关注网上交易安全前不久公布的《2005年中国电子商务市场调研报告》显示,2005年中国电子商务市场整体增长迅猛,网上成交额由2004年的3500亿元升至5531亿元,网民网上消费总额高达135.05亿元。而我国网民有过网上消费、购物经历的比例达71.30%,首次超过亚太地区70%的平均水平。 一方面,是电子商务不可阻遏的蓬勃发展,另一方面,却是伴随着电子商务而来的交易风险。这些风险包括身份盗用、网络钓鱼、犯罪软件等。赛门铁克的调查显示,53%的受访者担心自己的个人信息被盗取,42%的人受网上欺诈和在线攻击的影响,不敢在互联网上进行大宗消费。 虽然用户信赖在线网络的程度有降低的趋势,但是赛门铁克CEO约翰·汤普森说过,“我们不能后退,这也意味着必须在数字世界创造出更为安全的交易环境。” 在线交易呼唤安全 3月7日,赛门铁克发布第九期《互联网安全威胁报告》,这份每半年发布一次的报告显示,2005 年下半年,有可能造成机密信息外泄的恶意程序代码威胁已经达到80%。2004年上半年,这个数字为 44%,2005年上半年就猛增到74%。 传统攻击的目的通常是为了摧毁数据,但现在越来越多的攻击旨在窃取可获利的数据,在美国,联邦贸易委员会公布的信息显示,2005年至少发生了130起大规模数据泄露事件,超过5500万的美国人面临潜在的身份盗用危险。 在中国,安全形势也很危急。赛门铁克亚太区消费类业务产品市场经理Philip Hickey指出,过去6个月里,中国“BOT”(傀儡或机器人)程序增长了37%,以拒绝服务(DoS)为目的的机器人程序增长了153%,分居世界一、二位。究其原因,宽带的出现以及缺乏相应安全保护措施是关键因素。 在线交易带来的安全问题从前年开始就引起了赛门铁克的注意。“在线交易安全与网络环境的安全,两者关系越来越紧密。在线交易面对的是倡导开放的整个互联网,用户端、传输过程、服务提供商端,每一个环节都存在安全隐患,这就需要安全厂商提供新的解决方案。”赛门铁克中国区技术经理郭训平表示。 这种情况下,赛门铁克对安全也有了一个全新的定义,即“保证用户进行所有操作过程中的安全性、可靠性和可用性”。也就是说,如果你用电脑做交易,就要保障交易的安全;如果你用电脑存储机密的信息,就要保护这些机密信息的安全和可用。 正因为用户在电脑上所做的事包含着越来越多的重要信息,安全的重要性才越发凸显出来。郭训平说,在线交易对安全厂商最大的挑战在于,原来的安全解决方案是单一的,能防范明显的犯罪,现在网络环境十分复杂,必须有相应技术去判别潜在的危险并加以阻击。 Genesis提供全线防护 虽然个人用户提高安全意识、定期给系统升级等做法有助于消除风险,但是正如郭训平所说:“我们不能要求用户必须怎么做,我们所能做到的,就是给用户建立一个安全可信任的交易平台、商务平台和数字信息保护平台,消除用户在互联网上心里没底儿的不确定感。” 赛门铁克正在开发的名为Genesis(创世纪)的全新服务,除了传统的反间谍软件、防病毒、防火墙及入侵防护技术外,还为个人用户提供了防范包括犯罪软件、网络钓鱼诈骗以及诈骗网站等新兴网络威胁的功能,以及在线数据备份机制。 去年12月底诺顿网络安全特警2006版推出的时候,就已经嵌入了最新的保护在线交易安全的功能。其它的各项功能预计将在今年秋天推出。 据介绍,Genesis保护用户在线购物及网络银行安全的功能是基于零时威胁防御(Zero-hour Threat)技术,这项技术来自赛门铁克去年10月所收购的Whole Security公司。零时威胁防护在以行为模式为基础的安全防护外,增加了一层非行为特征(non-signature)的安全防护,用来搜寻以窃取个人信息为目的的恶意代码。 Philip形象地解释说,如果把这种防护比喻成警察抓小偷的话,传统技术就是去查看文档库,看是否有犯罪分子的指纹,如果有就抓住他。零时威胁防护则在于,即使库里没有他的指纹,一旦发现他的行为方式、说话方式、用的词语和犯罪有关,加上环境非常危险,我也会把他抓住。 以防范欺诈网站为例,防御技术将第一步检查URL是否正确,Whole Security这个公司的URL很可能就是Who1e。第二步检查内容,也叫做对比“白名单”,把内容同曾经审核过的网站目录进行对比,这个表上列出的都是知名的品牌,如果相一致就可以判定是安全的。第三步是对比“黑名单”,第四步是“行为分析”,比如银行在他们的网站上肯定不会用某种语言,或者根本就不会出现某种拼写错误。赛门铁克有九种方式来分析网站的行为。 郭训平表示,即使一个正规的网站,如果由于程序的错误而存在某种潜在的危险,赛门铁克的软件也会向用户发出阻止警示,保证用户的安全。 潜在的危险与机会 赛门铁克的一个理念就是,安全厂商应该走得更远,看得更全面。郭训平表示,他在美国居住了两个月,发现连宝宝的婴儿用品都是通过网络购买的,“虽然目前中国的电子商务环境还没到那种程度,但是电子商务化的趋势是无法阻挡的,随之而来的威胁就是全球性的”。 今年1月,赛门铁克并购了对公共和企业IM(即时消息)网络提供安全防护软件的IMLogic 公司。这项收购,就把即时通讯的安全看作是下一个有潜力的市场。 据郭训平粗略估计,全球IM三大厂商AOL、MSN和Yahoo每一家每一天发送的信息达到100亿条。今年年初,IMLogic也曾表示,与去年同一时段比较,IM网络所遭到的安全攻击事件增长了826%。 一方面,很多企业利用即时通讯工具进行各项日常商务活动、网络会议等,有些时候传递的信息还是机密的。另一方面,在中国,淘宝、腾讯等电子商务厂商也提供即时通讯工具,方便买家和卖家沟通信息,这也存在着很大的泄漏信息危险。 郭训平表示,这项安全功能还在整合之中,预计今年会推出相关产品。 赛门铁克还预测,银行等服务提供商除了基础服务外,提供越来越多的附加服务将是一个趋势。比如银行会趋向于给用户提供一整套服务,保证用户在与它的交易过程中尽量不出问题。 每个服务提供商都希望提供增值服务以使自身服务增值,这同时就需要安全厂商提供解决方案,帮助它建立一个可信社区。郭训平表示,赛门铁克将为服务提供商提供个性化和通用化的安全平台。
|
|
热门文章
|
本周
|
本月
|
全部
|