2009: 牛年的安全牛不牛?
给大家拜个晚年!祝大家牛年大吉,全家和和美美!没出正月都是年,何况没有到十五呢。前些时候一直和大潘商量着为2009年写点什么,一直没有理出个头绪。下面这些文字算作抛砖引玉,起个话头。
2009年安全业界的热点在哪里?
信用卡处理公司Heartland Payment Systems在2009年1月20日声明,曾有黑客于2008年入侵了其系统并盗取信用卡信息,高达上亿用户的信用卡信息可能被盗。Heartland首席财务官Robert Baldwin说:”我们上周发现了被入侵的证据,并立即知会了联邦执法部门以及信用卡品牌运营商.
著名安全专家Andrew Jaquith在其相关的评论文章中(Andrew以其著名的“安全度量”一书而广为人知)有一个引人瞩目的预测:互联网攻击者的目标将会从成千上百万的“散户”转向“服务提供者”。因为后者的“数据质量”更高,更容易获利。级别越高的“服务提供者”的攻击价值也就越大。例如,Paymentech, First Data, Alliance Data System,等的价值就比某个单独的“支付卡提供商”要来的高,而“支付卡提供商”又要比某个单独的“商家”的攻击价值来得高。
Visa公司在不久前的一篇声明中强调了其对于“商家”和“支付卡服务商”符合PCI-DSS的最后期限:
- Feb.1 2009, Level 1的“服务商”必须全面符合 PCI-DSS (按照Visa,“服务商”按照处理交易的数量分为两个等级: Level 1 >300,000 Transactions per year; Level 2 <300,000 Transactions per year).
- Sept.30 2009, 禁止Level 1 & 2 的“商家”在处理完交易后存放支付卡信息(按照Visa,“商家”按照交易数量分为四个等级: Level 1 > 6M per year; Level 2 6M <> 1M per year; Level 3 20K <> 1M per year; Level 4 < 20K per year).
- Sept.30 2010, Level 1 的“商家”必须确保全面服务 PCI-DSS .
上下两相对应,可以看出业界对于电子商务、支付卡安全等担心和安全增强行动。虽然PCI-DSS在中国还不广为人知,没有得到特别的推广和重视,但是可以相信的是,与支付卡和电子商务相关的攻击威胁却不会有什么不同。这对我们普通用户意味着什么呢?
灰色经济一直是这几年业界的热点,它改变了业界很多的游戏规则,也是现在木马、蠕虫、间谍软件肆虐的背后驱动力。如果灰色经济的进攻重点有所改变,或许也对终端安全这边产生一些“平衡”效果。
2009年安全是大年还是小年?前景是“多”是“空”
两年前的一篇新闻稿(http://it.sohu.com/20061124/n246597766_1.shtml)引用我的观点说:”国内知名电信安全专家赵粮博士非常感慨,他甚至用”悲观之极”这个词语来形容目前业界在寻找可靠的IP安全策略时所遭遇的困境。在赵粮看来,用纯粹的技术手段解决电信网络的安全问题已经是一个不可能完成的任务,从本质上就与传统封闭模式对立的IP网络无处不在的特性让我们已经无法预知威胁将来自于何方。” 我不想再多评论这篇旧新闻。矛盾的对立双方本来就共生共发展的,一方的消失也意味着另外一方的毁灭。互联网(也包含了电信网)将会生存并发展下去,安全威胁将会发展蔓延下去,安全产业也将发展成长下去。
著名安全专家Bruce Schneier在Telecom Asia的一篇专访(“Living in an insecure world”, P24, September 2008)中提到,他本人对于未来网络安全的前景表示极度乐观(extremely optimistic)。他认为网络安全如同社会,杀人盗窃等各种犯罪行为从很久很久以前已经伴随着人类有数千年的历史了。虽然我们仍然无法根除甚至制止这些犯罪,但并不妨碍社会的发展和进步。我们虽然生活在有犯罪、并不安全的世界、社会里,但没有关系。社会是有相当的弹性和自我恢复能力的。 The same thing happens for all threats, and life goes on.
前些时候有个帖子介绍了如何在金融危机时刻保护安全预算(http://sbin.cn/blog/2008/12/19/security-budget-in-crisis/), 在举目哀鸿遍野,IT预算普遍压缩的今天,安全厂商们的市场发展和收入取决于IT部门的安全预算。令人欣慰的是,在与业界朋友们的交谈中了解到很多企业的IT预算并没有这次金融危机而遭到大幅压缩,而某些企业反而因此启动一些安全增强项目。另外,在上面PCI-DSS的强制符合性过程中,应该也会产生相当的项目机会。
Believe you have to consider all aspects in the current economic climate – personally do no think we have seen the full extent of the recesssion, so would be cautious in considering.
