业务持续和灾难恢复计划成2011年IT优先考虑
Forrester Research的最近一项调查表明,在未来的12个月,世界各地的众多企业将在业务持续性和灾难恢复方面增加约百分之五的支出。
调查的结果来自全球的2803名IT决策者,发现改善业务连续性和灾难恢复能力成为中小型企业最优先考虑,并且排在所有企业优先级的第二位。
研究还表明,连续性/灾难恢复计划的范围也越来越大。成熟完整的业务连续性/灾难恢复解决方案现在考虑了所有的停机因素,包括传统的停电和天气引起的中断,不只是罕见和悲惨的灾难。
Forrester的首席分析师兼研究总监Stephanie说,有几个因素驱动业务连续性/灾难恢复的优先次序,包括认识的提高和监管力度的加强。
评论:相信更多的因素是IT决策层相关意识认知得到了提高,近几年恶性的停电事故、恶劣气候和自然灾害使人们渐渐认识到业务持续性和灾难恢复的重要性;相关的法律法规及监管力度也日渐迫使企业决定增加相关的投资。
社交网络造成数据丢失和电脑感染
研究发现,过去一年内,有大约20%的数据丢失是通过社交网络造成的。另有约20%的企业对通过社交网络发送公司数据的员工进行了相应的管教,9%的案例中开除了员工。
防病毒软件公司Panda(熊猫)安全发布了社交媒体风险指数Social Media Risk Index,它提出,有33%的被调查中小企业在社交网络上遭遇过恶意代码。不幸的是,最大的被感染站点是Facebook。不过,社交网络站点的好处要 多于带来的安全支出,所以众多企业仍在使用它们。
评论:作为组织信息安全管理人员的您,肯定知道这些互联网应用中的技术风险,可是业务也确实需要它们来推动,如何和用户们讲呢?相信您也为类似的事情发愁 过。如果对最终用户说“不”,可能会导致他们找寻越过安全政策的翻墙方式。最终,您的常规安全控制措施失效了,这反而让组织处于更危险的境界。针对任何新 的技术应用,推荐的做法是先进行风险评估,然后提供风险消除或降低措施。这个例子中如加强终端保护,加强网络和主机数据防漏洞,内容过滤,监控和加强安全 意识培训。最后一项最有成效,因为最终的问题都是人员的问题。通常,IT和安全的经理们都希望通过技术方式来实现安全保护,这正合了安全厂商的意,实际上 匆忙安装安全产品都是些短视的做法。
“抽奖”钓鱼、木马和垃圾信息袭击微博
时下微博很流行,不少组织和个人都用上了微博来进行业务推广和沟通联系。同时恶意威胁也在通过这种途径悄悄的向我们靠近。
网络钓鱼信息泛滥,流行的微博网站也未能幸免。大批钓鱼网站正在假借“新浪微博一周年抽奖”名义进行诈骗钱财。诈骗分子通过张贴评论、发私信等方式,诱骗微博用户打开钓鱼链接,进而骗取中奖“手续费”等等。
此外,黑客也开始利用这种传播方式传播恶意代码,他们往往利用热点话题,以及回帖跟进名星的博文,发布恶意的链接,最终使网友中招,然后中招的网友又向更多的人传播。
而垃圾信息则和垃圾邮件的传播历史相仿,目前基本处于通过手工发送些广告的初级阶段,相信自动发送机和利用系统某些漏洞的迅速传播给大量用户的机制不久会问世。
评论:技术是把双刃剑啊,好人在用它做好事儿时,坏人也在研究和利用它造成破坏,微博是个传播的工具,很好地利用了病毒营销的道理。相信不久,它的漏洞会 渐渐被黑客发现和加以利用。文字和图片内容的层面有专门的团队人员监控,但是短链接系统却无法有力和及时保障外部链接的安全。基本上还是得靠安全意识的提 升和用户终端安全措施的保障。对组织来讲,集成内容过滤和防病毒的网关安全也可帮上大忙。
另外,外媒报道的趋势看来,社交网络媒体开始引领人们进行街头活动。我们自己也可以看到:微博群,活动小组等人气越来越旺,在给人们工作生活聚会等带来便利的同时,相信相关的安全问题会随之而来。
惠普及IBM竞购安全软件厂商Radware
据国外媒体报道,惠普或收购全球领先的网络与安全技术提供商Radware。IBM也是Radware潜在买家之一。Radware是一家生产应用交付和网络安全产品的公司,其竞争对手包括思科、Citrix和F5 Networks.总部位于以色列,在美国设有分支机构。惠普此前刚刚耗资40亿美元收购了3Par和ArcSight.
