本文同时发表在: [url]http://netsecurity.51cto.com/art/200803/67848.htm[/url]
 
本周(080317至080323)信息安全威胁程度为低。反病毒厂商Mcafee最近在其网站上McafeeAdviceCenter板块中提供了名为McafeeInternetSafetyPlan的新电子书,以幻灯片的形式向儿童、青少年、家长、教师和社区等不同年龄段和经验水平的用户提供了一个相当不错的如何安全使用互联网的小课程,推荐朋友们看一下,该电子书的地址是:
[url]http://us.mcafee.com/en-us/local/docs/McAfeeInternetSafetyPlan.pdf[/url]
媒体方面,本周值得关注的新闻集中在网络安全、电子商务安全和安全管理方面。
 
网络安全:Mcafee发现第二次大规模网页***;关注指数:高
新闻:周二,来自ITnews的消息,反病毒厂商Mcafee自上周在其官方blog上警告***正在发起针对ASP站点的***之后,本周Mcafee再次发布警告称***再次对互联网上的站点发起大规模的***。据不完全统计,目前已有超过20万的页面受到影响,其中被攻下的大部分站点采用的都是phpBB页面系统。***还会在攻下的页面上嵌入带有恶意网站跳转功能的JavaScript程序,访问这些被感染页面的用户将被重定向到***的恶意网站,并有可能感染各种恶意软件。
笔者观点:自从去年初Web成为***进行恶意软件散布的首选手段之后,以散布恶意软件为目的的Web***也逐渐进入了业界的焦点。Mcafee这次警告的网页***活动,应该是进入今年以来连续发生的最大规模***活动,感染速度之快,影响范围之广,显然多少有点出乎业界的意料。从第二次的大规模网页***中被攻下的站点都使用了phpBB页面系统,并且***在短时间内就攻下超过20万页面来看,***显然使用了类似蠕虫的自动***工具,自动扫描特定页面系统,并***存在漏洞的页面然后插入恶意代码。另外,在本次的大规模网页***中,***并没有采取浏览器漏洞进行恶意软件种植的***手法,而采用了更为巧妙的欺骗用户自己下载执行恶意软件的方式,也显示出***在恶意软件***中将会越来越多的使用社会工程学的趋势。笔者建议,网站的所有者应密切的关注自己所用的页面系统的更新情况,及时进行补丁升级,防止自己的网站成为******的目标和散布恶意软件的帮凶。而对个人用户来说,除了要及时更新系统的补丁和现有反病毒软件的病毒特征库外,更重要的是提高互联网浏览时的安全意识,不要随意从网站上下载执行可疑的程序或压缩包。
 
电子商务安全:Hannaford丢失420万信用卡数据;关注指数:高
新闻:周四,来自SecurityFocus的消息,在信用卡组织Visa和Master警告美国东北部地区零售商丢失大量信用卡数据之后,零售商HannafordBros本周早些时候公开了其交易系统信用卡数据丢失事件的详细情况。此次事件的起因是Hannaford的交易系统被******并盗走420万张信用卡及借记卡号和详细信息,由于Hannaford在敏感信息保护上的缺少和数据泄漏事故反应上的迟缓,它将面临至少两起法律诉讼。
笔者观点:随着电子商务和在线交易的快速发展,零售商越来越多的使用信息系统和网络处理交易和保存客户的详细信息。与此同时,零售商却往往疏忽于对这些敏感信息的保护,最近两年频繁发生的信用卡数据泄漏案件就说明了这一点。信用卡数据这类敏感信息的丢失,销售商除了要面对付给客户的巨额赔偿之外,还会受到来自银行业、政府部门的法律诉讼。笔者认为,从最近两年影响较大的信用卡数据泄漏案件来看,有几点是值得注意的:首先,规模越大的销售商也容易成为敏感数据泄漏案件的受害者,显然这与大型销售商保存有大量的敏感数据和信息安全意识薄弱有密切联系;其二,这些规模很大的敏感数据泄漏案件的背后都有着有组织犯罪的影子,并非单纯的******事件,甚至包括了从******到洗钱等完整的灰色地下产业链,这给此类案件的调查和损失追回造成了很大的困难;其三,发生敏感数据泄漏的销售商将面临越来越多的法律诉讼案件。政府部门、银行业、安全业界和零售业等相关方应该严密关注这些趋势的发展。
 
安全管理:Gartner报告显示中小企业仍缺乏完整的信息安全规划;关注指数:高
新闻:周一,来自eWeek的消息,市场研究机构Gartner当天发布研究报告称,中小型企业目前仍缺乏完整的信息安全规划。尽管在最近几年中小企业在IT和安全方面的投入每年都在缓慢增长,但由于推动力以外部法律法规的约束和商业业务的压力为主,因此中小企业对安全技术和服务的选择和使用仍停留在一个相对较低的水平。
笔者观点:中小企业的信息化程度较低,显示在许多中小企业没有专门的IT部门,甚至连专职的IT人员都没有配置,这种情况在国内的中小企业尤其常见。这种情况固然有中小企业用于IT设施和安全方面的经费有限的原因,体系化管理观念的缺失也是一个重要的因素,许多中小企业尽管意识到信息安全的重要性,但仍停留在解决眼前面临的安全问题或响应法律法规的要求而部署单个安全设备或软件的层次上。另一方面,现行的信息安全管理体系标准,更多考虑的是在大型企业或特殊行业——如医疗、电子商务、银行业等行业中的企业的信息安全管理需要,并没有专门针对中小企业的信息安全管理进行指导。笔者认为,随着中小企业信息化程度的提高,以及越来越多的******及其他***活动转向中小企业,中小企业必将对信息安全管理及相关的体系、产品和服务产生较大的兴趣,如何在中小企业较少的预算及较低的技术水平的前提下,提供适合中小企业的信息安全管理咨询、产品和服务,值得各安全厂商关注。