好,不管怎样,这是个进步。对CIOTIMES能够知错即改,及时接受反馈,表示欢迎。表扬一下啊!
ciotimes 现在改了http://www.ciotimes.com/infrastructure/safety/a/safety200902120932.html,后面的都是相互转载,其他的出去就变成了转载ciotimes了。
这是中国的特色啊。说明中国数字版权保护市场潜力巨大。
我今天在网络上搜索了一下,发现有几个网络杂志转载了这篇稿子,但是无一例外的都没有著名出处,注明作者,都将作者列成了编辑其人。我对他们这种做法非常遗憾,这是国内一些网络媒体不重视知识版权、儿戏作者、不尊重读者的表现。这里面包括CTOCIO.com.cn, CIOTimes, E-Works.net.cn, fjcio.org, Chinabyte等。这次点名批评一下。
摆渡下才知道许榕生教授 杨义先教授
感觉安全不象网络那样 乱糟糟
谢谢` `
参考下 嘿嘿。
不是很熟悉现在高校的招生情况。原来了解到的包括:
中科院信息安全重点实验室,以及高能所许榕生教授那里
北邮杨义先教授
上海交大有信息安全学院
北京大学计算机系也有信息安全专业
四川大学也有信息安全专业
…
抱歉没法给你更多的列举了
偶是在线学生 想考研
赵粮博士
信息安全比较好的院校
在几个层次上可否都推荐几个
我认为国内外的情形是不一样的,在国外,黑客偷来信用卡号,有很多方法可以洗出钱,所以他们认为“服务提供者”的“数据质量”高,这是高级黑客的研究方向。而国内支付宝这种模式,如楼上所说,淘宝方面没有存储持卡人信息,黑客确实没什么可偷的,只有传播木马来利用PC牟利了。我认为是黑客的水平,决定了威胁的所在。
兄弟,下次记得顺带帮我忽悠忽悠啊!
一石激起千层浪。大家对Andrew的观点不是很赞同。
下面是和Wulujia大侠的相关聊天记录:
[2:27:56 PM] wulujia says: 2009年估计政府和运营商能有大手笔的投入
[2:28:17 PM] wulujia says: 企业的IT预算应该会有较大幅度的缩减吧
[2:28:23 PM] wulujia says: 所以,我觉得是两端
[2:28:37 PM] wulujia says: 1、高端政府、运营商;
[2:28:47 PM] wulujia says: 2、低端的老百姓;
[2:29:19 PM] wulujia says: 因为中间缺失了,所以,老百姓可能反而安全意识会被调动起来
[2:37:27 PM] wulujia says: 互联网攻击者的目标将会从成千上百万的“散户”转向“服务提供者”。
[2:37:32 PM] wulujia says: 这个观点我不认同
[2:37:46 PM] wulujia says: 我觉得攻击是几个点
[2:37:48 PM] wulujia says: 1、PC
[2:38:07 PM] wulujia says: 2、WEB 2.0站点
[2:38:24 PM] wulujia says: 这些的最终目标都是个人,从个体身上获利
[2:38:48 PM] richard1144 says: 嗯
[2:38:56 PM] richard1144 says: 应该都是手段
[2:39:05 PM] richard1144 says: 最终从老百姓身上洗钱
[2:39:09 PM] wulujia says: 对
[2:39:32 PM] wulujia says: “网上黑社会”这个产业链是怎么样的
[2:39:41 PM] wulujia says: 就决定了他们的攻击方向和方法
[2:39:54 PM] wulujia says: 他们现在的获利出口在个体
[2:39:58 PM] richard1144 says: 精辟
[2:40:21 PM] wulujia says: 所以他们的精力肯定只能放在上面来钻研,所以出成果也在这方面了。
[2:40:42 PM] wulujia says: (sweat)
读后几点看法:
1,不太赞同Andrew的预测:互联网攻击者的目标将会从成千上百万的“散户”转向“服务提供者”,服务提供者虽然价值大,但往往不易得手,相反即使得手轰动却很大,难逃脱法律的制裁,“有钱了但没地花”。游击战还网络世界还是很容易得手,打一枪换个地方,弄点吃饱就行。黑客组织远远不可能强大到公开挑战社会,地下生存才是黑客之道。
2,信用卡在国外很普及,但中国可能不需要pci-dss,因为中国虽然网上支付市场迅猛发展,但都是第三方支付工具(如:支付宝:依附于淘宝的支付工具 ,快 钱:独立第三方支付企业领头羊 ,网付通:银联官方电子支付平台 ,财付通:腾讯旗下的支付工具 ,安付通:卷土重来的易趣支付工具 等等)而这些工具都是直接通过连接到银行的支付网关进行支付。不通过银行在线网银信用卡支付可能小于5%,支付宝和财付通占到了在线支付的60%以上(来源07年Q3数据)。也许这就是国内网上支付的安全现状吧。
3,IT市场或者说由此而衍生的安全市场并没有萎缩,据美国对大公司CTO一个调查数据,大部分都表示09年IT的预算会增加。安全市场并没有媒体整体报道的那么悲观。做为社会一部分的IT必将继续深入,同时安全威胁永远存在,The same thing happens for all threats, and life goes on.
以上只是个人看法,拍砖的不要,讨论的欢迎。