9月第3周安全回顾 内网安全威胁严重 PGP增强邮件加密功能

本文同时发表在： [url]http://netsecurity.51cto.com/art/200709/56372.htm[/url]

 

      本周（0910至0916）安全方面值得关注的新闻集中在安全管理、漏洞攻击和安全产品方面。

     安全管理：CSI调查报告：内部人员造成的潜在安全威胁和实际损失严重。关注指数：高

     新闻1：周三，根据Computer Security Institute(CSI)上周公布的一份计算机犯罪和安全报告，在过去的一年中，有60%的被访问企业曾经发生过和内部人员相关的安全违规事件，与此相对的是同期只有52%的被访问企业报告曾遭受病毒的攻击，但在企业声称的63%和内部人员有关的安全事故损失中，经过调查只有20%可以确认，剩下都是其他原因造成。报告还称，内部人员的违规使用中，59%是违规使用Internet浏览、25%是违规使用即时通讯服务、17%是内部无线网络的违规使用。

     笔者观点：从年初开始，安全业界和企业用户便一直在讨论和关注来自内部人员的安全威胁（Insider Threat），当时普遍的观点都认为内部人员威胁是企业面临的最大安全威胁，安全事故大部分的损失也都是由于内部人员引起的，不少厂商也推出了相应的数据泄漏防护和用户管理和一致性产品。这次CSI所做的调查报告在细节上完善了之前安全业界的对内部威胁的观点，目前内部人员造成的威胁呈上升趋势，但其所造成的损失并不是最大的（最大的损失部分仍是由外部攻击造成的），而且大部分的内部安全事件是由于内部人员的疏忽或轻视企业安全策略引起，内部威胁的攻击路径也指向最近两年安全业界关注最多的网站浏览、即时通讯服务和无线网络安全。企业应该综合使用技术和管理的手段应对当前发展中的企业内部威胁，首先便是要制定严格的安全策略，对于内部人员违规使用Internet浏览和即时通讯服务，可以部署监控网站浏览和即时通讯使用的内容过滤方案或UTM，并可在部署无线网络时选用无线IPS等无线安全设备。

 

     漏洞攻击：QuickTime媒体播放器老漏洞威胁Firefox用户。关注指数：中

     新闻2：周四，开源浏览器厂商Mozilla日前确认，一个尚未修补的Apple QuickTime媒体播放器老漏洞有可能会使Firefox用户的机器被攻击者入侵并控制。

     笔者观点：Mozilla所确认的Firefox漏洞和前段时间的IE/Firefox安装在同系统中所导致的代码执行漏洞相类似，只不过此次的罪魁祸首换成了QuickTime。Apple在前段时间曾对QuickTime媒体播放器的数个漏洞推出了补丁，但以上新闻中所提到的老漏洞却迟迟没有提供安全补丁。此外，尽管Firefox的安全性要比IE高，但目前Firefox的动态链接库文件所提供的插件执行方式可能存在安全威胁，Firefox用户除了要注意更新Firefox本身的安全补丁外，系统里安装的其他软件，尤其是可以作为Firefox插件使用的软件，也应当注意更新安全补丁。多个软件在系统上协调工作所可能产生的安全威胁，也将会成为安全业界未来研究的热点之一。

 

    安全产品：PGP增强其E-mail处理能力；VMware推出ESX Server的32M版本。关注指数：高

    新闻3：周三，加密厂商PGP当天宣布，在其推出的PGP e-mail网关新版本中，新增了可以直接对e-mail附件文件进行加解密操作的功能，用户可以通过这个新功能，方便灵活的使用PGP e-mail网关对e-mail附件中的特定文档类型进行加密和签名操作，而无需在客户端系统上进行太多的改变。

    笔者观点：PGP在其邮件网关上增加此项功能，显示PGP的关注点已经从原本的网络传输安全性及存储安全性扩展到文档生命周期安全性上，这将会给用户提供更细致的文档安全性控制方案。PGP e-mail网关从其功能和定位上来看尚无法对传统的文档加密系统厂商的产品产生太大威胁，但笔者也认为，PGP e-mail网关对e-mail文件的自动处理设计、与企业安全策略相适应的文档处理灵活性，也值得作为其他加密厂商参考的样本。

    新闻4：周一，虚拟化厂商VMware日前确认，将在今年底前推出VMware ESX Server 3i，一个只有32MB大小，可以直接嵌入到服务器的内存的虚拟化平台。目前Dell、IBM等厂商已经计划推出内置这款产品的服务器产品。

    笔者观点：VMware ESX是VMware中专用于IDC及大型企业中的虚拟化产品，ESX 3i的推出，除了将ESX server老版本动辄上G的体积减小到32MB外，更重要的是，ESX 3i是业界中首个“嵌入式”的虚拟化平台，不需要在硬盘上安装虚拟化平台便可直接将所有的资源用于虚拟的系统，嵌入式的特性也给ESX 3i本身带来额外的安全性。笔者认为有几点值得关注，新的嵌入式虚拟化平台自身的安全性及针对它的攻击会是什么样的形态；嵌入式虚拟化会给服务器应用及安全方向带来多大影响；嵌入式虚拟化能否应用到未来的硬件安全设备中。