|
• SSL将重获信任 正如发明SSL的美国网景公司(Netscape)所描述的:SSL是要“在客户端和服务器之间提供保密连接,并且对服务器进行认证,对客户端的认证则是可选的。”自从1994年出现以来到现在,SSL已经丧失了大部分实用价值。早期,因特网是安全的地方,用户在使用采用SSL的网络浏览器时,一旦弹出带有主题名称、认证单位或合法性错误的加密链接警告,用户都会打电话给IT支持人员。由于警告经常是打字错误引起的,或者是由于证书是自我签发的 ,因此IT人员通常会说:“没事,点OK(确定)就行了。”因此,用户很快就变得对于警告没有什么戒心了。当有真正的威胁到来时,系统事实上已经处于危险之中了,SSL却只提供了加密,但没有进行任何有意义的身份认证。令人感到讽刺的是,使事情更糟的是,这种习惯实际上使得SSL可以被恶意代理软件所利用,一旦建立了一个“未经合法身份认证的”SSL连接,目前的防御性内容分析工具(如URL过滤或深度包检测)都无法起作用了,从而使得恶意的流量能够在检测不到的情况下“安全”地传输。 当然,现在情况有了新的变化。新的网络浏览器集成了防网络钓鱼的功能,并且还提供了供老版本浏览器使用的插件,但就像SSL警告一样,这些功能可能很快也会变成前面所述的情况,用户面对出现的警告最自然的反应就是“没事,按OK就行了”。但重要的是,微软的IE 7.0采取了一种聪明的(当然也可能是令人感到比较麻烦的)方式来给出SSL证书警告:当一个进程的SSL参数存在问题时,IE7会给出一个满屏的警告:如果用户以“没事,直接点OK”的方式来处理,那么整个浏览器会话会被关闭。这实际上是一种逆反心理效应,但其强制关闭会话的做法还是非常有用的。这一警告功能可以禁止掉,如果真的这样做的话,用户可能最终又会习惯于仅仅是按OK按钮,而不采取任何其它措施。当然IE7.0这一新特点的最大作用是使得业界开始重新关注SSL的意义。 随着IT支持人员开始认识到IE这一不寻常举动的影响,将会有新的行动来重建SSL连接的合法性。为了做到这一点,从未使用证书认证(CA)服务(或者更弱一些,采用内部CA)的管理人员也将会逐渐转向这种信任链传递方式。特别是经常访问的系统和程序,如SSL-VPN、Web邮件系统和某些基础设施网络以及安全设备将需要更高级别的安全证书,而不仅仅是自我签发或本地签发的证书。如果这种方法得到普及,那么将会为用户带来一种完全不同的使用体验,有关证书的警告将会成为一种受到注意的重要事项。 同时,内容和安全供应商也会调高将SSL作为隐藏传输内容工具这一潜在威胁的响应等级。为了响应采用SSL的隐蔽式匿名代理服务或其它利用SSL的威胁,内容安全解决方案将会采用更严格的措施,例如禁止可疑的SSL连接(采用自签发或未知CA机构签发的证书)和SSL代理(特别是避免SSL中间人攻击),从而达到重新获得内容可视性的目的。这种新的形势将会重新确立对于SSL的信任,并且使PKI服务重新获得活力。 • 虚拟化(Virtualization)成为新兴的安全工具 类似Altiris的软件虚拟解决方案,微软的SoftGrid、Vista等针对遗留应用的UAC文件和注册表虚拟化所提供的虚拟运行层会变得更为普遍,这样程序就可以安装在虚拟机器中而不会为主机带来风险。带有强认证和可靠的连续数据保护(备份)解决方案的大容量集成存储将用于虚拟映像库的存储和安全。 正像代码分析软件被做为安全工具一样,虚拟开发环境(VDE)也会变成开发周期中的一部分。即将流行的虚拟机器平台将提供完全的记录/回放能力,为运行过程中任意点存储器和处理器状态的分析提供一个时间状态机。在VDE环境中进行开发工具,可使遇到的所有软件缺陷都可以复制和检查,从而大大缩短定位和纠正问题所需要的时间,同时大幅提高整体产品可靠性。 |
正在阅读:追求更高的安全性:2007年安全行业发展展望追求更高的安全性:2007年安全行业发展展望
2007-02-08 09:37
出处:
责任编辑:xiexiaojin
键盘也能翻页,试试“← →”键
| 本文导航 | ||
|
