【51CTO.com獨(dú)家翻譯】一項(xiàng)對(duì)二十多年間成千上萬款安全產(chǎn)品進(jìn)行調(diào)查的研究發(fā)現(xiàn)，大多數(shù)產(chǎn)品獲得認(rèn)證之前需要經(jīng)過多輪測(cè)試。

周一發(fā)布的一份報(bào)告指出，78%的安全產(chǎn)品在首次測(cè)試時(shí)不能按照計(jì)劃運(yùn)行，并且需要至少兩輪的進(jìn)一步測(cè)試才獲得認(rèn)證。

這份《ICSA 實(shí)驗(yàn)室產(chǎn)品保證報(bào)告》來自 ICSA 實(shí)驗(yàn)室，它是 Verizon Business 公司的一個(gè)部門。這份報(bào)告是與 Verizon Bussiness 公司的數(shù)據(jù)破壞調(diào)研團(tuán)隊(duì)聯(lián)合推出的，調(diào)查結(jié)果基于對(duì)過去二十多年間的上千款安全產(chǎn)品測(cè)試的調(diào)查和研究。

這份報(bào)告的目的是讓購買者認(rèn)識(shí)到“在安全產(chǎn)品領(lǐng)域，所有事情并非是表面看到的那樣”，并且讓銷售商了解認(rèn)證流程中常見的易犯的錯(cuò)誤。

ISCA 實(shí)驗(yàn)室總經(jīng)理喬治·杰帕克（George Japak）和該報(bào)告的一個(gè)聯(lián)合作者在一項(xiàng)聲明中指出，銷售商應(yīng)將認(rèn)證失敗視為提升他們產(chǎn)品性能的機(jī)會(huì)。

僅有 4% 的產(chǎn)品在第一輪測(cè)試時(shí)通過認(rèn)證。不過，大多數(shù)銷售商都致力于彌補(bǔ)他們產(chǎn)品中的缺點(diǎn)，并再次提交進(jìn)行認(rèn)證。結(jié)果是 82% 的提交產(chǎn)品最終獲得了認(rèn)證。

82% 這一數(shù)字是平均值，其中包含了殺毒軟件、網(wǎng)絡(luò)防火墻、Wep 應(yīng)用程序防火墻、網(wǎng)絡(luò) IPS、IPsec VPN、SSL VPN 以及定制測(cè)試產(chǎn)品。對(duì)于這些產(chǎn)品列表中大多數(shù)，最終獲得認(rèn)證的產(chǎn)品百分比范圍為：80%至100%。但其中一個(gè)類別——網(wǎng)絡(luò) IPS——是一個(gè)例外：僅有 29% 的網(wǎng)絡(luò) IPS 產(chǎn)品獲得了認(rèn)證。報(bào)告稱該類別產(chǎn)品包含了那些具有嚴(yán)格測(cè)試要求的復(fù)雜科技，并指出許多銷售商因無法通過這些嚴(yán)格的測(cè)試而在認(rèn)證流程中被淘汰。

這些認(rèn)證失敗的根本原因在于經(jīng)過測(cè)試的產(chǎn)品沒能夠做到他們應(yīng)該完成的功能。

對(duì)于殺毒產(chǎn)品，失敗原因在于無法阻止病毒，而對(duì)于IPS（防止入侵系統(tǒng)），在于沒有能夠屏蔽惡意網(wǎng)絡(luò)攻擊。

未能正確地記錄數(shù)據(jù)日志是認(rèn)證失敗的第二個(gè)最常見的原因。

安全問題是認(rèn)證失敗的第三個(gè)最常見原因。44% 的安全產(chǎn)品都出現(xiàn)這種問題。

“更具諷刺意味的例子之一是，我們?cè)龅揭粋€(gè) Web 應(yīng)用程序防火墻，它在Web 管理界面中暴露了大量脆弱點(diǎn)，”該報(bào)告。“對(duì)于定制測(cè)試程序、Web 應(yīng)用程序防火墻和網(wǎng)絡(luò)防火墻程序，跨站腳本編程、SQL 注入、緩沖區(qū)溢出漏洞和未加密管理界面是一些常見的安全問題。”

【51CTO.com 獨(dú)家翻譯，轉(zhuǎn)載請(qǐng)注明出處及作者！】

【編輯推薦】

1. 360殺毒一舉超越卡巴斯基?
2. 趨勢(shì)科技發(fā)文挑釁VB100 金山對(duì)此不以為然
3. 趨勢(shì)退出VB100病毒測(cè)試 強(qiáng)調(diào)評(píng)測(cè)與病毒的不對(duì)等博弈
4. 趨勢(shì)科技：云安全是安全領(lǐng)域的一場(chǎng)工業(yè)革命
5. 2009年世界頂級(jí)殺毒軟件排行(ToptenReviews)
6. 51CTO云安全專題頁
7. 企業(yè)需要在應(yīng)用程序開發(fā)時(shí)保證數(shù)據(jù)安全
8. “云”火墻讓Cisco防火墻能夠與眾不同