评论:融合安全的整体全面的解决方案是产业的一大趋势,太多并购事件了,让我们继续关注吧!
手机病毒——移动互联网的副产品
随着移动互联网的日益普及,很多原先从事电脑病毒制造的黑客开始向手机领域拓展。
“现在做电脑病毒已经很难有什么作为了,但手机产业是一个新型的产业,利润很高,一个手机插件大概能卖到几千元到几万元,黑客们正蜂拥而至。”
“手机病毒弄钱有多种方式,但最普遍的一种就是,与一些SP(电信运营增值服务提供商)进行合作,利用SP的计费代码。一旦用户手机中毒,每月定期会被扣一笔费用,而黑客则按比例与SP分成。国内手机用户数量众多,只要万分之一的用户中招,这个收入都非常可观。”
评论:不得不承认,黑客们推动着安全产业啊。对个人来讲,如何防范手机中毒,保护自己每月的几块到几十块钱呢?最重要的是提升安全意识,不打开和上那些陌生的奇奇怪怪的短信和站点。其次,安装手机版防毒软件,并保持更新。最后,和保护您的电脑一样,保持您的手机系统的不断更新,慎用联科发的公版手机系统。对组织来讲,移动手机访问相关业务应用如邮件系统越来越普及,有效的保护这些移动终端和保护内部系统一样越来越重要,安全管理人员需要设定相应的安全策略和部署相关的技术措施,相信相关的移动方案特别是移动安全解决方案的数量会越来越多,功能越来越强大、稳定和可靠,有需求的话可以接触、了解和测试一些。
钓鱼岛事件带来的信息安全启示
近期以来随着中日钓鱼岛争端成为网民关注的焦点,黑客攻瘫多个日本网站,也有些不良黑客开始利用网民的心理来进行此类钓鱼式诈骗。他们通常在日本网站申请免费的域名和空间,在上面建立一个简单的攻陷页面,就去各大论坛发贴,号称自己攻陷了某某日本著名网站,其实是为了吸引网民去点击页面上的Google广告,从而获取收益。
评论:社会热门事件总会带来不少安全事件。当与组织相关的新闻成为媒体焦点时,组织很容易成为公众和黑客的攻击目标,安全管理部门要做好相应的安全应急响应预案,多放些值班人手和提高监控的频率必不可少,必要时可请求外部技术支援。
Facebook将部署检测账户被黑的新方式
以后,如果账号在一个不同的地方登录,或者通过可疑的方式登录,用户将受到警告。如果登录地点不同,你将会被问更多的安全问题,而且,如果您想通过新的设备登录,Facebook将向您发送手机消息或电子邮件。
评论:鬼佬也在向中国人学习,这些功能腾讯QQ早已实现,Facebook加入它,也是顺势而为啊。不过对于超大型的组织或互联网组织,用户账号管理方面,倒还是值得学习和借鉴的。
Comcast黑客获刑18个月监禁
据国外媒体报道,两名于两年前篡改美国有线电视运营商Comcast网站的黑客被判处18个月监禁。
20岁的Christopher Lewis和28岁的Michael Nebel于2008年5月控制了Comcast.net网站。在成功接管了一个用于控制Comcast DNS(域名管理系统)信息的账户后,他们将用户重新定位到他们自己的网站,持续时间达数小时。当时的Comcast.net每天的独立用户访问量约为 500万。Comcast为应对这一攻击共花费了9万美元。
在Comcast的攻击中,黑客利用社交工程技术欺骗一名员工向他们提供信息,从而借此获得了Comcast在的Network Solutions的DNS账户管理权限。
今年早些时候,国内搜索引擎百度也受到类似的攻击而无法访问。
评论:流量就是金钱,黑客将DNS指向自己的网站,从而获利,这很容易理解。希望这一事件能给从事互联网生意的商人们和黑客们一些警示,靠歪门斜道发财致富终将受到应有的惩罚。关于企业DNS管理的安全问题,首先要选择可信的服务商,考察它的服务、口碑及管理系统的安全性;其次根据自身实际情况自行管理或委托管理DNS系统和相关记录;另外,重要的是DNS记录的变更,由于缓存等原因,完全生效可能需要长达数个小时。社会工程学的问题,需要不断地通过对员工的安全意识进行教育培训,来加以防范。
