论文部分内容阅读
随着网络与信息技术的普及,针对数字资产的攻击呈现出日趋复杂和严重的态势。惠普公司近日发布的《2011年主要网络安全风险报告》对这一现象进行了调研、归纳和解读。
这一报告主要由惠普安全研究机构HP DVLabs完成。惠普公司企业安全产品部北亚区总经理姚翔将《2011年主要网络安全风险报告》的重要内容归纳为应用和漏洞两个方面,而这两个方面的安全问题都与安全意识相关。
报告显示,商业应用的漏洞数量正在逐渐减少。据统计,2011年业界整体的漏洞数量比2010 年减少了20%,而定制应用的漏洞数量却在逐步增加。姚翔认为,这一现象并不能代表用户的数据会因此而更加安全,“漏洞数量之所以减少,是由于用户并不重视一些已知的漏洞,也没有进行修补。换句话说,黑客认为从已知漏洞中就可获得足够的利益,因此没有必要去寻找新的漏洞。”
此外,应用已经成为黑客攻击的主要目标,其中Web应用尤其容易受到攻击。根据调研,有81%的Web服务器暴露其类型,52%暴露具体版本。实际上,类似于这种轻易暴露内部基础设施信息的情况由来已久,而这种做法很容易遭受外界攻击。姚翔表示:“如今很多用户在IT建设时都急于推出新产品、新功能,却忽视了安全。这是一个用户安全意识的问题,在全球范围内普遍存在。”
《2011年主要网络安全风险报告》将目前主要的Web应用攻击类型归纳为SQL注入、跨站脚本和PHP文件包含三种形式,其中应用SQL注入方式的攻击最多。
姚翔认为,想要保护企业数据安全,需要从根本上做到保护商业应用、定制应用并且阻断内部主机与恶意站点间的通信,同时要尽早为系统打补丁、在网络上部署“虚拟”补丁、尽早测试应用系统并且部署具有自适应能力的应用保护体系。
这一报告主要由惠普安全研究机构HP DVLabs完成。惠普公司企业安全产品部北亚区总经理姚翔将《2011年主要网络安全风险报告》的重要内容归纳为应用和漏洞两个方面,而这两个方面的安全问题都与安全意识相关。
报告显示,商业应用的漏洞数量正在逐渐减少。据统计,2011年业界整体的漏洞数量比2010 年减少了20%,而定制应用的漏洞数量却在逐步增加。姚翔认为,这一现象并不能代表用户的数据会因此而更加安全,“漏洞数量之所以减少,是由于用户并不重视一些已知的漏洞,也没有进行修补。换句话说,黑客认为从已知漏洞中就可获得足够的利益,因此没有必要去寻找新的漏洞。”
此外,应用已经成为黑客攻击的主要目标,其中Web应用尤其容易受到攻击。根据调研,有81%的Web服务器暴露其类型,52%暴露具体版本。实际上,类似于这种轻易暴露内部基础设施信息的情况由来已久,而这种做法很容易遭受外界攻击。姚翔表示:“如今很多用户在IT建设时都急于推出新产品、新功能,却忽视了安全。这是一个用户安全意识的问题,在全球范围内普遍存在。”
《2011年主要网络安全风险报告》将目前主要的Web应用攻击类型归纳为SQL注入、跨站脚本和PHP文件包含三种形式,其中应用SQL注入方式的攻击最多。
姚翔认为,想要保护企业数据安全,需要从根本上做到保护商业应用、定制应用并且阻断内部主机与恶意站点间的通信,同时要尽早为系统打补丁、在网络上部署“虚拟”补丁、尽早测试应用系统并且部署具有自适应能力的应用保护体系。