作者:litao984lt编译
在应用测试服务商Cenzic公司最新的一份关于网络安全的报告中,该公司针对当前IT安全趋势进行了详细的评估,并建议政府相关部门应该介入,以对企业和个人就如何保护自己的信息作出适当的指导。 【美国1105集团供比特网专稿】在应用测试服务商Cenzic公司最新的一份关于网络安全的报告中,该公司针对当前IT安全趋势进行了详细的评估,并建议政府相关部门应该介入,以对企业和个人就如何保护自己的信息作出适当的指导。
在Cenzic公司上周三公布的这篇题为《Web应用程序安全趋势报告》中,一个最最明显的结论即为:2008年三四季度所公布的安全漏洞的数量在今年上半年已经增加了百分之十,达到了2835个。“而让人惊悚的是这些漏洞中有大概百分之八十都涉及到Web应用程序。”Cenzic表示。
该报告列出了对微软、Mozilla、Adobe及其他软件影响最大的10个重大安全漏洞,以及最常见的“漏洞类型“,这其中包括跨站脚本攻击(cross-site scripting holes)、缓冲区溢出(buffer overflow)、孤线程(孤线程帐户)(orphan accounts)、会议管理和坏应用程序配置管理。
这些漏洞中的大部分都应该受到《萨班斯-奥克斯利法案》(Sarbanes - Oxley法案)、健康保险可携性及责任法案(HIPAA)以及支付卡行业(PCI)安全标准的限制。但是,所有上述这些法案都只是从其涉及的单方面进行管制或强调。比如我们拿PCI来说吧:正是由于在去年的“Hannaford Bros.数据外泄事件”以及去年一月份的Heartland Payment Systems公司因第三方支付处理器问题导致信用卡数据泄漏事故之后安全专家才批评了支付卡行业标准的安全性。而上述两起事件的都符合PCI的监管标准。
Cenzic公司首席营销官Mandeep Khera在一封电子邮件中提到,基于互联网的应用程序的弱点对于黑客来说绝对是一个虚拟的“金矿”。 他指出,目前最大的问题是缺乏国家网络安全矩阵式管理法的集中有效的监督。
“机构管理的相对宽松,加之缺乏了解进而防止漏洞形成危害的工具使得Web应用程序的漏洞成为了许多公司组织的一大盲点。” Khera说。
总部位于洛杉矶的Lieberman软件公司总裁菲尔利伯曼(Phil Lieberman)也同样认为当前的安全环境需要更统一的立法,以便允许个人和组织反击那些攻击他们的系统的黑客。
“实际上,我们需要建立自卫概念,制定出规范的法律,就像撒玛利亚人法律(good Samaritan law)一样,对那些企图在互联网上扰乱了正常商业和通信的厚道的人免除他们的责任。”他说:“这将是涵盖所有互联网网民的法律。这样,任何网民都不得采取任何行动来制止黑客的攻击,而互联网服务供应商也一样。而在过去,我们一直都被告知要购买更好的防火墙、防病毒软件、反恶意软件、入侵检测设备,并对入侵者给予公正的惩罚。”
Cenzic公司的调查结果显示,有超过百分之七十五的安全攻击发生在互联网上,而百分之八十以上的网站受到严重威胁,Khera补充说。“我们的国家非常有必要将网络安全问题提上优先考虑的日程。”