垃圾邮件发送源从中国转往俄国
再见中国,您好俄国:据M86安全公司报告,此前基于中国的垃圾邮件发送者开始在俄国注册新域名。上个月,已经有6000个用于发送垃圾邮件的新域名被登记在两家主要的俄国注册机构中。
评论:域名实名制的副产物,CNNIC功不可没,虽然申请的准则比较严格,但正好击中了垃圾邮件发送者的软肋,由于发布垃圾邮件的域名通常只使用短短数小时,就会反垃圾邮件组织被列入域名黑名单,进而更新到收件者的反垃圾邮件系统中。所以垃圾邮件发送者们会不停地申请新的域名,短时间内使用后即丢弃。不过,安全是寻求平衡,相信严格和不便的申请会让垃圾虫离开,过量的控制也会阻碍一些正当的商业活动。
国家标准化管理委员会批准18项信息安全技术国标
全国信息安全标准化技术委员会组织制定和批准发布了18项信息安全技术标准,它们将于2011年2月1日起实施。这批标准的发布实施,对于完善我国信息安全标准体系,规范和指导我国信息安全保障体系建设具有重要意义。
GB/T 25055-2010 信息安全技术 公钥基础设施安全支撑平台技术框架
GB/T 25056-2010 信息安全技术 证书认证系统密码及其相关安全技术规范
GB/T 25057-2010 信息安全技术 公钥基础设施 电子签名卡应用接口基本要求
GB/T 25058-2010 信息安全技术 信息系统安全等级保护实施指南
GB/T 25059-2010 信息安全技术 公钥基础设施 简易在线证书状态协议
GB/T 25060-2010 信息安全技术 公钥基础设施 X.509数字证书应用接口规范
GB/T 25061-2010 信息安全技术 公钥基础设施 XML数字签名语法与处理规范
GB/T 25062-2010 信息安全技术 鉴别与授权 基于角色的访问控制模型与管理规范
GB/T 25063-2010 信息安全技术 服务器安全测评要求
GB/T 25064-2010 信息安全技术 公钥基础设施 电子签名格式规范
GB/T 25065-2010 信息安全技术 公钥基础设施 签名生成应用程序的安全要求
GB/T 25066-2010 信息安全技术 信息安全产品类别与代码
GB/T 25067-2010 信息技术 安全技术 信息安全管理体系审核认证机构的要求
GB/T 25068.3-2010 信息技术 安全技术 IT网络安全 第3部分:使用安全网关的网间通信安全保护
GB/T 25068.4-2010 信息技术 安全技术 IT网络安全 第4部分:远程接入的安全保护
GB/T 25068.5-2010 信息技术 安全技术 IT网络安全 第5部分:使用虚拟专用网的跨网通信安全保护
GB/T 25069-2010 信息安全技术 术语
GB/T 25070-2010 信息安全技术 信息系统等级保护安全设计技术要求
评论:相信这些标准的制定有得到不少相关领域的企业的支持。对于众多企业组织的安全管理人员来讲,标准意味着对产品和技术的选择有了参考,有了依据。二、三线安全厂商要进入相关领域,获得部分组织对产品的认证时也多了些限制。不过,此次发布的校准大部分都是关于认证系统的,相信影响的范围也只局限在政府等保护性行业和国内本土厂商。商业领域大家跟从和选择的几乎都还是国外领先的技术标准和解决方案。
美国拟建新规,扩大互联网监听范围和加强技术条件
近年来,美国国内外反恐形势依然严峻。随着互联网的快速发展,人们更多地使用网络而不是通过电话进行交流,美国国家安全部门也因此常常感到“两眼一抹黑”,丧失了有效追踪恐怖活动嫌犯的能力。新规还将强制要求所有通信服务具备被监听或监视的技术条件,以便执法机构能够拦截并破解加密信息。
