【IT168专稿】经过几十年的计算机安全工作的努力，一名研究人员对现有的互联网安全措施及相关安全厂商的工作提出了质疑——今天的计算机安全行业在保护计算机用户方面表现得差强人意，互联网对于那些不能更好地保护自己的一般人来说变得真的很危险。

    最近在旧金山举行的Web2.0博览会上，软件安全公司ISEC Partners的共同创始人及合伙人Alex Stamos传达了这样一个消息。“互联网不能被正常人安全地使用，”他说，“大部分人没有决定是否需要学习如何安全使用互联网的必要技术。”

    4月1日，互联网上到处充斥着Conficker蠕虫将会再次来袭的消息。Stamos却将这个网络计算机安全事件看成一个愚人节的玩笑，尤其是看到这样的标题：“一个职业妄想狂的黑暗感受”

    研究发现：现有Web安全标准不够

    应用安全公司Cenzic继前段时间所做的IT安全状况评估后最近又发布了关于Web安全趋势的报告，报告建议政府应该介入到网络安全问题中来，指导企业和个人如何进行自我保护。

    Cenzic周二发布的《Web应用程序安全趋势报告》得出一个明显的结论，2008年第三季度和第四季度报告的漏洞数量增加了10%，达到2835个。Cenzic表示，令人吃惊的是，80%的bug都涉及到Web应用程序。

    该报告确定了十个主要的Web漏洞，Microsoft、Mozilla、Adobe等均受到了影响，同时还确定了最常见的“漏洞类型”，包括跨站点脚本漏洞、buffer溢出、孤儿帐户、不合格的session管理以及欠佳的应用程序配置管理。

    在Sarbanes-Oxley, HIPAA以及Payment Card Industry (PCI)等安全标准下，大部分的这些漏洞中都应该被拦截在授权的管理层。但是，每个法规遵从标准都以一种或另一种的形式被人们批判。例如，在去年Hannaford Bros公司遭到一次安全攻击后在人们的批评声中发布的PCI。另一个案例是1月份受到攻击的Heartland Payment Systems公司。这两个组织都遵守了PCI标准，但却反而受到了攻击。

    Cenzic首席市场官Mandeep Khera在一封电子邮件中表示，找到基于互联网的应用程序的弱点对黑客来说简直就像是发现了“金矿”。同时他还表示，之所以会遇到现在的局面，最大的问题是国家网络安全部门缺乏集中的监督。

    “人们认为法规遵从机构的管理不够严格，加上缺乏使用法规遵从工具进行保护的意识，如今，Web应用程序漏洞对于许多组织来说变成了一个盲点。”Khera表示。

    总部位于洛杉矶的安全厂商Lieberman Software的总裁Phil Lieberman同样觉得现有的安全环境需要更加统一的立法，让个体和组织在系统受到攻击的时候能够进行实时的反击。

    “实际上，我们需要建立自我防御、法律观念以及概念意识，此外我们还需要相关法律能够约束那些企图进行破坏互联网商业和通信的不法分子。”他表示，“这应该就是能够约束所有互联网平民用户的法律。就像现在，平民没有权力采取任何行动制止攻击，ISP也是一样。我们都知道要购买和使用更好的防火墙、防病毒软件、防恶意软件工具、入侵检测设备，但我们这样做了后却还是一样要接受惩罚。”

    Cenzic的调查结果发现，75%以上的安全攻击出现在Web上，80%以上的Web站点安全系数十分低，Khera补充道：“我们作为国人，必须质问我们的网络安全优先权在哪里。”