今年的网页安全遭受了各种新型的攻击和探测，它们严重地威胁着网络系统的安全。对2005年网页安全面临的挑战的展望表明：明年将有更多类似的攻击出现，而且破坏程度更大。

　　－“网络钓鱼”(Phishing）的技术将更加高明而且更危险

　　当上次“网络钓鱼”攻击光临泰晤士广场的时候很少有安全人士了解它，但是现在大多数人都知道“网络钓鱼”的危险。这种探测使用诱骗性的电子邮件和网页引诱毫无疑心的用户暴露他们的敏感帐户信息，从而使他们受到身份诈骗的威胁。

　　在初期的“网络钓鱼”攻击中，这些非法的诱惑很明显是伪造的，只能够欺骗大多数“涉世未深”的网上冲浪者。蹩脚的英语和用来加强用户紧迫感的错误习惯用语表明这些攻击来自东欧国家。然而，现在这些狡猾的“网络钓鱼”网页通过模仿合法站点如：eBay, Citibank和SunTrust的设计风格，并标注很不显眼的版权申明以及法律免责条款来欺骗用户。

　　明年这些“网络钓鱼”攻击的技术会越来越高明。“网络钓鱼者”们会更加擅长模拟合法的通信过程并且有可能直接利用某些公司站点的原理。这些攻击将越来越大地威胁到网页安全，同时企业在确认基于网页的电子交易时的信心也因此大打折扣——因为公司不能够确认“用户”输入的交易信息是否来自真正的用户。利用“网络钓鱼”偷取到用户名和密码的攻击者可以轻易地扮演合法用户进行交易。并且这些攻击也伤害到消费者对合法电子商务交易的信心。

　　解决方法：宣传教育。如果你们与客户通过互联网联系，那么你们一定要告诉他们：你们不会要求他们通过电子邮件发送个人信息。最好向用户多次强调你们的这个政策，譬如：当他们申请开户的时候、或者通过定期的回访、面谈（如果客户亲自到类似银行的机构开户的时候）、电子邮件以及通过你们的客户时事通讯手段发送通知。向客户详细说明：他们应该在浏览器中输入URL地址或者使用书签来访问你们的网页，而不是通过点击可疑的链接。如果你需要处理一些与很重要客户的交易，那你还可以考虑一些象智能卡的多重因素认证设备的性价比，看这些交易是否值得投入这些设备。

　　－新蠕虫探测新漏洞

　　SQL Slammer、ILOVEYOU和Melissa。我们已经见识过这些蠕虫病毒了，是吗？2005年这些蠕虫将和以前的有很大区别。我们将看到软件厂商发布新的漏洞和蠕虫病毒的预警信息（尤其是我们的老朋友Redmond），这些蠕虫病毒主要渗透那些由于管理员的粗心大意或者“很忙”而没有及时进行补丁更新的系统。明年出现的很多蠕虫病毒将还会利用大家以前就熟知的漏洞。例如：毫无疑问有些人肯定会在广泛应用的程序上发现一个类似缓冲区溢出的“经典漏洞”。

　　我们已经在一些厂商发布的威胁警报信息上看到了恶意代码的介绍，事实上，在2004年我们已经看到了第一种手机病毒以及通过IM技术感染附件的病毒介绍。2005年保护系统安全的防御策略应该包括以下几个基本方面——保持补丁及时更新、定期使用类似MSBA和Nessus的漏洞扫描工具扫描系统漏洞、并且要考虑使用入侵检测系统（或者在网络中布置IDS传感器）来监视非法网络活动。如果你认为安全更新不是很重要的工作，那么当系统被新一代的蠕虫病毒破坏的时候，你看看你的老板会对你的解释做何反应。

　　－更大的危害将触发连锁反应

　　如果你一直很关注安全问题，那么在过去的几年里你可能已经注意到一些很耐人寻味却还“不是很明朗”的安全危机，譬如：一家不满的印度二级转包商威胁说：如果不能立即收到付款，他们就把美国一家大医院的机密医疗抄写记录贴到互联网上去。而且，我们都从同行那里听说了关于大型的电子零售商遭受到包括信用卡数据在内的客户帐户信息泄漏的安全危机。

　　预计这些事故中的一些将会登上国家新闻，这最终将为安全专业人士提供新的资源，尤其是发布在没有重大新闻时的事故或者与恐怖组织有关连的事故。毫无疑问这样的一次攻击将激励更多的资源投入到新一轮网页安全重建。我们可能会看到政府出面动用联邦基金来改善国家基础设施中的关键部件。精明的信息安全专业人士应该根据他们时刻准备的应急计划更新他们需要资金投入的“希望列表”。

　　信息安全专业人士已经在今年的保护基础设施安全工作中取得了很大的成就。在整个2005年，漏洞预测和具有前瞻性的方法将对管理有效的网页安全策略起到至关重要的作用。