相关官员透露,这份提案可能要求通信服务运营商必须提供解密方法,位于国外但在美国开展业务的通信服务运营商必须在美国本土设置一个具备信息拦截能力的办事处,Skpe等P2P通信服务的软件开发商必须重新设计产品、使信息能够被拦截。简言之,所有通信方式必须能够“被监听”。不过,美国是民主法制社会,此举立马引来了大众对隐私的强烈关注以及抗议活动。
评论:美国技术引领世界,在美国做生意的通信运营商需提供解密手段给美国官方,加密通信软件必需重新设计以便美国官方可以拦截,对厂商来说,或许只能给美国官方开个后门——提供所谓“万能的密钥”了。对其它国家来说,这可是黑莓手机事件后的又一美帝霸权表现呢,相信后续故事还会有很多。
说到加密产品的后门,在制作节目时发现正好也是Security Now本期讨论的话题,有兴趣的话可以听一听。sn0268.mp3
美国互联网风暴3号演习,美国信息安全战略进入第三个发展阶段
月末,美国与12个国际伙伴联合开展为期3天的大规模网络攻击应对演习,检验美国在遭受大规模网络攻击时的应对能力。
早前,美国国防部副部长威廉·林恩三世就指出,北约盟国应该建立一个与跨大西洋联盟相重合的“网络盾牌”,并将这一“数字盾牌” 和自冷战时期沿袭下来的北约“核盾牌”相提并论。这可以看作是冷战后美国信息安全战略进入第三个发展阶段的重要标识之一,预示着一种全新的信息战略:基于 “有效保护”和“大规模报复”的“积极防御”战略。2011年11月举行的北约里斯本峰会上,预计“网络盾牌”会浮出水面。
评论:安全演习,跨国合作,应急响应,好,组织也应该学习领会相关精神,并应用到紧急事件响应计划、业务持续性和灾难恢复计划的实际工作中!
QQ直接登录Discuz!发帖即时同步到QQ空间?
康盛创想CEO戴志康称:带QQ登录功能的Discuz!将于国庆节期间向公众演示用QQ帐号直接登录。但十一过后各位中小站长仍不能立刻使用这一功能,因为这一功能的具体上线日期仍未确定。
戴志康说:“今后Discuz!计划加入将帖子信息同步到QQ空间与腾讯微博的功能。论坛信息将会进入腾讯的产品体系。”QQ空间会不会成为论坛信息的采集站呢?“我们将仅仅提供文章标题,或者300字左右的预览,网友想要看全文,必须点击链接查看论坛的原文,这将会为来原论坛带来流量。”
评论:用QQ登录论坛,同步信息到QQ空间和腾讯微博,看来腾讯想统一网络身份证和掌管天下论坛的内容啊,野心不小。
凤凰迷奸女网友跳楼交警竟是法制股长
评论:虽说“执法犯法,罪加一等。”实际上在组织中,信息系统和安全系统的管理员们具有“犯法”即违背组织信息安全政策的最佳条件。对信息安全管理的启示是:安全从业人员的道德建设不是出了事再大搞运动能避免的,是该严把入口关,进行员工入职背景检查,通过各种途径,看有否不良记录。并且日常不断教育和加强监督。主管经理们要从自身做起,榜样的力量是无穷的。
360隐私保护器直指腾讯QQ
360发布360隐私保护器时称,“某聊天软件在未经用户许可的情况下偷窥用户个人隐私文件和数据。在后台密集扫描用户硬盘,并悄悄查看与自身功能毫不相关的文件,如用户浏览器、下载、视频播放等文件。360隐私保护器,可以帮用户了解电脑中的软件是否有侵犯用户隐私,并能将窥视用户隐私的行为实时曝光。”
360隐私保护器评判的依据是中国互联网协会的官方标准,明确将具有“未提示用户或未经许可,恶意收集用户信息的行为”的软件定义为“流氓软件”。这种客户端软件流氓行为的主要目的是,通过收集用户数据加以分析挖掘,用于精准投放定向广告,牟取巨额商业利益。
评论:腾讯声明:“QQ软件绝对没有窥探用户隐私的行为,也绝不涉及任何用户隐私的泄露。”显然是一句粗话,公安局办案时通过的QQ记录是如何得来的?
