時值年末，國內主流專業技術網站、社交網站等爆發的群體性用戶數據泄漏事件，再一次將安全的等級提升到了前所未有的高度。一時間互聯網關于“拖庫”，“修改密碼熱潮”，充斥到網絡的各個角落，國內用戶安全神經的緊繃程度直逼當年的“CIH”，“熊貓燒香”等重大安全事件爆發時的心里承受底線，而如此重大的數據泄漏事件相信一定會被載入中國安全發展的歷史。將2011年定義為數據安全年一點都不過分，一波接一波的安全陰霾會給2012乃至未來的安全發展帶來怎樣的深遠影響。哪些復雜、手段更加隱蔽、方式更加多樣化的威脅會在2012年震動IT的神經?同時，屹立在安全潮頭的領航者們也不得不慨嘆“我們命該遇到這樣的時代”，哪些技術和產品能夠成為這個時代的弄潮兒，誰又會成為這個處于安全變革轉型期，威脅亂象叢生時代的“末世”英雄?ZDNet將與你一起從2012安全威脅的發展趨勢，安全技術和產品變革的方向，以及云計算安全的未來走向三個維度進行探討。2012年安全無論是毀滅還是新生，都將開啟新的英雄時代。

CSDN網站600余萬用戶資料遭泄露，給眾多企業信息安全保障帶來恐慌

毀滅or新生——安全威脅篇

APT攻擊“橫掃千軍”

業界普遍認為2010年的伊朗“震網”病毒事件，是APT的首例攻擊實例。然而今年年初，RSA公司遭受入侵，部分SecurID技術及客戶資料被竊取，這一被外界賦予神秘外衣的APT攻擊逐漸引起業界關注和討論。截至2011年10月，APT攻擊已在全球多個國家的政府和企業內部發生，造成的損失難以預估。

2011年3月，RSA公司遭受入侵，部分SecurID技術及客戶資料被竊取。源于攻擊者給RSA的母公司EMC的4名員工發送了兩組惡意郵件

APT攻擊可以被看成是各種社會學攻擊與各類0day利用的綜合體，具有很強的針對性，攻擊觸發之前針對攻擊目標收集大量關于業務流程和目標系統使用情況等信息。這種攻擊和普通攻擊行為的差別體現在，APT出于經濟或其他利益的動機，會利用多種惡意軟件和黑客技術武裝自己，攻擊者愿意花時間和精力瓦解組織的防御能力。

我們發現，在APT極高的隱蔽性和目的性面前，大部分企業和組織的安全防御體系都失靈了。攻擊行為開始從亂槍打鳥向定向、目標性攻擊演變，2012年以至未來，攻擊者為目標定制的攻擊方式將逐漸顯現并且開始個性化。企業只有健全安全標準、安全流程與規范、員工培訓等形式形成完善的安全防護體系，尤其是將“人與信息”納入防范機制，對抗目標性攻擊。

社交媒體“所向披靡”

用“人類已經阻止不了SNS了”這句話，來形容社交媒體的發展一點都不為過。一方面企業認識到社交媒體帶來的價值，另一方面從國內的開心網到微博的普及，企業和員工在得到便利的同時，也帶來了數據丟失、員工辦公效率和惡意軟件風險。2012年，社交媒體的資料將成為社會工程學攻擊的渠道。盜取信息的人利用社工技術迫使終端用戶公開敏感信息、下載惡意軟件。

另外，企業傳統應用開始融入社交媒體的協作功能，這種趨勢將讓公司制定和實施政策并為更精確的控制制定新要求時更加復雜，IT主管的任務是如何保護網絡免遭黑客攻擊和保證生產率。企業在制定合情合理的用戶政策的同時，應該監督員工使用社交媒體的情況，保證他們遵守公司內部政策，降低發生欺詐事件的概率。

邊界安全“強弩之末”

