思科首次发表全球年度安全报告(2007)_安全中国

全球网络设备领导厂商思科(Cisco)于日前宣布，为使各界进一步了解全球各地安全威胁的发展趋势，以及强化网络使用者使用安全信心，Cisco Security Center (www.cisco.com/security)特别针对全球安全情况首度发表“2007年思科全球年度安全报告”，精辟分析网络7大安全威胁，包括弱点、实体、法律、信赖、身份、人员、以及地域等，内容涉及防御恶意程序、防范数据外泄、企业风险管理、灾害规划等议题，其中更有许多超出独立内容安全问题之范畴，详尽地介绍企业、政府机构、以及消费者所面临之挑战，并提出因应方针以积极进行防御，以促进电子商务与网络服务蓬勃发展。

　　“2007年思科全球年度安全报告”中强调，现今的威胁与攻击渐趋全球化与复杂化，此趋势更将延烧至2008年。数年前的病毒与蠕虫(如 Code Red、NIMDA等)攻击以渐为各种混合型安全威胁，如：经由垃圾邮件散布的网络钓鱼、殭尸网络等威胁所取代，发动攻击的目的也由破坏系统与博取名气转变为窃取金钱与个人信息。此种“窃取后致富”模式已是全球化现象，其破坏性甚至还超越了网络7大安全威胁。此外，信息安全也不再只是单纯地对抗病毒或垃圾邮件，通常还涉及法律、身份、以及政治等因素。例如俄罗斯黑客帮派分子在2007年春天向邻国爱沙尼亚发动阻断服务攻击，起因于爱沙尼亚当局决定拆除设在公园的苏维埃时代战争纪念碑，而导致黑客攻击该国的许多政府网站。

　　思科安全长John Stewart表示：“网络犯罪不断持续演进，通常使用以往仅可能以电子形式出现过的知名技术。信息安全威胁已非对抗独立的病毒或网络钓鱼攻击，现在想要保护企业、个人身分、以及国家，就必须结合以往没有参与的人士，共同协调、密切地合作。IT安全团队、企业、政府、执法者、消费者、以及民众等，虽然都是攻击的目标，但却也是盟友。国家、企业、以及个人的安全性，有赖所有相关人士的紧密合作与联系才有可能维护。”

　　John Stewart与技术支持部门副总裁Dave Goddard均认为，合作防御安全威胁的关键在于教育。思科的报告针对网络7大安全威胁类别列出多项建议，主要包括：

　　定期监控易受攻击的组织，并评估各种可能的攻击管道。由于没有基本的安全策略，攻击往往很容易得手，必须以安全修补软件与定期监视，进行以主机为基础的入侵防御、修补或升级。

　　了解安全威胁会随使用模式演进，每当有新应用或装置问市时，新的安全威胁就会浮现。

　　IT组织应主动协助员工、消费者与民众改变心态，大家必须一同迎战安全威胁，没有人再只是无辜的旁观者，必须共同积极地面对安全问题。

　　安全教育视为优先考虑。企业、安全解决方案厂商、以及政府机构必须投入资源以推动安全教育、建立防范意识。合作伙伴与竞争对手更需一起推动涵盖整个产业的合作。

　　透过教育机构推动安全教育，融入学校课程。

　　在建构安全网络时，考虑的范围应延伸至效能之外，注意网络是否能以端对端的模式，透过分工、检测、调适等功能来解决各项安全问题－涵盖网关器、服务器、桌上型计算机、以及行动装置。

　　厂商必须提供更全面的安全解决方案，能涵盖整个网络基础建设、应用环境、以及数据本身。