2008年注定将成为中国信息安全市场铭记的一年，这一年病毒木马又创新高，这一年应用安全炙手可热，也是这一年万兆安全设备成为安全厂商关注的焦点。新的安全形势对信息安全厂商的要求更加苛刻，国内信息安全厂商将靠什么来满足用户安全需求?笔者近日有机会接触了信息安全厂商天融信的攻防实验室，近距离了解中国信息安全市场的源动力。

应用程序漏洞 潜在威胁

进入2008年以来，互联网与用户生活工作结合的越来越紧密，安全威胁也由传统的系统自身漏洞转移到了第三方应用程序漏洞。迅雷、腾讯、Google、傲游、Adobe等用户频繁使用的工具相继被曝出严重安全漏洞，这无疑将加大了用户的安全风险，同时也将加重信息安全厂商的工作量。用户的信息安全将如何防范?

在天融信的公司架构中有这样一个部门，他们为产品服务;他们及时响应一切安全威胁;他们积极研究发现第三方安全漏洞。这就是天融信攻防实验室。

天融信攻防实验室重点负责安全漏洞研究，并将漏洞整理成库支持天融信防火墙、IPS等产品升级，同时对安全服务进行应急响应支持。主要研究领域包括，操作系统、浏览器、数据库、电子邮件、病毒木马、应用协议等。

作为专业的信息安全实验室，天融信安全研究人员发现了Adobe FlashPlayer 9.0.124.0及早期版本存在Clickjacking高风险安全漏洞。该漏洞在有恶意攻击的情况下，可以导致用户在无法察觉的情况下通过浏览器访问一个链接或对话框，而攻击者可以利用该漏洞控制用户摄像头和麦克风，导致个人隐私信息泄漏。

然而这仅仅是天融信攻防实验室取得成绩的缩影，笔者了解到近一段时间，天融信攻防实验室，相继发现了傲游浏览器(Maxthon)安全漏洞、动网论坛(DVBBS)安全漏洞以及国内一些主流电子邮箱的大规模跨站等一系列安全问题，并及时通知相关厂商修复其存在的安全隐患。天融信攻防实验室的努力，使天融信获得了用户及相关厂商的感谢与认可。

应用安全威胁加剧给信息安全带来新的挑战的同时，也让我们看到了要想取得用户的肯定，首先需要加强自身安全功力的修炼。