信息安全半月谈 Information Security Biweekly 002

信息安全半月谈 Information Security Biweekly 002


美国纽约州出台法案保护约会网站用户安全
纽约州日前出台一项法案,要求约会网站提醒用户,进行网络约会时有可能遭遇危险。
虽然很多人都已经知道不应该在网上透露家庭住址。但同样需要注意的是,不要向对方提供自己的雇主或姓氏,因为通过搜索引擎便可以很容易地借助这些信息查找到其他个人信息。
除此之外,这项法案还凸显了过去20年间约会方式的变迁。法案要求网站警告用户:“永远不要在你的互联网个人资料或最初的邮件往来中包含姓氏、电子邮件地址、家庭住址、电话号码、工作地点以及任何身份信息。”

评论:这和我们的互联网实名制的精神似乎恰恰相反,纽约州的这项法案说到底让网上约会变得匿名,约会的对象是谁,一只小狗吗?由于对方不会告知真实 身份,如果人们通过网络约会的目的是结婚,那恐怕永远实现不了。不过它提到约会方式的变迁,倒对国内的交友、媒介类网站有些影响,用户或会员的身份验证、 聊天约会内容的详细记录都可能在日后会成为网监或公安要求的内容。

谷歌和解关于Buzz隐私权的诉讼
一份法庭文件显示,谷歌已同意支付850万美元就Buzz社交网络服务侵犯了用户隐私权的集体诉讼达成和解。
大部分和解金将用于资助互联网隐私政策或隐私教育方面的组织。Gmail用户现在需要创建Google Buzz公开资料,对其在线好友名单进行浏览、编辑和隐藏。
谷歌助理首席法律顾问Mike Yang周五在博客上表示:“我们简化并升级了谷歌隐私政策,需要明确的是,我们并未改变隐私惯例,我们想让我们的政策更加透明和容易理解。”

评论:谷歌仍然不承认Buzz社交网络服务侵犯了隐私权。那为什么要和解呢?问题在于Buzz社交网络的的初始推荐设置开放了用户的隐私,这显然有 利于同其它社交网络服务开展竞争,但不够安全。另外,也给我们带来一个关于变更管理的教训,Buzz的上线让很多Gmail用户猛然看到收件箱下多了项显 眼的功能,担心是被******了,如果它的上线发布遵守变更管理的通用流程,先用简单的培训告知一下用户,特别强调一下关于隐私的默认配置,给用户一项开启 此功能的按钮,相信可省下这笔和解金了。

谷歌开除违反内部隐私保护协议的工程师
人们信任谷歌,所以把最重要的信息保存在Gmail里面,和朋友通过Gtalk也是无所不谈。但是,谷歌也不能100%保证我们的信息安全。一位名为 David Barksdale的27岁谷歌工程师长期利用职务之便偷窥用户的Gmail邮件以及Gtalk账户,并对用户进行骚扰,受害人中甚至包括四名未成年人。
谷歌的Bill Coughran说:“我们谨慎控管可以访问我们系统的员工的数目,也定期升级我们安全控制,例如,我们已大幅增加了对工作纪录的审计时间,以确定这些控 制措施的有效性。不过,仍有少数人需要经常访问这些系统以确保系统妥善运作,这就是为什么我们对任何违规行为都如此重视的原因。”

评论:不仅仅是隐私保护的控制问题,要解决的是人员的问题,否则,不仅IT系统的超级管理员会偷看老板们的邮件,更会在系统中放些逻辑×××。IT人 员的权限需要得到适当的设置,所谓最小特权原则;并且更重要的是他们的系统访问及相关操作需要得到控制和审核,确保有正当的理由方可进行访问;相关的访问 和操作必需是合理的,即是来源于前面正当的理由;所有的访问操作都有据可查并且定期审计;相关政策需不断的教育和培训到员工。

