7年前，SANS（美国系统网络安全协会）和FBI（美国联邦调查局）旗下的国家基础设施保护中心（NIPC）合作，公布了“互联网10大漏洞”文件，上千家组织依靠这个列表在随后的几年内把最终研究范围扩展到20个。

　　2007年11 月 27 日，SANS 协会发布了“2007 年20大网络安全风险”（以下简称20大风险）。该协会第7次对这个调查列表进行了年度更新，列出了可能对个人、公司和政府部门造成最大危险的虚拟安全风险。来自6个国家的43名政府机构、业界专家以及学术界人士参与了此次调查。

　　据悉，此次所列出的风险都是必须立即补救的。

　　为何是这２０大风险

　　众所周知，今天的攻击者，其流动性非常强，因此2007年的主要安全风险更加集中于影响范围较大的攻击者及其组织。对于随时可能出现的安全威胁，用户需要加强安全措施以确保持久地应用技术手段修补安全风险。

　　参与此次调查的TippingPoint公司安全研究资深经理、项目主管罗希特·达曼卡尔表示，SANS的20大风险不是“逐渐累积”的，还包含了2006年一些最关键的风险，而且2007年的风险列表和以往的最大不同点就是更注重于技术风险。但罗希特·达曼卡尔也特别强调，这些技术风险是可以通过更改配置或应用补丁程序来修补的。

　　很显然，安全风险的数量事实上远不止20个。但是根据罗希特·达曼卡尔的研究，被列出的20大风险可以让人们把注意力集中在风险的“类别”上，并可以为系统管理员、程序员和首席信息官提供应对每一类安全风险的方法。把20大风险分成若干类，可以帮助人们识别出大量恶意软件所使用的传播矢量。

　　此外，SANS关于20大风险的调查报告也是一个不断完善的文件，它将逐步地添加其他有用的信息以更正用户在安全性方面的错误认识，同时将在出现重大威胁或出现更快捷的保护方法的时候更新此列表。尤其因为这是一个面向公众的调查报告，普通用户也可以登录网站写下自己遇到的安全风险，作调查用。

　　２０大风险３大类别

　　罗希特·达曼卡尔对目前存在于互联网环境下的安全风险给出了很严肃的提醒，他认为在互联网应用愈加频繁和丰富的今天，安全风险的到来几乎没有太明显的征兆，但是一旦发生，其后果却是难以估量的，而且追溯源头也显得越发困难。

　　总的来说，SANS发布的2007年20大互联网安全风险，可以根据用户防范的难易程度分为3类：一是网络应用中的风险，二是系统自身漏洞造成的风险，三是由于人的脆弱性导致的安全风险。

　　首先，对于网络应用中的风险来讲，一般发生在正常使用互联网时访问到被黑客恶意控制的网页或网站，或者使用写流媒体类的点到点的应用。此时一少部分原因可能是用户主动为之，即访问一些不知名或不熟悉的网站，但很大程度上则是被访问网站及网页已受到恶意监控。那些被控制的网站事实上是因为该网站设备中存在致命的漏洞（很多情况下是客户端漏洞），使得公司网页系统受到监控，成为僵尸网络（Botnet）。与此同时，这些被控制的设备还被黑客植入后门，方便黑客攻击者窃取大型机构的敏感信息或者控制其服务器。SANS认为这属于互联网浏览器或办公软件方面的安全漏洞。而对于这些客户端漏洞的最佳防范措施则是：1．通过网址拦截功能限制用户访问具有潜在威胁的网页；2．部署商业或开放源代码的URL过滤解决方案以防止用户访问含有攻击和恶意软件的网站；3．禁止用户从网上下载任何媒体播放文件；4．禁止SMTP、POP或者IMAP访问用户的个人或者服务提供邮件服务器，这就防止未过滤和未经扫描的内容通过邮件进入企业网站；5．部署电子邮件防毒网关、反间谍软件及其他反恶意程序的扫描解决方案；6．禁止在一个服务器上使用网页浏览器、电子邮件客户端、媒体播放器以及办公软件，如果可能，应尽可能阻止从服务器到80/TCP端口的出口通道。

　　其次，对于系统自身漏洞导致的安全风险来讲，很多情况下都是网络应用本身的漏洞使得网站被病毒侵蚀，以至于丢失数据，从而使连接该网站的其他电脑处在危险之中。对此，最佳的防范措施应为：1．部署网络应用防火墙和网络应用安全扫描器，并通过应用源代码的测试工具和应用渗透测试服务在系统内部杜绝安全漏洞，而最重要的则是重要的网络应用应通过经过验证的安全过程进行使用，同时保证验证程序本身的安全性。2．保持系统更新，并保持对应用程序和系统软件的补丁安装和升级过程进行验证。

　　最后，对于信息网络环境来说，最脆弱、也是最难克服的环节，其实恰恰是人，即用户。很多易受骗的、忙碌的以及新的电脑用户，包括高级管理人员、IT员工以及其他具有访问特权的人，都有可能在含有钓鱼软件的邮件中按其指令进行操作，从而导致网络账户或银行账户的损失。由此而带来的网络经济犯罪正是当前网络安全事件的典型特征。对此，最佳的防范措施应该是开展安全知识培训。这是非常重要的，但同时也不能完全解决该问题。在具体实践中可以采取两种方法加以防范：1．演习——定期给用户发送无恶意的钓鱼邮件，测试用户反映，加强安全意识薄弱用户的安全防范意识。2．从设备部署和管理方面实施硬性的解决方案，如监控网络流量和系统内的用户行为，以便及时防范安全风险和由此带来的黑客入侵问题。

　　回顾过去主持调查的3年，罗希特·达曼卡尔认为，SANS发布的20大风险报告在风险通知和如何能够最好地反击恶意攻击方面是至关重要的。同时，他还建议，用户除使用通用的风险解决方案外，还应在网络接入控制系统和网络扫描方面持续不断地加强安全防范机制，以减少表层的风险