2010-12-02 22:57:00 来源:中国计算机报
在首届于中国举办的RSA 2010信息安全国际论坛上,信息安全领域最具影响力的五大思想家之一赫伯特·H·汤普森指出:“黑客正在不断改变攻击方式,人们只有同样具备‘黑客式’的思维方式,从黑客的角度去看安全,才能发现潜藏的威胁。”
黑客更关心应用
整个信息安全领域正在产生巨大的变化,信息安全的主题从终端安全、网络安全向应用安全转变。以前人们可以通过参数决定网络的安全性,而现在网络安全的评估标准是数据的安全,应用漏洞才是风险的根源。软件的安全性变得越来越重要,它正快速延伸到个人应用。以前黑客还仅仅是攻击Windows系统,而现在像Flash这样的应用才是攻击者的最爱。
赫伯特·H·汤普森表示:“信息安全领域中出现了很多非常有意思的问题,有的问题是逻辑性很强的,有的是完全没有逻辑的。对于现在的黑客来说,他们总是在不断进行改进。由于软件设计越来越复杂,我们不能再按照以前的态度去对待黑客,反而要重视一些极端的例子。而且,我们要不断地向自己提问,比如我所研究的应用和系统将会出现什么样的问题。我们要怀有这样的热情,打破以往固有的范式,像黑客一样思维。当前,在美国的大学里,我们已经开始向学生们灌输‘黑客式’的思维方式。”
当前许多关于应用安全的标准定义都仅限于应用的保密性、一致性等问题,但赫伯特·H·汤普森认为,信息安全的脆弱性更多源于应用与安全的不匹配关系。比如,软件设计者如何能够合理地使用户得到相应的信息,如何让软件起到合理的作用。
就某些方面而言,软件开发者的“坏习惯”是让应用不够安全的根源之一,绝大多数开发者在编写代码的过程中都没有考虑安全性。赫伯特·H·汤普森表示,已经有许多大型企业、机构开始对开发人员进行安全培训,培训自己的开发者正确编写安全的代码,增强开发者的安全意识。此外,现在还有对源代码进行安全漏洞扫描的工具,开发者可以利用这些工具,发现其所开发应用的安全隐患。
云计算的双面刃
EMC全球执行副总裁、RSA全球总裁亚瑟·W.·科维洛表示,新一轮经济增长的动力是云计算,但是由于安全问题没有解决,目前人们对云计算缺乏信心。解决云计算的安全问题,需要采取综合的、系统化的、内嵌的安全方式。正如黑客形成地下产业链一样,全社会的企业、厂商和政府也要协同工作,形成针锋相对的产业链,才能击败黑客犯罪集团。
CIO们往往会担心当企业业务与云结合后,要考虑更多的动态因素,以及资源的可控性。毕竟虚拟机可以在不同的物理机上通过某种机制进行转移,这一动作甚至会连带防火墙或者整个安全策略发生变化。
赫伯特·H·汤普森解释说:“云计算在给人们带来便利的同时,也会给黑客带来‘便利’。黑客可以利用云计算资源,研究出更有创新性、更高效的攻击方法。比如个性化的定制攻击,会伪装成人们的朋友、亲人,通过Twitter、Facebook、开心网等发起让人难以察觉的网络攻击。现在的IaaS和PaaS都存在一定的安全隐患,但人们已经开始关注这个问题了。 ”
免责声明:本网站(http://www.ciotimes.com/)内容主要来自原创、合作媒体供稿和第三方投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
本网站刊载的所有内容(包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等)版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时,请及时通知本站,予以删除。