CompTIA 12日发布第二份年度报告，探讨IT安全与人力议题。这份报告根据对将近900 家企业组织所做的意见调查，将前15大安全顾虑列
表。结果发现，36.8% 的受访者过去六个月来多多少少对浏览器潜在的安全威胁感到困扰，比率高于去年调查时的25%.

“浏览器为主的攻击是合理的演进，”CompTIA 的IT部主任Randall Palm说：“我们阻挡攻击的防护愈强，骇客撰写新程序就变得更有创
意。十年前，大多数病毒藉磁盘片散播，接着通过电子邮件和实时传讯软件。现在，病毒瞄准浏览器。”

浏览器为主的攻击通常是在使用者到访网页时一触即发，那些网页状似无害，实则暗藏恶意程序，用意在破坏计算机或侵犯他人的隐私。
有些攻击只会造成浏览器当掉，有些则为窃取个人资料或企业专属的机密资料铺路。

最常见的这类攻击方式之一，是在电子邮件里纳入恶意网站服务器的连结。因为要等到使用者点选连结，攻击才会发作，所以许多防火墙
无法加以防堵。传统防火墙检查传入网络的资料，但要防御浏览器攻击，也需要检查从网络传出的资料。

一些企业使用SurfControl 、Websense等公司的产品，藉以监控企业的网页使用情况，协助防范浏览器型的攻击。防火墙销售商，例如Check
Point 软件科技公司和NetScreen 科技公司，也已加装保护功能。但Palm说，要杜绝此问题，这些公司还有漫长的路要走。

“对内传弱点的完全状态检查（stateful inspection ），不是Check Point 或NetScreen 最强调的焦点，”他说：“提到防范这种威胁，
防火墙制造商都只是在骇客后头追赶。”

浏览器制造商也采取行动降低安全风险。微软公司今年1 月表示，将发布Internet Explorer 浏览器和Windows Explorer的软件更新，用
意即为避免使用者上网时被诱拐到内含恶意程序的网站。去年12月，一家丹麦安全公司发现IE程序有个瑕疵，可能让骇客展现捏造的网站
地址。

尽管浏览器为主的安全威胁顾虑日增，企业至今仍把计算机病毒和蠕虫视为最大威胁。但CompTIA 在报告中指出，由于使用防毒软件的公
司比率很高（高达95.5% ），这些威胁已比一年前减轻。

调查结果发现，去年80% 的企业组织把蠕虫和病毒视为最常见的IT安全威胁，今年比率降到68.6%.被视为第二大安全威胁的是网络入侵，
但得票数从去年的65.1% 降到39.9%.

防火墙和代理服务器（proxy servers ）是第二常用的防毒技术，仅次于防毒软件，在受访者中的使用率达90.8%.另外，采取安全稽核和
入侵侦测行动的受访者比率也已提升，从去年的53% 增加到61%.（唐慧文）