在上期的文章中，我們向讀者介紹了“數據安全審計”與“SSL可信部署”的問題，這對于國內企業(yè)的應用是有現(xiàn)實意義的。從全球范圍看，國外企業(yè)界的安全熱門，還有“虛擬化的安全架構”以及“多因子認證的大規(guī)模商用”。有安全專家表示，這兩個領域將成為接下來一個時期內安全界的主要看點，而記者此次也就相關內容著重進行分析。
看點三：虛擬化成為新興安全工具
虛擬化與安全的結合在2005年就曾提出過，不過從概念到技術，即便在美國也經歷了兩年多的時間。回到中國，這種新型的安全將會給企業(yè)帶來更加深層的變化。
除了提高生產能力、可擴展性、節(jié)約空間和能源等經濟因素以外，虛擬桌面還為用戶提供了相對不易受系統(tǒng)崩潰影響的計算環(huán)境。
隨著惡意軟件感染的方式和途徑越來越隱蔽，并且更加難以檢測和清除，企業(yè)的IT人員也越來越多地選擇采用虛擬機器映像的方式將機器迅速恢復到已知的正常狀態(tài)，這樣做就不必重新安裝或映像整個PC或服務器。
從美國的應用看，AMD的Pacifica和英特爾的VT擴展技術為虛擬化技術提供了硬件優(yōu)化支持。受此推動，安全軟件供應商將會提供在更完善的超級監(jiān)控和虛擬機器監(jiān)控架構上運行的產品，從而在虛擬機器中提供相對不易崩潰的針對實時惡意軟件的防御能力。
類似Altiris的軟件虛擬解決方案，微軟的SoftGrid、Vista等針對遺留應用的UAC文件和注冊表虛擬化所提供的虛擬運行層會變得更為普遍，這樣程序就可以安裝在虛擬機器中而不會為主機帶來風險。帶有強認證和可靠的連續(xù)數據保護（備份）解決方案的大容量集成存儲將用于虛擬映像庫的存儲和安全。
正像代碼分析軟件被做為安全工具一樣，虛擬開發(fā)環(huán)境（VDE）也會變成開發(fā)周期中的一部分。
企業(yè)用戶需要注意的是，即將流行的虛擬機器平臺將提供完全的安全記錄與回放能力，為運行過程中任意點存儲器和處理器狀態(tài)的分析提供一個時間狀態(tài)機。換句話說，企業(yè)用戶在VDE環(huán)境中進行開發(fā)，可使遇到的所有軟件缺陷都可以復制和檢查，從而大大縮短定位和糾正問題所需要的時間，同時大幅提高整體產品可靠性。
回到中國，基于虛擬化的計算環(huán)境一直沒有得到普及。這也許與國內企業(yè)的發(fā)展過程與IT應用理念有關。曾有金融機構的IT人員透露說，對于虛擬化，企業(yè)對其的成熟、可靠性還需要驗證。
不過有趣的是，基于虛擬化的安全看來是一個不錯的方案，至少在設想上是這樣。因為基于虛擬系統(tǒng)采取的安全措施與應用開發(fā)，畢竟會大大降低企業(yè)運行中不可預測的風險，有利于企業(yè)自身的發(fā)展。當然，作為熱點確實有看頭，但落實到普及還需要時間。
看點四：多因子認證進入大規(guī)模商用
多因子認證作為安全認證方式的一種，在經歷了漫長的準備階段以后，終于迎來了大規(guī)模商用的時機。事實上，國內外用戶對此均相當關注。
眾多國內外用戶的經驗表明，采用多因子認證體系中的雙因子認證技術可以降低不必要的安全風險，而且其本身具備經濟與部署簡單的優(yōu)勢。
雙因子認證（2FA）是指結合密碼以及實物（信用卡、SMS手機、令牌或指紋等生物標志）兩種條件對用戶進行認證的方法。這種方法已經為企業(yè)所采用，特別是在遠程訪問時，但在其他領域應用還很有限。
