给大家拜个晚年！祝大家牛年大吉，全家和和美美！没出正月都是年，何况没有到十五呢。前些时候一直和大潘商量着为2009年写点什么，一直没有理出个头绪。下面这些文字算作抛砖引玉，起个话头。
2009年安全业界的热点在哪里？
信用卡处理公司Heartland Payment Systems在2009年1月20日声明,曾有黑客于2008年入侵了其系统并盗取信用卡信息，高达上亿用户的信用卡信息可能被盗。Heartland首席财务官Robert Baldwin说:”我们上周发现了被入侵的证据,并立即知会了联邦执法部门以及信用卡品牌运营商.
著名安全专家Andrew Jaquith在其相关的评论文章中（Andrew以其著名的“安全度量”一书而广为人知）有一个引人瞩目的预测：互联网攻击者的目标将会从成千上百万的“散户”转向“服务提供者”。因为后者的“数据质量”更高，更容易获利。级别越高的“服务提供者”的攻击价值也就越大。例如，Paymentech, First Data, Alliance Data System,等的价值就比某个单独的“支付卡提供商”要来的高，而“支付卡提供商”又要比某个单独的“商家”的攻击价值来得高。
Visa公司在不久前的一篇声明中强调了其对于“商家”和“支付卡服务商”符合PCI-DSS的最后期限：
- Feb.1 2009, Level 1的“服务商”必须全面符合 PCI-DSS （按照Visa，“服务商”按照处理交易的数量分为两个等级: Level 1 >300,000 Transactions per year; Level 2 <300,000 Transactions per year）.
- Sept.30 2009, 禁止Level 1 & 2 的“商家”在处理完交易后存放支付卡信息（按照Visa，“商家”按照交易数量分为四个等级: Level 1 > 6M per year; Level 2 6M <> 1M per year; Level 3 20K <> 1M per year; Level 4 < 20K per year）.
- Sept.30 2010, Level 1 的“商家”必须确保全面服务 PCI-DSS .
上下两相对应，可以看出业界对于电子商务、支付卡安全等担心和安全增强行动。虽然PCI-DSS在中国还不广为人知，没有得到特别的推广和重视，但是可以相信的是，与支付卡和电子商务相关的攻击威胁却不会有什么不同。这对我们普通用户意味着什么呢？
灰色经济一直是这几年业界的热点，它改变了业界很多的游戏规则，也是现在木马、蠕虫、间谍软件肆虐的背后驱动力。如果灰色经济的进攻重点有所改变，或许也对终端安全这边产生一些“平衡”效果。
2009年安全是大年还是小年？前景是“多”是“空”
两年前的一篇新闻稿（http://it.sohu.com/20061124/n246597766_1.shtml）引用我的观点说：”国内知名电信安全专家赵粮博士非常感慨，他甚至用”悲观之极”这个词语来形容目前业界在寻找可靠的IP安全策略时所遭遇的困境。在赵粮看来，用纯粹的技术手段解决电信网络的安全问题已经是一个不可能完成的任务，从本质上就与传统封闭模式对立的IP网络无处不在的特性让我们已经无法预知威胁将来自于何方。” 我不想再多评论这篇旧新闻。矛盾的对立双方本来就共生共发展的，一方的消失也意味着另外一方的毁灭。互联网（也包含了电信网）将会生存并发展下去，安全威胁将会发展蔓延下去，安全产业也将发展成长下去。
著名安全专家Bruce Schneier在Telecom Asia的一篇专访（“Living in an insecure world”, P24, September 2008）中提到，他本人对于未来网络安全的前景表示极度乐观（extremely optimistic）。他认为网络安全如同社会，杀人盗窃等各种犯罪行为从很久很久以前已经伴随着人类有数千年的历史了。虽然我们仍然无法根除甚至制止这些犯罪，但并不妨碍社会的发展和进步。我们虽然生活在有犯罪、并不安全的世界、社会里，但没有关系。社会是有相当的弹性和自我恢复能力的。 The same thing happens for all threats, and life goes on.
前些时候有个帖子介绍了如何在金融危机时刻保护安全预算（http://sbin.cn/blog/2008/12/19/security-budget-in-crisis/）， 在举目哀鸿遍野，IT预算普遍压缩的今天，安全厂商们的市场发展和收入取决于IT部门的安全预算。令人欣慰的是，在与业界朋友们的交谈中了解到很多企业的IT预算并没有这次金融危机而遭到大幅压缩，而某些企业反而因此启动一些安全增强项目。另外，在上面PCI-DSS的强制符合性过程中，应该也会产生相当的项目机会。