如果公司企業想要保證他們的數據安全、避免數據泄露的尷尬事件的話，他們就應該將注意力從網絡轉向軟件安全——尤其是針對源代碼和Web應用的軟件安全。這就是上周舉行的一個關于網絡犯罪（Cybercrime）大會上來自不同領域的用戶和安全專家給出的建議。

美國風險投資公司Kleiner Perkins Caufield & Byers合伙人Ted Schlein在座談會上指出：“你會意識到我們將不得不使用不同的技術工具來打敗對手。這不是你的技術員所能解決的問題，技術工程師也必須加入其中，這樣才能確保你的后端存儲設備的安全。”

這幾年大多數公司企業都在邊界網絡安全（Perimeter Security）方面投入了大量資金，黑客也開始將目標瞄準了Web應用的漏洞，進一步盜取企業數據庫和后端存儲系統中的機密數據。

Schlein表示：“每年我們國家數據丟失所造成的損失約在1800億美元到2000億美元之間。”他解釋說，許多網絡犯罪人已經可以成功地避過防火墻等邊界網絡安全措施。“這將是一套全新的體系和架構——企業IT部門不用再為這些潛在的網絡安全問題而煩惱了，因為網絡操作人員可以控制住網絡安全。”

位于紐約的美國證券集中保管結算公司（Depository Trust and Clearing Corporation，DTCC）主要向金融用戶提供結算服務，目前這家公司正在采取措施來解決網絡安全的問題。

該公司首席信息安全官James Routh表示：“我們有很多在安全方面有著過人技術的開發人員，我們為他們提供了足夠的支持和鼓勵。”

在軟件犯罪方面，黑客們慣用的手法包括跨站腳本攻擊(Cross Site Scripting)和SQL Injection (資料隱碼)，通過這種方法犯罪人可以利用軟件代碼中的漏洞來讀取用戶的登陸信息。

Gotham Digital Science公司目前正在內部IT架構中進行漏洞測試。該公司的網絡安全專家Brian Holyfield也認為，Web應用確實是企業IT架構的軟肋。

他表示：“這是一個重大的安全隱患。當我們為用戶作滲透測試的時候80%的時間都是花費在Web應用，可想而知真正的黑客在攻擊的時候也都是將大部分時間花在應用上的。”

為了解決這個問題，DTCC在它的軟件源代碼中運行了九種不同的測試軟件，其中包括用于檢查數據庫漏洞的Application Security AppDetective軟件，和WhiteHat公司提供的掃描Web應用工具。

Routh表示：“我們從三年前就開始這項工作了，因為統計數據表明應用要比邊界網絡更容易受到黑客的攻擊。對于打包軟件，我們要求廠商提供有關靜態代碼分析（Static code analysis）、動態代碼分析（Dynamic code analysis）和手動代碼分析（manual code analysis）的文件記錄。”

動態代碼是指那些正在應用的軟件，而靜態代碼是指仍處于測試階段的軟件。Routh表示，DTCC還使用了一家名為Veracode的廠商提供的服務，來對大量代碼代碼進行掃描找出存在的漏洞。

Kleiner Perkins投資公司是Fortify Software公司的投資方之一，而這家公司也是此次大會的贊助商。Kleiner Perkins投資公司的合伙人Schlein表示，廠商和用戶都有責任來彌補軟件安全方面的不足。他說：“目前大多數軟件都不是來自于廠商的，而是來自于全球1000強企業的。”

雖然美國聯邦政府已經使用Common Criteria（CC）標準，但是Schlein認為華盛頓州還應該在加密源代碼方面樹立更好的榜樣。他解釋說：“我希望未來可以頒布一項法令，規定聯邦政府不能購買第三方軟件，或者不能生產專門針對自己應用的軟件，而且規定這些軟件都是不能通過安全審計的。”