引起的,如CVE漏洞数据库以前曾经把同一个漏洞的不同表现形式都算作不同的漏洞,各软件厂商的内置更多安全设计的新一代软件产品的推出,也在不同程度上减少了安全漏洞。因此,尽管漏洞攻击方面的基本面虽然向好,但安全业界和软件厂商也不能放松警惕,Web应用程序、操作系统及第三方软件漏洞的威胁,仍然会是2008年内最值得关注的安全防御方向。
 
网络安全:Cisco调查显示企业的远程用户安全意识薄弱;关注指数:高
新闻:周二,来自Techweb的消息,Cisco进行的一项针对企业远程用户的调查显示,企业的远程用户的安全意识薄弱,进行不符合信息安全规范的行为的用户比去年更多。在接受该项调查的超过2000名用户中,各有半数的企业IT管理员和远程用户,许多受调查者认为当前的互联网要比之前的更为安全,从前年的占48%增长到去年的56%,因此远程用户也比之前更敢于做不符合安全规范的行为。
笔者观点:Cisco的调查结果反应出虚假的安全感觉所导致的用户在使用信息资源时的不安全行为增多,而实际上互联网的安全状况仍然不容乐观,尽管在2007年由于各软件厂商推出新一代产品和安全技术发展带来了用户的安全防御程度有所提升,但用户的自己安全意识的下降仍然会导致更多本来可以避免或技术无法控制的安全事件的发生。另外,在Cisco的调查报告中,也显示出远程用户接受到的由其所属企业提供的安全培训的覆盖面较窄,大部分企业目前所提供的安全培训的主要内容是传统PC平台上的一般恶意软件防护和有线网络的安全操作,但往往没有包括移动计算设备、无线网络等较新技术的安全培训,这也导致了许多远程用户不安全的使用这些较新技术。笔者建议,企业在准备及进行安全培训时,应该加入当前威胁趋势和企业中应用的较新技术等内容,以保证用户的安全意识和技能与技术同步更新。
 
安全市场:身份识别管理市场前景良好;关注指数:高
新闻:周五,来自Techweb的消息,根据市场调查机构Forrester Research最新发布的一个研究报告,身份识别和访问管理产品的市场规模将从2006年的26亿美元,增长到2014年的123亿美元。
笔者观点:许多企业对身份识别和访问管理产品感兴趣,或者已经开始部署,但它们往往不清楚身份识别和访问管理产品是如何 带来价值的。企业所面对的法律法规要求将是身份识别和访问管理产品市场发展的最大推动力之一,企业需要提供能够有效对敏感信息的访问进行控制的证明,也需要限制用户只能访问他们工作需要的信息资源,而身份识别和访问管理产品正好满足了企业的这个需求。目前市面上已经有不少厂商提供这类产品,但现在销售情况最好的却不是完整的身份识别和访问管理方案,而是这类产品中的某些主要元素,如单点登录等组件。笔者认为,随着身份识别和访问管理市场的发展,将会推动单点登录等技术的发展,但目前市场的趋势是这些技术最终仍将集成到身份识别和管理方案去,而现有的独立版本会逐渐退出市场。另外,身份识别和访问管理市场的发展也会带来对更广泛的企业用户和行业覆盖,国内的相关企业也可以适当考虑一下这方面的发展机会。