雙因子認證的推廣之所以受阻，主要在于其需要使用額外的工具并且為IT和技術支持人員帶來負擔。其批評者指出，這種方法也容易遭受攻擊，即在非常小的時間窗口內，易受到中間人攻擊（這也是采用嚴格SSL處理的更多原因）。
除了這些障礙以外，越來越多的企業(yè)用戶已經開始認識到，不采用雙因子認證所帶來的隱性成本遠比采用雙因子認證所需要的成本高得多。
從美國的例子分析：由于受到歐洲銀行業(yè)的影響，以及欺詐行為帶來的成本不斷增加，美國金融機構將加快采用雙因子認證的步伐，這一行動將會促使消費者更快地習慣這一方法。為減輕必須攜帶專用雙因子令牌設備所帶來的阻力，可以利用現(xiàn)在無處不在的移動計算平臺（如支持Java的手機或通過短信息服務傳遞的一次性口令）作為雙因子客戶平臺。
同時，就像欺詐帶來的成本促使銀行業(yè)采用雙因子認證一樣，這也是電子商務企業(yè)采用雙因子認證的主要動力，電子支付行業(yè)團體，如PCI和APACS已經開始強制使用雙因子認證。這一機制很快將會成為認證領域的通用作法，不久以后，我們就會對僅僅采用密碼認證的系統(tǒng)產生強烈的不信任感。
一般來說，在安全方面必須接受這樣一個事實：并不存在任何形式的硬件或軟件能夠提供萬能的安全解決方案。但這并不妨礙采取相應的安全措施：大門上的鎖對“撬鎖法”來說可能并不安全，而大門本身也耐不住斧頭、鋸子、火把或炸藥的攻擊，但即使這樣，你仍然不會因為安全系統(tǒng)不完美而始終大門敞開，或者根本不上鎖。
實際上，多采取一些安全措施會在攻擊者和保護者之間的這場戰(zhàn)斗中為我們增加一些勝算。當然，前提是這些措施是有效的，否則會造成一種虛假的安全感，反而會使事情惡化，因為用戶會因此而警惕性變低。認識到這一點，最好的方式可能就是改變游戲的規(guī)則，集中精力使數據竊取型犯罪不那么有利可圖。
回到技術本身，雙因子認證并不會使得竊取主密碼更難，但它確實可以使竊取到的密碼用處不大或根本沒有用。同樣，圍繞面向服務的架構（SOA）和服務型軟件（SaaS）的爭論非常激烈，因此設計人員必須考慮采取切實的措施使得Web應用漏洞所導致的數據庫非法訪問無法用來牟利，比較可行的方法是對所有的數據進行有效的加密。當數據訪問受到強加密保護時，盜竊物理設備（如筆記本、PDA或服務器）的價值就僅限于物理硬件本身。
讓偷竊到的數據沒有太大的價值并不是什么新創(chuàng)意，隱私和安全專家多年來不斷在督促金融機構采取措施防止罪犯利用偷來的身份獲取現(xiàn)金，至少使其獲得現(xiàn)金比較困難?？傊?，并非您的姓名和社會保險號碼具有價值，而是由于竊賊獲得這些信息后可以比較容易地獲得金錢。
盡管促進金融行業(yè)認證系統(tǒng)采用更強的認證方式來代替簡單的數據對比方式并不是我們能夠控制的，但這并不意味著我們無事可做。作為消費者，我們應當在可行的時候盡量采用一次性信用卡密碼；作為IT專業(yè)人員，我們應當積極歡迎新興硬件和軟件創(chuàng)新。拋開數字版權管理方面的討論以及共謀理論不談，采用可信計算工作組可信平臺模塊的工具，如微軟Vista的BitLocker 和日立的DriveTrust，現(xiàn)在就已經可以使用了。與此前的軟件或專有硬件產品一樣，這些解決方案可以使被偷竊的數據立即失效，并且現(xiàn)在這些產品更易于使用。
早期使用者可能會發(fā)現(xiàn)，與任何其他增強安全性的努力一樣，并沒有完美的解決方案，通常還會帶來相應的基礎設施和支持成本。令人欣慰的是，對于從根本上消滅數據盜竊犯罪來說，這些只是必須支出的少量成本。（本文作者為SonicWALL首席技術官）