信息安全等级保护整改工作已经展开
市场调查显示:从总规模上来看,09年我国信安市场规模约100亿元,安全硬件约占54%左右的市场份额,安全软件份额约36%,预计在未来3年内我国信 安市场平均增速能够维持在20%左右。目前,我国企业信息安全投入占IT投资总额仅为0.98%,远远低于美国的8-12%这一水平,发展空间巨大。从市 场结构来看,各类型信息安全产品的主要客户来自政府、电信、金融、制造、能源、教育等行业客户。其中政府、电信、金融三者份额合计接近60%,是我国信息 安全市场需求的主要来源。
根据《信息安全等级保护管理办法》,09年要求对已定级信息系统进行安全建设整改工作,力争2012年完成,且第三级以上信息系统应当选择使用我国自主研发的信息安全产品。《管理办法》的出台和整改期限的临近给我国本土信安公司带来难得的发展机遇。

评论:等级保护将系统和数据进行等级的划分还不够,对这些系统进行安全评估也还不够,还有建设整改工作,即花钱继续投资在在重点系统的安全保护上 面,很合理。只是安全是一个不断循环改进的过程,新的安全威胁和系统漏洞也会不断地被发现出来,谈何“力争2012年完成”呢?2012后政府和央企就不 需在信息安全方面投资了吗?显然不是的。本土信息安全厂商,任重道远也前途光明哦。

新型计算机化汽车或遭******
安全专家表示,由于对计算机依赖程度日益增加的新无线技术能够使汽车更安全、能耗更低、更现代化,汽车遭******已开始由以前的理论转入现实世界。
已经有研究人员着手研究汽车内无钥匙开关门的安全问题了。研究人员通过试验发现,笔记本连接车载接口后,能够通过另一辆车中的笔记本无线控制该系统,系统很容易受到***。
他们在一辆车中能够对另一辆车进行遥控,可进行刹车、锁死引擎,改变里程表显示,打开无线电广播、按动喇叭等操作。
汽车厂商要有安全意识,并认真对待安全问题。随着汽车应用新界面不断向外界开放,安全问题将日益突出。汽车厂商需要在开放与安全之间寻求平衡。”
另一个安全隐患是,汽车可能效仿智能手机和网络服务,获得定制化的第三方应用。

评论:社会的智能化程度越高,面对的安全问题也越多,相信随着物联网、智能城市、智慧地球等概念的落实,人们所受的潜在威胁也会越来越多,给大家的建议还是那句话“将安全嵌入您的系统的整个生命周期!”

互联网大腕简化用户登录验证
谷歌简化了雅虎用户登录谷歌账户的程序。只需一键,你就可以使用你的雅虎认证信息登录谷歌的账户,包括Gmail,谷歌文档,谷歌阅读器,甚至 AdWords广告账户。一键登录是凭借谷歌和雅虎共同支持的OpenID认证信息来完成的,此外,这项服务也可使用OAuth认证信息来完 成,OAuth认证信息正迅速成为互联网的标准,Twitter对所有第三方应用和网站进行OAuth验证。
这项服务的理念是用户只需点击一键就可以在登录雅虎账户的情况下进入谷歌账户,也可返回雅虎账户。使用已有的ID登录网站是一种更先进的方式。2009年1月谷歌首次将OpenID与OAuth(谷奥)结合起来。
目前,谷歌首先对雅虎开放了这项服务,并希望将此服务扩展到微软等其他支持OpenID的合作伙伴那里。一键登录模式可吸引更多的人完成注册过程。如果你还没有谷歌的账户,而你恰好拥有雅虎或微软的账户,对于这样的目标用户,这项服务便会十分有意义。

评论:互联网系统的用户和密码的管理是令人头痛的事,光是登记注册的过程就够累人了,如果有多套密码,要记住各个网站的密码也是一件不小的挑战。集 中统一账号和权限的管理,目录管理、单点登录等在组织内部早已受到推崇,知名的互联网厂商能携手合作,共同建立这些认证和授权的标准,确实是用户的一大福 气,国内有人人网和新浪网等开放类似功能给合作厂商,也真是很方便用户,我们也在ISVOC.COM网站开启了类似的功能,欢迎您试一下,让我们一起继续 努力吧!

