本文同时发布在: [url]http://netsecurity.51cto.com/art/200903/115531.htm[/url]
 
信息安全方面值得关注的热点较为散乱,云计算是这两年IT业界的新热点,然而云计算的先行者Google却在本周爆出了其产品Google Docs泄漏用户文档和敏感数据的丑闻。沉寂一段时间的网络犯罪领域再次升温,按服务形式提供的网络***和恶意软件开始抬头,数家安全厂商也报告称Google、Yahoo等搜索服务成为网络犯罪组织手中的新利器。安全管理方面,安全行业对制定一个可行的安全性度量标准的呼声渐高。在本期回顾的最后,笔者仍为朋友们带来一篇值得一读的推荐阅读文章。
本周(090309至090315)安全要闻回顾
本周的信息安全威胁等级为低。尽管本周又是微软推出安全更新的时间段,但目前安全行业没有发现互联网上有针对微软已修补漏洞发起的大规模***活动,用户只需及时从微软网站下载并应用补丁即可。
 
云计算安全:Google Docs泄漏用户敏感文档;关注指数:高
云计算是近两年来IT业界的新热点,随着Google Docs和SaleForce等一批先行者的成功,众多的软件厂商和互联网服务商都纷纷进军这个领域,然而本周Google Docs爆出泄漏用户文档和敏感数据的丑闻,无疑为云计算领域的创业者和经营者敲响了警钟。
问题出现在Google Docs对用户对文档权限和协作共享设置的处理上,如果用户曾经对文件设置过共享,那么用户的其他文件可能会被其他登录Google Docs系统的用户访问或修改。Google在Google Docs的支持论坛上获知此漏洞的存在后,迅速对受影响的用户文档采取移除共享用户和权限的操作——这对相当多的正常用户产生了一些操作上的影响。
Google事后在Google Docs官方博客上称,此次Google Docs服务出现问题,受影响的用户只占Google Docs服务总用户不到0.5%的比例,另外此次Google Docs的问题只会影响文本文档和PPT文件,而表格文件不受影响。Google在处理这次问题上虽然动作也算是够快,但仍然会对Google Docs的安全性产生负面影响,也再次提醒了其他服务提供商和用户,数据安全和服务可用性仍是云计算主要面临的问题。
笔者认为,尽管采用云计算类的解决方案可以有效的降低用户花费在采购软硬件上的开销,同时也可以实现只要有网络数据就能随人走这个理想状态,但现在的云计算服务,感觉更适合预算有限的小企业和个人用户,对数据安全和可用性要求比较高的政府部门和企业用户来说,建议还是应当谨慎选择云计算服务,尽量不要将带有敏感数据的文档或其他资料存放到云计算平台上进行处理,如果是对成本比较敏感,用户可以考虑选择成熟而且更为安全的开源软件产品。
 
网络犯罪:服务形式的网络犯罪开始抬头;搜索引擎成为网络犯罪组织的新帮凶;关注指数:高
项目外包是企业在进行IT项目时最为常见的实施方式,企业可以借助将项目外包有效的节省人力物力成本和时间——不幸的是,网络犯罪集团也开始借鉴和使用这一有效的实施方式。
本周在悉尼举行的一个银行业会议上,安全专家就向与会者描述了网络犯罪这样的趋势:由于网络犯罪已经形成完整的地下产业链,网络犯罪组织也开始将恶意软件编写、配置和服务器设置等一系列更为专业的操作外包给专业的恶意软件作者和***。根据会议上举例的一个来自网络犯罪软件作者的邮件显示,恶意软件作者向网络犯罪组织提供了托管的恶意软件制作和服务器维护服务,只需要支付400美元,一个只有基本计算机技能的用户就能获得一个能够盗取用户银行账户的最基本***套装,并得到恶意软件作者为期一年的不间断支持。
显然将这一趋势将在2009年有所加强,由于我国在今年2月底通过了刑法修正案(七)第285条的修订版,将提供恶意软件和控制他人计算机纳入犯罪的认定,以及近段时间有关部门进一步加大对网络犯罪的打击力度,国内网络犯罪组织和恶意软件编写者会加快将“业务”转移到国外的进程,同时来自国外网络犯罪组织的***也有可能进一步增多,建议国内用户应提高警惕。
在上期的回顾中笔者曾给大家介绍过恶意软件借助Google Trends进行扩散的新闻,这方面消息在本周有了进一步的深入:安全行业在近一段时间的研究和分析中发现,恶意软件借助Google Trends扩散的背后,隐藏着Yahoo、Google等知名搜索引擎正成为网络犯罪组织***的新帮凶这一趋势。
Symantec的研究人员在3月10号称,网络犯罪组织利用付费的Yahoo搜索广告功能,欺骗用户下载一个名为“AntiVirus & Security”的假冒反病毒产品,用户如果不慎运行了这个程序,将有可能丢失用户账户等敏感信息。另外一个安全厂商McAfee也在同一天称,网络犯罪组织利用Google对Democrats.org网站较高的Page Ranking,提升他们的恶意软件和恶意网站链接在搜索结果中的排名顺序,以增大感染警惕性较低的用户的可能性。
安全行业对搜索引擎越来越不安全这个趋势也并非不作为,多个厂商都推出了能够为用户提供站点安全性建议的浏览器插件,内置的网页内容和脚本扫描引擎也成为大多数反病毒软件及防火墙的标准配置,但是安全技术和产品总归只能起到一个辅助和预防的作用,安全的使用搜索引擎和培养安全的网站浏览习惯,才是防御通过搜索引擎扩散的恶意软件的最好办法。
 
安全管理:安全度量标准呼声渐高;关注指数:中
在3月13日波士顿举行的SOURCE会议上,前美国国土安全部网络组的组长向与会者发表了一个主题为信息安全的演讲,期间他呼吁安全行业应尽快制定一个安全度量标准,以供各行业的用户能对自己的信息安全现状有更清晰的了解。这是一个相当有意思的话题,尽管目前安全行业和政府等其他部门已经制定了许多不同类型的安全标准,但接触过信息安全领域或实施过相关项目的朋友可能会问这样一个问题:我知道我的企业/机构进行过什么样的信息安全项目,但是我怎么知道在项目实施之后我的企业/机构的安全程度如何?
没错,这是个很难回答的问题,在实践中我们可以说我们的用户实施过什么样的信息安全标准,如ISO27001、等级保护条例等,或者是在这样的标准下我们的用户已经能够满足多少个条例,然而现在确实没有一个得到广泛承认的安全度量标准,来衡量一个企业/机构的信息安全到底达到什么样的水平,到底是及格,还是良好或者优秀?
因为每一个用户都有自己与其他用户十分不同的IT设施、安全策略和IT管理水平,要在这种情况下去衡量每一个用户的信息安全水平,并确定一个有可比性的数据,显然是一个几乎不可能完成的任务。笔者觉得,从短期来看,因为行业和个体的差异性过于明显,要制定一个普适性较好的安全度量标准仍不现实,不同行业的用户建议还是多关注本行业的信息安全标准的实施,或应用通用性更好的ISO27001、PCI等标准。
 
推荐阅读:
2007年爱沙尼亚网络战的背后
2007年中因为选举等政治问题,爱沙尼亚国内曾发生过民众骚乱等事件,并出现大规模的网络拒绝服务***,导致该国众多的公众和政治网站无法正常运作。这个事件的背后真相如何?有兴趣的朋友可以看看最近公开的对此事件进行深度分析的文章《2007年爱沙尼亚网络战的背后》
文章的地址如下:
[url]http://www.rferl.org/Content/Behind_The_Estonia_Cyberattacks/1505613.html[/url]