现在企业面临的安全挑战比以往任何时候都要严峻。随着渗透工具和漏洞利用攻击包逐渐商品化，安全旧患(如恶意软件等)又被赋予了新的力量。而安全研究人员与网络攻击者之间无休止的战争，以及越来越多的员工与客户需要随时随以多种方式进行网络通信，又更增添了攻击的复杂性。

　更糟糕的是，不景气的经济环境让企业不得不消减对安全基础设施的投资。基于全球信息安全状态调查报告(对来自130多个国家的7200位CEO、CIO、首席信息安全官、首席财务官以及其他负责企业IT和安全投资的执行人员的调查)的PricewaterhouseCoopers' 2010报告指出，安全项目范围减小以及项目部署推迟成为安全项目的成本控制的主要方法。

　在过去五年中，认为“安全开支将增加”的受访者百分比显著下降(6个百分点)，超过50％的受访者表示他们担心成本减少将更难实现安全保护，同时他们表示对企业资产的安全威胁正在增加。

　由于威胁的增加和预算缩减的压力，IT管理员的工作量也相应减少了，不仅包括抵御攻击的工作(他们现在应该已经非常熟悉工具和战略了)，也包括向企业财务人员说明安全投资的工作。在很多公司，企业已经不愿意花太多资金在安全上了。现在首席信息安全官们不仅需要证明企业资产的安全性，还要提供数据说明这种安全性的价值。

　业务领导与IT安全领导间协作加强是非常具有战略重要性的。在经济低迷时期，越来越少的资源被用于专门的安全功能上，然而业务领导在确定开展安全项目前，通常会要求周密且有说服力的计划。现在如果没有明确目标以及衡量是否成功的可靠方法，部署新的或者升级现有安全措施几乎不可能实现。

　管理层的这些要求给安全人员带来新挑战。警报和报告形式的信息不仅能够确保安全设施有效运行，也能够记录安全设备的有效性。企业对管理、风险和合规的高度关注都驱使IT安全部门实现更大透明度，首先就需要部署精心设计的完整的且能够进行集中管理的安全方法，例如防恶意软件、DLP(数据丢失防御)、漏洞评估和软件漏洞修复等。管理威胁的能力以及结合报告与解决方案日志的能力变得越来越重要。

　保护数据免受有组织罪犯的攻击

　无论是来自内部还是外部的攻击，都不是什么新型攻击。很多报告表明在过去一两年中，经济不景气的状况导致网络犯罪几率上升，这是因为经济问题促使恶意团体不断进行网络偷窃，然而很多公司却认为网络威胁主要来自于新型攻击形式，而不是因为经济状况不佳。

　不管是否是新型攻击，数据偷窃已经越来越受到C级管理人员的关注。上面提及的PricewaterhouseCoopers报告也同样指出“在这最关键的时期，保护数据成为首要任务”。受访企业部署数据丢失防御策略的比率已经从2008年的29％上升到2009年的44％。很多调查受访者指出他们的企业不断对数据和信息安全资产根据其风险水平进行优先等级排序。

　现在的信息安全战争的重点就是金钱。最近国际犯罪集团开始出租僵尸网络，随后还帮助较低级别的网络罪犯洗黑钱。以前只有高技术程序员才能涉足网络犯罪，现在即使技术门外汉也能利用网络上的工具包来发动攻击，大部分攻击工具包都有保修期、技术支持和软件版本升级。整个网络秩序已经失去控制，M86在其四月报告中指出，我们开始看到国际服务经济的演化，即“犯罪软件即服务”。

　显然，恶意软件已经成为所有人(从消费者到首席信息安全官)的安全关注问题的首位问题。在过去一年中，我们已经见识到单个攻击(完全无视于签名防恶意软件功能)变种数量的疯狂增加，以及不断增加的被攻击并被植入恶意软件(基于域名分析的Web内容过滤解决方案完全失效)来攻击访问者的合法网站。有针对性的攻击也同样在上升。McAfee在其2009年12月发布的“2010威胁预测”报告中描述了感染蔓延网络问题并探讨了僵尸网络，该网络导致103个国家1295电脑受到感染。

　修复系统和更新软件已经成为很多企业的关键工作。在2009年，几乎所有供应商(赛门铁克、McAfee、IBM等)都报告了应用程序攻击数量的增加。McAfee指出，“攻击者最喜欢使用的载体是Adobe产品，主要是Flash和Adobe阅读器”。安全研究人员发现很多最常被利用的漏洞都是五年前甚至更早以前公布和修复的漏洞。只需要定期丢服漏洞就能够避免这种威胁，然而，修复漏洞是乏味的且费时的。

　社交网络问题

　Web 2.0的普及又为网络犯罪提供了新的方式。用户自己提供的信息成为恶意攻击的主要来源。IBM ISS在2009年年底报告中指出，在合法网站(如PlayStation.com)发现的恶意软件比可疑网站发现的还要多。免费博客服务也被用来发布色情链接从而诱使用户点击并下载恶意软件。社交网络(如Facebook和Twitter)在用户之间建立了某种信任错觉，为攻击提供了完美的攻击载体。

　然而，Web 2.0作为威胁载体的影响无疑会越来越严重，社交网络帮助网络罪犯将所有个人信息都集中到一台在线服务器上，完全不受用户控制。通常情况下，身份盗窃只需花5分钟阅读社交网站就能够完全掌握用户信息。URL缩短服务(如bit.ly和TinyURL.com)不仅简单易用，而且能够很好地混淆真正的URL，并让人和机器都很难分辨链接的安全性。

　HTML 5即将到来，这又将带来全新的攻击方式。一旦web应用程序和桌面应用程序间的区别消失，攻击者将能够很快掌握主动权。企业安全领导人应该深入评估HTML 5以及下一代谷歌Chrome操作系统来确定风险是否大于回报。这种本地资源与互联网资源的合并早期将不会给公司带来很多利益，企业应当保持谨慎。随后首席执行官就会会要求企业支持某种消费者应用程序，因此安全、桌面和web开发团队必须做好准备。

　另一方面就需要保护企业的web 2.0服务器。不仅企业自身容易受到攻击，员工、客户和业务伙伴都会受到攻击。每个公司对于互联网社会都有一定责任，那就是防止自身服务器被用于攻击其他服务器。在网站架构和质量保证体系中建立安全检测，运行web应用程序防火墙和IPS(入侵防御系统)，查找包括跨站脚本漏洞、网页挂马和SQL注入攻击造成的不良验证形式等问题。

　现在面临的威胁与以往的威胁并没有明显不同，只是攻击者更容易利用现存的威胁载体。而在同时，企业又在尽一切可能控制安全成本。在这种情况下，企业要想确保企业网络和数据的安全，就必须部署精心策划的安全措施，并取保业务领导与安全领导间的密切协作。

  欢迎转载，本文版权归于杭州网站建设（http://www.zjteam.com）