人人网否认出售用户资料
近日有报道称千橡互动集团旗下人人网涉嫌出售用户资料,被疑与团购网站利益互换。此消息由于涉及用户隐私问题,顿时引起了广泛关注,就此事人人网表示出售用户资料的报道是假新闻,并表示正在通过相关法律手段进行处理。

评论:不管是否有出售用户资料,团购网同人人网合作是不争的事实,当然会被人们怀疑。这一事件告诉我们:在相关法律的保障下,平等签定正式的合作协 议,留下详细的文档记录以备日后审查之需。国外成熟的做法是在用户注册时,会有选项提供给用户,是否允许网站同它的合作伙伴分享用户的个人资料。另外,也 不免有团购网站如糯米网会利用人人网的用户验证功能登录网站和社交网络的推广渠道。

手机认证技术公司FireID获得640万美元投资
来自南非的手机认证安全软件公司FireID已经拿到约合640万美元的投资,投资方为4Di Capital。这些资金将用于在全球推广该公司的手机密码认证解决方案。
用户可以通过FireID在手机上生成(支持离线生成)一个一次性密码,用来访问网银、电子商务网站、云端软件和×××等。用户无需记住繁琐的密码,无需通过手机短信接受密码,省去了银行签发的认证硬件(如安全口令卡等),从而降低了欺诈风险。

评论:一次性密码,太好了!要得到那么多不断新出的手机平台和厂商的支持,尚需努力。可是如果手机被人偷了,那对贼不是也很便利,损失不是更大了?或许有人又要开发和提供让手机远程锁定或让手机丢失后失效的功能了。

惠普将入主ArcSight
据国际消息,惠普将以每股43.50美元的价格收购一安全认证公司ArcSight,足足花了15亿美元。收购消息一经发布,ArcSight股价狂升26%。而在惠普收购ArcSight之前,英特尔也动用了78.6亿美元收购了McAfee。

评论:ArcSight在日志管理、事件管理和法规遵循上也很有影响力啊,无疑会加强HP在安全业务领域方面的实力。

惠普将入主3PAR
之前,戴尔出人意料地提出用11.5亿美元收购存储虚拟化厂商3PAR,一周之后,惠普提出以16亿美元收购3PAR。这很像是一场针对一家拥有独特存储技术的厂商进行的竞购大战。
但是,它不是竞购大战。相反,它是对于存储未来的一场大战,因为这些行业顶级厂商正指望获取关键的技术,使它们能够满足客户对于虚拟化、数据安全和云计算的需求。

评论:相对于美国火热的并购,国内依然很平静,平静的原因是我们的创新也不大多,没太多好买的,另外对自己缺乏的,可以挖角;可以复制;可以剽窃;不过,相信随着我们的创新能力、安全保密意识和知识产权保护的不断加强,国内和国际间的并购也会越来越多。

用友涉嫌私入金蝶内网
近日,金蝶软件向法院提出的针对用友公司的诉讼请求,内容包括:判令用友软件立即停止非法侵入金蝶内部网站的不正当竞争行为;判令用友软件登报公开道歉;判令用友赔偿原告相关损失人民币10万元并承担本次诉讼的相关费用。
据悉,金蝶技术人员在对其内部的网络办公支持平台进行例行核查时发现,登录日志显示有一个未经授权的IP地址段,经常登录上述网络办公平台访问、浏览。经金蝶技术人员查验该IP地址段的归属,证实属于用友软件公司。不过,金蝶公司未透露IP地址以及登录的用户名信息。
“我们的内部网络办公平台须经授权方可登录进入。”金蝶法务人员表示,用友作为原告的同业竞争者,采取不正当手段登入含有金蝶商业秘密的内部网络办公平台,非法获取金蝶须经授权方可知晓的技术秘密和经营秘密,其行为严重背离诚实信用的商业准则,构成对原告的不正当竞争。
据相关媒体记者了解,金蝶内部网络办公平台包括公司业务管理、经营策略、市场研究、技术方案、客户资源等不对外公开的内部工作信息,其中的机密系统含有客户信息、合同管理、服务价格、交易记录、售后跟踪等重要信息。

