首页
业务软件安全保证
-----对抗网络犯罪的新技术
 
        在过去20年来,企业用来保护自己的网络和业务关键数据的方式从来都不是最好的,现在又要悲哀地面对互联网上的威胁,心有余而力不足。很多公司继续使用防火墙,周边防御技术和反病毒网关来保护自己的网络。即使是在“美好的昔日时光”,黑客们只是为了取乐,他们为了证明自己,故意制造一些伤害,他们很容易就可以攻破这些“受保护”的网络。

        如今的数据掠夺者们组织更加严密,而危险也更加严重,他们有更强烈的动机要找到你的关键数据。今天的黑客们,经常是由政府或者犯罪联合组织出资,试图盗取你的知识产权,商业机密和客户数据。他们一直在寻找新的方式来获取这些信息。

        虽然在周边防御策略上的开销在持续增长,可是严重的安全漏洞数目也在攀升。根据Ponemon研究所的数字,2007年发生的安全漏洞数目比上年翻了一番还多,而从单一的数据漏洞恢复需要多恶成本平均是630万美金。来自Privacy Rights Clearinghouse的数据显示:在2005年至2007年之间,有2.12亿条数据记录被人窃取。网络犯罪危害到了很多行业内的公司,包括:卫生保健,高科技,金融,教育和零售等行业。伴随着地下黑市的急速增长,毫不留情的盗贼们在寻找一切可能卖出价钱的数据,社保号码,个人身份信息和信用卡号码正在面临越来越大的危险。这是一个一本万利的买卖,一个银行账户可以卖到3万欧元。

        公司正在面临一个很普遍的问题,如何保证允许外来者进入的系统的安全?在封闭的网络内保证网路安全要容易得多。可以用一条深深的壕沟把坏人挡在外面。

        当公司开始在互联网上做生意时,一切都变了。公司的网络有了更多的出入口,而且是有意为之。在全球一体化经济中,成功的公司运行的业务软件应用,会提供他们与客户,供应商和合作伙伴的协作。但是在构建具备这样的功能的软件时,也给黑客留下了一条通道。面向服务的软件设计,外包的软件开发和开源软件在企业应用的广泛使用,这都使得“安全”变得越来越不安全。你可以安装防火墙,但是业务应用和数据仍然暴露在外,而且脆弱无比。因为大多说软件都是在安全威胁不那么严重的时候开发的,安全不是软件开发团队的重点关注点,甚至没人跟他们说要注意这个问题。黑客们因此可以利用代码的缺陷来盗取最有价值的信息,并在你意识到问题之前全身而退。

        国家标准和技术研究所(NIST),超过90%的安全漏洞是由于应用程序代码中的薄弱环节造成的。因此,要想真正保护敏感数据,就得先从去除业务应用软件的弱点开始。因此,一种新的安全解决方案趋势应运而生,这就是“业务软件安全保证”(Business Software Assurance,简称BSA)。其核心在于:软件是可以在设计时就防范攻击的。即使黑客侵入了你的系统,软件业可以保护自己不受侵犯。我将这个过程比喻为美国防范骨髓灰质炎传染的过程。要保护人们不受其病毒侵害,不是通过隔离或检疫的方式,而是给人们注射疫苗,让大家从身体内部进行免疫。通过使用新技术,软件开发人员可以为软件“接种”,通过快速查找和修复软件的弱点,使其免受侵入。BSA为软件安全保证构建了业务上的实践,同时融合组织在安全和业务开发上的工作和优先级。相对以前由外而内的系统保护,现在可以由外而内地保护你的应用和数据。

        从现在开始往后十年,我相信世界中每一行商业软件代码都会经历一系列安全代码防御过程。从那之前,我们会一直煎到新的安全漏洞,以及由此导致的大量的经济损失。
 
< 上一篇   下一篇 >