其實早在幾年前，就有人預測針對移動終端攻擊時代的來臨。然而隨著今年包括智能手機、平板電腦等移動設備的風靡，越來越多的企業通過移動終端的應用來提高生產力。但是由于缺少對移動設備的安全和管理手段，大范圍的攻擊在2011年爆發了。

無疑，2012年企業將會以更加開放的態度迎接移動設備的接入，用戶在任何時間和地點接入企業網絡將會越來越明顯，這使傳統網絡安全防護的邊界逐漸模糊。CIO和IT經理們對移動設備談論最多的恐怕是其帶來的網絡危害、數據丟失和違法法規。并且可以預計的是，針對移動定位服務來設計各種通過地理定位發起的社會工程學攻擊將會被越來越多的罪犯利用。移動設備應用功能趨于桌面計算機的同時，針對安全性的要求也要與PC的安全管理一視同仁。企業要建立移動設備可接受的用法制度，并審計和監視員工中移動設備的活動情況，來檢查安全策略的遵守情況。

云服務“云之罪”

隨著數據向云平臺轉移，網絡攻擊者和數據竊取者也將聞風而至。最直接的威脅是竊賊從廠商用于存儲數據的服務器上竊取信息，遠程操控、公司內部人士或其他獲準進入數據中心的人員都有可能竊取，任何被竊數據都極有可能被非法復制。

另外值得注意的是，云服務帶給用戶按需的計算模式同時，也給網絡犯罪提供了大量的計算資源。這些資源具有強大的網絡攻擊性，并具有很強的破壞性。因為云服務的租金將越來越便宜，各種類別惡意代碼將會低成本的濫用在大多數合法的云服務上，這種合法的云服務將繼續被不同的網絡攻擊犯罪所利用。云供應商應該反思，以期更好的監測系統消減利用云發動的惡意攻擊。

搜索引擎“功與過”

搜索引擎擁有龐大的用戶群是毋庸置疑的，但它不僅是互聯網上最流行的應用，也是惡意網絡的主要進攻發起點。2011年上半年，搜索引擎中毒是最流行的惡意軟件載體。據某廠商的調查報告顯示，在近40%的所有惡意軟件事件中，搜索引擎/門戶網站是進入惡意軟件交付網絡的切入點。

BlueCoat2011年中網絡安全報告顯示，搜索引擎中毒是最流行的惡意軟件載體

網絡罪犯根據新聞事件創造感染的搜索結果，把其作為發起攻擊的誘餌，然后通過數量巨大的用戶基數進行傳播。尤其是2012年到來的倫敦奧運會、美國總統大選以及瑪雅歷法、末日預告等熱點新聞和事件會被用來炮制誘餌，騙取用戶點擊惡意鏈接。只有通過更好的監管搜索結果，才能避免成為惡意網絡的攻擊發起點。#p#
毀滅or新生——安全技術變革篇

下一代防火墻

2011年一開年，多家廠商不約而同的開始對下一代防火墻(NGFW)齊發力。銳捷網絡、梭子魚、深信服陸續在國內發布下一代防火墻產品，加上耕耘已久的SonicWALL、juniper、CheckPoint等廠商，這個在2009年Gartner定義的來形容防火墻進化發展的產品開始進入IT經理們的視野。

[[54367]]

ZDNet安全頻道曾在9月份重點專題報道：下一代防火墻能否笑傲江湖

雖然NGFW沒有統一的標準，各家廠商對NGFW的發展訴求是一致的，把傳統防火墻將訪問控制對象從網絡層、傳輸層(L3-L4)調整為應用層(L7)協議，并能夠識別用戶、應用和內容，具備完整的安全防護能力的高性能下一代防火墻。

對于用戶而言，要的不僅是高性能、多功能的安全產品，在面對威脅時，一款定位于邊界防御的安全產品能否表現出穩定和高可靠性至關重要。會不會和當時UTM推出一樣，是一些安全產品或功能的疊加，這有待市場的檢驗。但長期來看，NGFW代表了未來綜合安全網關的發展方向，國內其他FW、UTM等廠商在2012年也會改進現有產品線以符合NGFW方向。技術上也將不斷發展和規范，在市場逐步接受的同時，NGFW的統一標準也會期待推出。

