下面扼要重述一下2006年值得关注的信息安全威胁：

　　1.微软发布应急补丁防御WMF安全漏洞

　　大多数安全管理员正在欢度圣诞节和新年之间的假期的时候，发现了一个安全漏洞。这个安全漏洞能够让攻击者利用图形文件注入恶意代码。为了防御这种攻击，微软2006年1月5日在每月发布补丁的周期之前提前发布了安全补丁，对一位独立安全人员开发的未经授权的补丁做出了反应。

　　2.美国退伍军人事务部遭到数据突破 2650万老兵个人数据受影响

　　2006年5月，美国退伍军人事务部一位雇员在家中丢失一台笔记本电脑，里面存储了2650万美国老兵的社会保险号码。这一事件促使许多公司重新考虑远程办公人员携带笔记本电脑的政策。2006年还发生了许多类似的数据突破事件，主要是丢失笔记本电脑和其它远程设备。

　　3.RFID安全问题使消费者信息面临风险

　　在2006年10，马萨诸塞州大学的研究人员成功地破解了使用RFID芯片的信用卡，从而引起了有关存储在RFID芯片中的数据的安全的争论，特别是RFID信用卡的安全。

　　4.恶意软件威胁Vista操作系统安全

　　安全公司Sophos在2006年11月宣布，11月份发现的恶意软件有三分之一可能突破Windows Vista操作系统。这是在微软发布Windows Vista企业版几天之内发布的消息。

　　5.僵尸网络队伍在2006年日益增长

　　到2006年第四季度，许多企业发现其电子邮件系统中有大量的垃圾邮件。这些垃圾邮件主要来自于日益增长的僵尸网络。

　　6.基地组织要对美国金融机构发动网络攻击

　　2006年12月，美国计算机应急准备小组警告称，基地组织可能对美国金融机构发动攻击。但是，美国计算机应急准备小组后来没有证实这个威胁。

　　7.美国地区法院对使用僵尸网络的一名男子判刑

　　美国洛杉矶地区法院对运行一个僵尸网络的男子James Ancheta判处57个月的监禁。这是美国首次对这类案件提出起诉。美国联邦调查局在调查和逮捕了Ancheta之后，Ancheta在2006年5月被定罪。美国和欧洲议会还把反对网络犯罪的执法行动扩展到了反钓鱼攻击方面。这种钓鱼攻击多数来自于海外。

　　8.金融机构积极满足FFIEC最后期限的要求

　　随着2006年的结束，金融机构积极满足FFIEC(联邦金融机构检查委员会)发布的在线银行实施双因素身份识别的2007年1月1日的最后期限的要求。这个旨在保护个人身份识别数据的规定称，用户ID和口令本身可能被破解，因此对于在线银行安全来说是不充分的。

　　除了这些重要的新闻之外，还有一些数据突破、遵守法规问题、钓鱼攻击和普通的伤害人体罪以及灾难等。间谍软件仍是一个问题。能够窃取口令的增强的特洛伊木马程序和键盘记录器等恶意程序更加流行了。

　　2007年还是如此吗?

　　虽然2006年是一个充满令人激动情节的一年，业内人士预计2007年还是如此，也许还会更糟糕。不过，还会有一些区别，主要是因为2007年紧缩的经济将迫使许多企业仍以2006年同样的预算和人力与这些更严峻的信息安全状况作斗争。此外，信息安全专业人员将厌倦新的安全威胁和攻击。

　　尼姆达(Nimda)、震荡波(Sasser)和红色代码(Code Red)等年度著名病毒依然存在，但是，间谍软件和能够窃取用户ID和口令的高级键盘记录特洛伊木马程序更引人注意。这些威胁在整个2007年不会减弱。同样，僵尸网络在整个2007年将继续增长并且威胁电子邮件的应用。如果僵尸网络影响消费者对电子邮件的信心或者打败当前的反垃圾邮件技术，这个问题就需要一个解决方案。

　　网络攻击(主要是钓鱼攻击)将继续在整个2007年影响商业领域。银行和其它金融机构将同以前一样继续是主要目标，但是，中小企业和更小的企业将受到有针对性的攻击，很可能受到有针对性的钓鱼攻击。僵尸网络发送具有钓鱼攻击诱饵的垃圾邮件的继续增长是推动这种攻击增长的主要因素。

　　数据突破(有些是内部人员所为)将继续是企业在2007年最担心的问题。这主要是由于小型U盘、黑莓设备、笔记本电脑和无线设备等便携式设备的普及造成的。端点安全是一个巨大的重点，2006年企业在这个领域的增长就是一个证明。

　　最后，所有的眼光都关注微软的Windows Vista，以及这个操作系统能否实现微软所说的迄今为止最安全的操作系统的诺言。由于微软的发布时间接近了年底，现在要说这个大肆宣传的新安全功能是否能够集成到企业环境之中还为时过早。

　　不管怎样，对于安全专业人员来说，2007年将是又一个充满令人激动情节的一年。