安全防范始于意識

隨著網絡與信息技術的普及，針對數字資產的攻擊呈現出日趨復雜和嚴重的態勢。惠普公司近日發布的《2011年主要網絡安全風險報告》對這一現象進行了調研、歸納和解讀。

這一報告主要由惠普安全研究機構HP DVLabs完成。惠普公司企業安全產品部北亞區總經理姚翔將《2011年主要網絡安全風險報告》的重要內容歸納為應用和漏洞兩個方面，而這兩個方面的安全問題都與安全意識相關。

報告顯示，商業應用的漏洞數量正在逐漸減少。據統計，2011年業界整體的漏洞數量比2010 年減少了20%，而定制應用的漏洞數量卻在逐步增加。姚翔認為，這一現象并不能代表用戶的數據會因此而更加安全，“漏洞數量之所以減少，是由于用戶并不重視一些已知的漏洞，也沒有進行修補。換句話說，黑客認為從已知漏洞中就可獲得足夠的利益，因此沒有必要去尋找新的漏洞。”

此外，應用已經成為黑客攻擊的主要目標，其中Web應用尤其容易受到攻擊。根據調研，有81%的Web服務器暴露其類型，52%暴露具體版本。實際上，類似于這種輕易暴露內部基礎設施信息的情況由來已久，而這種做法很容易遭受外界攻擊。姚翔表示：“如今很多用戶在IT建設時都急于推出新產品、新功能，卻忽視了安全。這是一個用戶安全意識的問題，在全球范圍內普遍存在。”

《2011年主要網絡安全風險報告》將目前主要的Web應用攻擊類型歸納為SQL注入、跨站腳本和PHP文件包含三種形式，其中應用SQL注入方式的攻擊最多。

姚翔認為，想要保護企業數據安全，需要從根本上做到保護商業應用、定制應用并且阻斷內部主機與惡意站點間的通信，同時要盡早為系統打補丁、在網絡上部署“虛擬”補丁、盡早測試應用系統并且部署具有自適應能力的應用保護體系。