下一代IPS

Gartner在今年10月份發布題目為《定義下一代網絡入侵防御DefiningNext-GenerationNetworkIntrusionPrevention》的報告指出，“未來的威脅將集中在將目標惡意程序安裝于用戶的PC，采用先進的技術躲避檢測并使用僵尸網絡傳遞機制實施多級攻擊。在這樣的環境下，只簡單地阻止針對未修補服務器的攻擊時遠遠不夠的。”

Gartner使用‘下一代網絡IPS(next-generationnetworkIPS)’這一術語來表示網絡IPS需要不斷發展，以應對網絡通信和應用程序以及安全態勢的變化。除具備標準的第一代IPS功能外，下一代IPS至少還擁有應用程序感知、背景感知、內容感知，提供全套堆棧檢測。

10月12日，邁克菲就宣布推出其網絡安全架構，稱該架構將先進的網絡入侵防御與下一代核心控制功能相集成。也許你會覺得下一代防火墻剛耳熟，下一代IPS又鉆進視野，到底是概念炒作還是真有其用?誰能代表安全產品的明天?無論怎樣，只有滿足客戶需求，在實際使用中可以提供良好效率和安全性的產品才是王者。但根據安全圈子的規律，明年會有更多的廠商跟進推出類下一代IPS產品。

安全運維SOC

SOC作為一個舶來詞，并沒有形成統一的定義。某媒體調查顯示，在用戶對SOC的認知程度調查上，調研結果比較讓人驚訝，僅有6.6%的用戶表示對SOC安全運維管理很熟悉。57%的用戶了解一點兒。而高達36.4%的用戶不了解。但是，安全管理的需求卻很突出，市場亟需培育。

SOC安全運維管理平臺致力于將目前信息系統中各類數據孤立分析的形態轉變為智能的關聯分析，并借助整個平臺，實現技術人員(維護人員、應急小組)、操作過程(相應的管理制度和事件處理流程)和技術三者的融合。解決海量數據和信息孤島的困擾，整體上簡化安全管理的數據模型。

在安全防御無邊界的今天，安全意識與體系推廣顯得尤為重要。如果云安全技術將所有人都加入到了安全防護中來，那么SOC就做到了從信息的源頭杜絕了威脅的發生。在未來，SOC管理理念將與云安全等新技術有機結合，更好地服務于行業用戶的安全運維管理。

可信云計算

業界預測明年將會有更多的企業從觀望轉向真正采用云服務。但在云技術當中，數據的移動、存儲和訪問都和以往不同，多數CIO在考慮企業數據和信息遷移到云端時，對云計算缺乏可信，成為云服務更廣泛采用的絆腳石。

我們看到2011年，以RSA為首的安全廠商開始倡導可信云計算的重要性。確實，IT主管們只有覺得向云端遷移就像向銀行存款一樣放心，才會到云普遍應用的那一天。這需要企業對云信任的幾個因素：可視性、控制性和法規遵從。2012年，不論是云供應商還是第三方機構都會有更多的產品或技術證明企業的數據在云服務環境中得到了很好的保護。同時，更加完善的數據訪問策略和機制保證企業對云環境的控制。并且，在遷移云環境之后，企業要像以前一樣滿足政策監管規定和企業內部的合規性。要達到這些要求，需要身份安全的強認證機制、保護基礎架構的安全技術、以及數據加密和丟失防護的技術，這在明年會有較多的廠商跟進和投入使用。

高級安全系統

隨著數據存儲系統、計算能力和分析能力方面的進步，信息安全管理的大數據時代已經到來。企業的安全團隊需要迅速甄別出內部的威脅，保護信息資產，隔離基礎設施受損部分，從而消除攻擊威脅。信息安全必須從現有的常規和不協調的靜態單點產品陣容，向更高級的安全系統發展。