另腾讯声明:“QQ的安全模块,采用了安全软件普遍采用的检测技术,系统地发现和清除各类木马。”那得看是什么安全软件的什么检测技术了,聊天软件保护好自己是必需的,但是集成了杀毒软件的功能,访问人家别的网络软件干什么?
从论坛和微博上看,网民的意见有很大的分歧,部分认为360故意“误判”QQ软件,是在恶意炒作,进一步的结果会引起用户的反感,进而将他们推向腾讯;另一部分认为腾讯不厚道,未诚实告知用户其会提供聊天内容等给警方,进而弃用它,并开始选择其它替代产品如MSN,社交网络,微博等。
“360隐私保护器”此次猛击腾讯QQ,真是一步险棋,猜想其至少想达成如下效果:1.借助搞QQ,制造新闻,进而提升这个新产品及公司其它产品的知名度;2.企图搞臭腾讯在网民心中的安全可信度,遏制腾讯在安全市场上的鲸吞蚕食;
有用户将其它可执行文件改名成QQ.EXE,结果也被报出窥视隐私,看来360技术上准备不够,操之过急啊。
启示:要增加信息透明度,在系统如软件和网站上清楚加上诸如关于隐私保护的条款,如腾讯需加上“在法律许可范围内保留用户的聊天记录”,“会扫描其它网络软件以发现其中的安全问题”等等之类的声明。
最后,同业间有监督、有竞争对大家都是好事儿!希望两家都继续好好努力,为广大网民和我国互联网安全做出应有的杰出贡献!
ISACA发布云计算管理审计及确保项目
评论:尽管走在云安全联盟CSA的后面,但在审计行业具有超强影响力的ISACA紧跟时代潮流,及时赶出的这一项目值得关注,大家可以下载游览和学习一下。尤其是云计算行业和审计行业的从业人员,需好好看一下。
2010中国金融业信息安全暨数据中心发展研讨会
中国人民银行党委委员、行长助理李东荣出席会议并强调,要充分认识金融业信息安全的重要性。当前,金融业对信息化依赖程度日渐加深,金融业信息安全直接关系到国家经济安全和社会稳定。人民银行各级分支机构和各金融机构应以高度的政治责任感和历史使命感,从国家安全的全局出发,牢固树立忧患意识,把金融信息安全工作作为信息化建设的重要大事来抓。
李东荣表示,近年来人民银行与各相关部委、金融监管机构协调配合,认真贯彻国家信息安全政策方针,努力防范金融信息系统性风险,为金融稳定保驾护航。一是通过现场检查、风险评估、等级测评、规范管理等工作,不断提高金融信息安全风险防范能力。二是推动建立应急管理机制,促进灾备中心建设,保障金融业务系统高效安全运行。三是积极与工信部、公安部、电监会建立跨部门协调机制,加大金融机构信息安全工作力度,稳步推进金融业信息安全保障体系建设。
第三届信息安全漏洞分析与风险评估大会(VARA 2010)
由中国信息安全测评中心(以下简称测评中心)主办,中国科学技术大学承办,清华大学协办的第三届信息安全漏洞分析与风险评估大会(VARA 2010)将于2010年10月18日—10月20日在安徽黄山召开。此次大会将包括特邀报告、论文报告、专题讨论和研讨会。
安全提小提示:媒体报道近期出现了超强变种的Stuxnet蠕虫,iPhone平台上也已现利用SSH密码漏洞的蠕虫病毒,请大家监控和检查防毒体系的健康状况。