评论:对金蝶的做法表示认可。金蝶公司的力量很大啊,不过用友也不弱,类似同业竞争的案例太多了。给我们的启示:
1.商业竞争对手这一威胁需引起高度重视。
2.远程访问的安全问题,除系统服务本身的加固外,加密的安全通讯必不可少,否则不知何时何地系统的用户名和密码就被侦听和窃取了。
3.加强用户和权限管理,只给用户完成其工作所需最少权限。及时停止离职员工的系统访问权限。
4.离职保密协定,特别针对跳槽到同行业竞争对手的员工。
5.加强安全监控,评估和在必要时加强例行核查的频率。
6.考虑部署数据防漏洞系统,降低可能从各个渠道泄密造成的损失。
7.发现安全事件时及时报告主管高层,并注意保留相关证据,以便采取进一步响应措施。
8.诚实守法经营,教育和培训员工遵守法律及商业操作规则。
9.某些特殊的情况下,培训员工基本的安全知识,如如何使用海外匿名代理。

互联网上成长速度最快的生意——监测互联网用户
《华尔街日报》近日调查显示,美国最大的50家网站都在使用追踪技术,平均安装了64种追踪软件。这意味着,当你访问这些网站时,自己的一举一动都在被监视和记录。
只要你上网,哪怕动动鼠标都能被记录下来。于是,你在网络世界留下的重重叠叠的痕迹,逐渐勾勒出你的轮廓。

评论:听起来很吓人啊,尤其是使用网上交易的人们,要小心喽!网络小软件、插件,能很容易分出恶意的和善意的吗?最安全的方式还是不要安装那些并不十分必要的网络插件!

谷歌加强儿童上网保护
谷歌建立了一个可以让家长帮助孩子安全浏览互联网的资源库Family Safety Center。
该网站可以让家长了解Safe Search搜索特性让孩子远离成人内容,并且对YouTube内容也一样有效,并且Google还推荐了一系列儿童保护的合作伙伴。

评论:免费的绿坝软件,估计现在还有一些人家在使用。家里面儿童上网保护确实令人担忧啊,除了Symantec和Mcafee等传统的安全厂商,微 软,谷歌都在操作系统和搜索引擎加入了相应儿童上网保护进他们的,真是一大好事儿,让我们用一用吧!另外,安全厂商和企业组织也可以考虑采用他们的数据 库,进而搭建和提供更强大的组织上网行为管理体系,确保员工的上网安全和提升生产力。

互联网安全呼唤全球合作
为什么别人要黑我们?原因很简单:我们的信息是有价值的,并且互联网有漏洞。保障互联网安全,全球合作非常必要。进行全球合作,至少有两大因素:首先、所 有的利益相关者,包括公共系统、私营系统和网民,都应该尽到他们的职责;第二,所有的利益相关者要紧密合作,有效能和效率地处理这些长期问题,进而建立一 个全球的在线法规遵循机制。
网民,一个重要的参与者,首先需要保护好他们自己。人们乐于在社交网络分享他们的生活,有时并不知道网站的隐私设置。所以网络罪犯想得到这些信息,他们通常很容易就发现他们需要的这些信息,所以,我们在发布这些信息之前需要三思。
全球在线法规遵循机制是必需要建立的,唯有这样,才可能惩罚那些跨国界的罪犯。WikiLeaks,一个在线的爆料者,或告密者,发布了美国政府的成千上 万秘密资料。然而,人们仍然在争吵WikiLeaks是不是罪犯,美国政府很恼火,国为它披露了美国直升机滥杀伊拉克平民的视频,让阿富汗的亲美者和美国 士兵的生命受到威胁。
然而,美国政府也没有办法防止这些机密文档的泄露,因为WikiLeaks的服务器在瑞典,在那儿,法律保护爆料者。中国也面临同样的问题,无法停止非法的×××和×××网站,因为罪犯将这些网站设置在可以逃避惩罚的地方。
简单说,在互联网上,坏家伙们在偷窃,而好人们一定要携起手来,确保我们能走在他们的前面。