RSA執行主席亞瑟?科維洛在RSA2011大會上表示，面對新的威脅局面，過去的信息安全技術已經疲于應付，并歸納了未來高級安全系統所要具備的基本特征

這要求高級安全系統需要具備幾個特征，首先是一個治理、風險和法規遵從框架，讓企業可以快速響應缺陷和漏洞，對合規要求進行報告;必須具備靈活性，更智能的發現和阻止復雜攻擊必需的感知能力和能見度。大型企業往往有相關的技術和能力，建立高級的安全管理系統。但隨著時間的推移，中小企業未必能跟上威脅發展的步伐，供應商要確保為中小企業提供安全的能力。#p#
毀滅or新生——云計算安全篇

云計算安全標準兼容法規呼之欲出

眾所周知，云計算缺乏統一的標準，比如數據存放在哪里，云計算供應商是否滿足當地政府的要求和行業標準等等。同樣云計算安全也面臨同樣的問題，企業一旦從云計算供應商那里選擇服務，那么信息與數據的安全如何規避風險?

關鍵的問題之一就是全球化的兼容性法規的制定，如果要充分發揮云計算的優勢，為了實現彈性資源的收放自如，降低成本。那么眾多的云提供商就要與政府一起合作，制定標準的針對數據、隱私方面的共同標準。包括考慮功能、司法和合同幾方面的問題，比如政府管理法案和制度對于云計算服務、利益相關者和數據資產的影響等等。

另外，在云計算環境如何通過執行安全策略和相關法規來保證企業自身的合規性也十分重要，比如與云供應商明確在合規責任上的區別，云提供商合規方面的能力等等。

總之，未來全球范圍內法律對合規的需求使得法律人士和技術專家需要更密切的配合，這一點在云計算中顯得尤為突出，原因在于云特有的分布式生態環境產生了潛在的法律風險。

云安全聯盟(CSA)發布云安全指南新版本3.0，目前中文版還未推出

云計算安全服務變革蓄勢待發

據Gartner預測，云計算安全服務占據了安全服務市場20%的份額，預期到2013年將會占到60%的份額。以云計算方式提供的安全應用服務，在2013年將會增長三倍。隨著企業成本控制因素在企業IT采購中所占到的比重越來越大。基于安全廠商自身強大云安全平臺為基礎的云計算安全服務，將給安全產業帶來全新的改變。

云計算安全服務供應商將安全控制及功能提供給企業，為企業提供極具成本效益的技術和服務，比如身份認證、DLP、漏洞管理、Web安全等服務。

因為云計算的特性是資源按需提供，靈活極具彈性。企業可根據需要隨時增減安全功能，對企業評估安全開始的有效性。如果企業對目前安全架構的有效性存在疑惑，或沒有能力短期內完成自身安全架構的建設，則完全可以選擇云計算安全服務保障企業Web、郵件等系統的安全性。云計算安全服務能以快速、符合不同企業規模的方式按需定制。而隨著又更多的提供云安全服務的廠商加入競爭，企業選擇云安全服務的門檻也將降低，將給企業帶來更高的價值。

企業可以選擇讓自己購買的安全設備真正發揮作用。也可以在安全即服務的模式下，將關注點從日常的安全運維轉到業務的運營。

虛擬化安全進入高速發展期

從虛擬化到數據中心，再到云計算。雖然對云計算的定義存在千差萬別，但公認的是云計算一定要做資源池，所以虛擬化在云計算中始終扮演舉足輕重的角色。如何實現虛擬化的安全是所有企業步入云計算的首要擔心元素。從物理走到彈性環境如何控制?虛擬機如何實現安全管理?

