|
• 针对数据安全的可审计性要求将会逐渐普及 预测性文章的作者一般都尽量避免太直接的表述,而是喜欢通过暗示的方法提出引人注目的观点,并且通常试图造成这样一种感觉:“这个观点是由本文首次提出的”。这里,我也尊重这一习惯,以比较夸张的方式开始这篇文章。
2007年令人震惊的IT安全预测:在体验过Vista系统全新的并且有效的安全措施(如用户帐户控制和PatchGuard)之后,用户不停地抱怨“微软的系统过于‘安全’了”。史蒂夫鲍尔默回答:“唉,这不是你们一切要求的么?”,但不久之后又不得不做出让步,于是微软发布了Vista Service Pack1,推出了“Windows 95安全仿真”模式。 夸张归夸张,现在让我们回到现实中来:IT供应商多年来一直面临困难的选择:允许无限制地访问和使用所有功能会面临安全风险,而加强安全性又必须以牺牲可用性为代价。通常人们只能在“拥有无限权限的超级用户模式”以及“最高安全级别模式”之间寻找平衡点。不幸的是,准确定位平衡点是非常困难的,最好的情况是IT供应商提供自由的功能选项,而将配置工作留给IT人员和安全管理员。有人认为这样做是不够的,应当在缺省情况下就使用最严格的安全策略,尽管这种建议的初衷是好的,但提供这种观点的人可能确实不太熟悉IT支持工作费力不讨好的特点;另一些人则认为IT太复杂了,而用户教育和培训也没有太大用处,计算机应当变得像家电一样容易使用。尽管这听起来不错,但却太理想化了,而且忽略了这样的事实,即家电产品都是专用的、功能固定的系统,而计算机的价值恰恰在于其开放式应用所具有的灵活性以及由此带来的潜力。 尽管缺乏普遍的共识,但IT行业仍然在坚定不移地追求更高的安全性,特别是在安全强度以及可用性方面。下面是对2007年安全行业发展的一些预测: • 针对数据安全的可审计性要求将会逐渐普及 现在已经有这样的先例,用户起诉产品供应商,因为其产品有可被利用的漏洞和缺陷。因此供应商发现,不得不对源代码进行更全面的测试,从而保证用户不会因常见的漏洞而遭受损失,例如缓冲区溢出和权限漏洞。像Coverity和Klocwork这样的代码执行路径分析工具将会成为开发周期中不可缺少的工具,这样可以保证尽量在发布前发现缺陷并进行改正。提供此类源代码分析工具的企业将会成为安全行业大家庭的一员。这方面的需求还将迫使Flawfinder 和 Splint这样的开源代码分析工具进一步演化,从而为独立开发人员提供可用的代码分析工具。某些地方的司法当局将会强制要求销售此类产品的供应商证明自己采用了此类工具作为安全措施。一系列新的或扩展的行业认证计划将会包括这一部分内容。 (有利的预测:不屈不挠的RIAA、 MPAA、IFPI和MPA在花费巨额代价了解到IP地址并不能直接与个人对应后,又联合发起了一项新的运动,旨在加快IPv6的采用,同时试图游说将NAT(网络地址转换)定为危险行为并加以禁止。) |