评论:全球合作,听起来仿佛是要抗击分布式拒绝服务***,可谓任重道远哪!政府主管、安全组织、安全厂商、运营商和终端用户要通力合作,这不,我也呼唤您来合作,如果您觉得这个节目好,请转发,如果您有任何问题或建议,请告诉我,让我们一起把这个节目办得更好!

告密者天堂或地狱?Wikileaks鼓吹线上“爆料”
最近,一个名叫”维基泄密”(Wikileaks)的网站名声大噪,原因是它在今年4月初披露了美国直升机滥杀伊拉克平民的视频。该视频共有800万人次 的浏览量,让美军方十分被动。这家网站专门致力于”泄密”,平均每天贴出30份敏感文件,但美国政府却拿它无可奈何,因为它”深藏不露”。
维基泄密(Wikileaks)是什么? 维基泄密(Wikileaks)是如何运作的?
Wikileaks是大规模文档泄露与分析的不可追查和不被审查的来源网站。其结合了尖端的保护、匿名加密技术与透明简单的维基介面。
Wikileaks看起来很像维基百科。任何人都可以发表评论。使用并不需要拥有任何特别的电脑知识。告密者可以不受追踪的匿名发布文档。用户可以公开讨 论文档,剖析其可信性和真实性。用户还可以讨论最新材料,阅读并书写解释性的背景材料或相关内容。一份政治相关文件及其真实性,可由数千人共同厘清。
Wikileaks提供的高阶加密技术保证了匿名性与不可追踪性。由于提供文档人仕的身份泄漏,无论是在政治影响、法律打压或身体残害上,都可能使他们面临到严重的威胁。因此,采用先进的加密与发布技术可将此类风险降至最低。
对于技术人仕可能想知道的,Wikileaks集成的技术包括改良版的MediaWiki、OpenSSL、Freenet、Tor、PGP以及它们自己设计的软件。
Wikileaks所提供的泄漏文档比任何传媒或情报机构提供的更能起到监督作用。Wikileaks为全球社群坚持不懈地研究任何文档,以确认其可信 性、合理性、真实性和有效性提供了一个论坛。社区成员可以解读泄露文档,并向公众进行适当的解释。如果有一份来自法国政府的文件,那么全法国的持不同政见 者以及流亡者就可以自由地对其进行审议和讨论。

评论:开放监督和保护隐私是一个硬币的两面,要分清谁是谁非可是个哲学和立场方面的问题。不过可以供国内的那些类似网站提供者借鉴的是它的技术和管理体系。匿名加密、透明简单,可谓Web 2.0与免费加密技术的完美结合。

微软有望借法律手段重挫僵尸网络运营商
在法院的支持下,通过巧妙运用民事诉讼程序“单方审查程序”,微软有望大胜僵尸网络运营商,并彻底改变打击不法在线运营商的方式方法。

评论:奇怪的民事诉讼程序,竟然有如此大的威力,可以直接要求域名服务商改变某个域名的指向。在我们建立法制社会的今天,大企业不妨也学一学微软, 好好研究相关的信息安全法律和利用这一武器来保护自己的合法利益。不过,下一步,僵尸网络估计要升级技术了,比如给命令和控制服务器用固定IP而不是域名 了。