虛擬化安全經過緩慢的起步之后，眾多的廠商紛紛在虛擬化安全控制和管理方面取得了進步，為防火墻、入侵防御提供虛擬設備選擇，將迎來新一輪的高速發展期。根據Technavio的調查顯示，預計在2014年虛擬化安全管理解決方案的市場規模將達到15.73億美元，年復合成長率將高達46.9%。

因為云計算服務選擇了虛擬化技術，那么虛擬機間的隔離和安全防護是必須要考慮的。虛擬通信流量對標準網絡安全控制來說是不可見的，無法對其進行監控和檢測，那么安全控制功能需要在虛擬化環境中采用新的技術和手段。同時數據和資源的集中到底是否安全?以及不同安全級別虛擬機該如何共存?等問題將得到更有效的解決。

另外以虛擬化為重點的基于軟件的安全控制和管理解決方案將在未來得到企業的認可，雖然目前這一趨勢還存在著不確定性，市場規模也有限，但比硬件成本要低的軟件誰不愿意選擇呢?

云計算能否邁過數據安全這道坎

從安全角度看，大數據是指規模和格式前所未有的大量數據，搜集自企業的各個部分，互相關聯，以便進行高速分析。隨著數據存儲系統、計算能力和分析能力方面的進步，數據安全管理的大數據時代已經到來，那么云計算必須邁過數據安全這道坎。據早先一份調查顯示，21%的受訪者擔心云計算會產生數據丟失。20%的人拒絕使用云服務，因為他們對數據安全心懷疑慮，而這樣的憂慮在中國更為突出。

虛擬化安全和數據安全是云計算安全防護的重點。2011年企業數據安全成了重災區，這無疑給企業放心的將企業數據放入云端埋下了伏筆。2012年云計算能否邁過這道坎，成了擺在企業面前的實際問題。云計算產業的發展必須克服數據加密、遷移、備份、數據傳輸安全等方面的問題。

不論企業數據放在云端或本地，或是是企業選擇私有云模式還是公有云模式，安全問題都是需要考慮的。需要評估數據的風險和合規性，當然如果企業數據在自己的數據中心不需要考慮這方面的因素，那么一旦進入公有云這樣的問題就變得完全不一樣了，需要關注數據隱私保護、數據歸屬、服務協議保障(SLA)、數據完整性、數據刪除和持續性、不同數據的混合等等諸多問題。

可以預見是針對企業數據的高持續性安全威脅，將在2012年來的更加兇猛，因為越來越多的企業意識到云計算的大勢所趨，盡快選擇已使然，而數據安全的階段性瓶頸而又不得不面對，這就給了云計算犯罪更多的利益驅動力。所以確保數據安全在未來，依然是云計算取信于用戶的關鍵，而關鍵數據的安全性是企業業務正常運轉的保障，所以針對關鍵和敏感數據安全的解決方案和策略對企業至關重要。

安全成云計算可管理性重要指標

云計算是顛覆性的概念，對所有領域而言都是全新的，不可能一蹴而就的。邁進云計算將面臨不同數據，不同資源的整合，如何區分數據，如何保證正確的人有正確的權限訪問合適的數據和資源，將變的越來越重要。而目前的狀況是還存在很多的數據和資源無法進行物理的控制，這就給安全帶來了全新的思考。

安全已經逐漸成為衡量云計算可管理性的重要標準，管理包括企業風險管理、信息風險管理、第三方機構對云提供商提供管理、信息生命周期管理、加密和密鑰管理和身份和訪問管理等等。

比如企業風險管理的最佳實踐。許多云計算部署中缺少對基礎設施的物理控制，因此與傳統的企業擁有基礎設施相比，服務水平協議(SLA)、合同需求及提供商文檔化在風險管理中會扮演更重要的角色。

比如信息風險管理，需要成熟模型評估管理的有效性，對與企業選擇不同的云計算模式時，企業都需要知道信息的采集、流程、分析等要求。身份和訪問管理利用目錄服務來管理身份，提供訪問控制能力，企業將身份管理擴展進云中遇到的問題等。這些管理層面問題不再展開討論。

【編輯推薦】

1. 下一代防火墻熱潮退后的冷思考
2. 云計算安全的共識、共鳴和挑戰
3. 下一代防火墻贏在“應用識別”
4. 云計算安全 路在腳下