首届中国专利信息年会在京召开
近日,由×××主办、知识产权出版社承办的首届中国专利信息年会在北京国家会议中心召开。×××局长田力普他强调,专利信息是集科技、经 济、法律为一体的综合性信息,在知识产权工作中不可或缺,作为一种基础性、战略性资源,对于借鉴现有技术、避免知识产权纠纷具有重要意义。面对国际、国内 的新形势,我国已经到了必须更多依靠增强自主创新能力和提高劳动者素质,通过开发和应用知识资源推动经济发展的历史阶段。田力普强调,希望通过举办中国专 利信息年会促进专利信息的广泛传播,促进知识产权对企业创新的引领作用;通过这样一个交流平台进一步扩大中国专利信息界的交流以及与国外同行的交流,深化 合作,共谋发展,为推动我国知识产权战略实施做出努力。

评论:学习关于软件版权保护相关课题,当今社会,软件系统作为一种提供重要服务的工具几乎无处不在,这使得保护软件内容、数据和知识产权成为软件开 发的重点,同时也是实现产业应用成功的一个必要条件。没有强大的软件安全与保护技术,许多基于软件的系统,如:医疗信息系统、数字版权管理系统、投票系 统、国家电网、交通系统、财务系统等的核心部分,都将受到毁灭性的***。
软件安全与保护所采用的先进技术包括:代码混淆(抵御逆向工程),软件水印(抵御软件盗版),防篡改技术(抵御软件完整性侵害)和用于详细说明***策略、测度方法和原理的安全模型等,以保护软件免受篡改、逆向还原和盗版之危险。

2010中国计算机网络安全年会在京召开
针对当前的网络安全形势和国内网络安全工作实际,2010年中国计算机网络安全年在北京召开。会议继续围绕“网络安全管理政策”、“基础网络设施安全”、 “互联网应用服务安全”、“网络安全新技术和新思维”等话题设置专题分论坛;同时,在保留广受好评的会前培训基础上,并进一步充实技术培训的内容。

RSA大会将于10月21日至22日在北京举办
经国家有关部门批准,北京举办RSA安全大会2010信息安全国际论坛。本次论坛由美国RSA Conference(RSA大会)主办,中国电子学会承办,将针对云计算安全、可信计算、反网络欺诈、法规遵从、密码学等重要的信息安全议题展开研讨。

McAfee关于数字音乐和电影的报告
网络不法之徒利用我们对突发新闻以及热点问题的猎奇心理, 诱使我们点击垃圾邮件或下载所谓的“必看视频”。这份报告有如下发现:
1.“免费”可能代价高昂
2.MP3 增加风险
3.“粉丝”吸引危险的 URL
4.恶意广告泛滥
总之,网络犯罪是门“大生意”,在线媒体是网络罪犯最大的赚钱工具。对数字媒体的需求——无论是音乐、视频、电视或其他流式内容——都处于空前的最高需求,网络不法之徒正以任何他们所能采取的方式进行***。

Tenable发布iPhone平台的Nessus
继Tenable发布基于Web的扫描软件之后,最近又正式发布iPhone平台的Nessus软件,软件可以从苹果商店免费下载,它包含如下功能:
1.连接到Nessus服务器(版本是4.2或更新)
2.启动服务器上的扫描模板
3.开始、中止或暂停运行中的扫描任务
4.创建和执行新的扫描及扫描模板
5.查看和过滤报告
有iPhone或iPod Touch iOS 4.0以上版本的用户可以试试它。

安全小提醒
近期美国受病毒***严重,Windows又发布大量月度漏洞补丁,Adobe的Flash和Acrobat等又爆出一些高危的或零时差0day安全漏洞,请大家及时修补。

转载于:https://blog.51cto.com/isvoc/393115

你可能感兴趣的:(信息安全半月谈 Information Security Biweekly 002)