2012年第19周,信息安全与数据保护领域的新闻不多。之前的个人信息保护风波未过,随着媒体的一波集中关注度的消失,热度也有所降低,希望有关部门对于个人信息保护的决心没有随着消逝。另外,安全巨头赛门铁克也发布了2011年的互联网安全威胁报告,详细情况,进入本周的溢信每周信息防泄露简报。
1. 赛门铁克发布最新互联网安全威胁报告
5月9日,赛门铁克今日发布了互联网安全威胁报告(第十七期),报告指出,2011年恶意攻击的数量猛增了81%,尽管漏洞总数减少了20%。此外,高级且有针对性的攻击正蔓延至各种规模的企业和不同类型的人群中,数据泄露事件还在继续增加,攻击者已将其关注点转至移动领域。
短评:赛门铁克此次报告中重点提到了四个问题,分别是恶意攻击数量持续快速增加,高级、有针对性的攻击(APT)已蔓延至各类规模企业,数据泄露增加,移动设备丢失将成主要隐患,移动威胁针对企业及个人用户。这些也是我们的博客在过去一年多中多次强调的问题,值得引起重点注意。对这份报告有兴趣的读者,可以点击这里下载。(小提示:目前只有英文版!)
2. 第二炮兵某修配厂力除网络泄密“黑洞”
近日,二炮某修配厂对官兵在军网上申请使用的400多个邮箱进行了清理,打牢了安全保密工作的又一个攻坚战。安全保密检查期间,该厂专门进行了网络安全保密专题教育,组织官兵对个人在各级军用网络上申请使用的邮箱内容进行清除,并进行造册登记,逐人签订保密协议,确保涉密内容不再进入邮箱。
短评:对于军队这类高度涉密部门,对于通讯工具、社交网络等互联网应用的管理,最好有统一的策略,公私不分,很可能在疏忽中泄露、丢失涉密信息。过去一年的很多APT攻击,都以用户个人的终端为跳板进入组织内网实施犯罪,不容忽视。
3. 美军多管齐下防止网络泄密 正实施网络安全工程
近日,美国国防部投资1.9亿美元聘请诺斯罗普·格鲁门公司和McAfee公司来培训网络安全专业人员使用国防部网络威胁探测器。这个名为“基于主机的安全系统”的项目目前正在保护机密和非机密国防部网络,防止类似维基解密数据泄漏事件的出现。他们配置了相关安全工具,并禁止在军事机密网络使用CD和其他移动存储设备,并且数据分配由国防信息系统局负责监督。
短评:维基泄密给美国乃至世界带来的震动是巨大的,投入巨资亡羊补牢也就变得理所当然。加强对网络出口、终端、移动设备等多种渠道的泄密风险的控制,以及对于访问权限的严格分配与完整审计,这些是完整的信息防泄露体系必备的内容,也是溢信科技提出的信息防泄露三重保护解决方案的核心思想。
4. 京东商城大量账户信息遭盗用 泄密源于CSDN事件
北京市海淀区人民检察院近日依法批准逮捕了陈某、唐某、肖某和张某4名犯罪嫌疑人,这4人涉嫌盗窃京东商城大量用户的账户信息。据公安机关初步查明,此次盗窃用户信息的行为,与发生在2011年的CSDN网络用户信息泄密事件关系紧密。
短评:自CSDN用户注册信息泄露事件发生以来,本次京东商城用户余额遭盗用大概是第一起造成实际经济损失的。可以肯定的是,这绝不会是最后一件。前一段时间,有安全从业人员在微博爆出当当网用户信息泄露。此人在与地下黑客进行交流时,为了验证,要求该黑客根据一个注册邮箱查询自己的账户信息,不用1分钟即告成功。可见国内大规模的用户信息库泄露形势是何等严峻。CSDN爆出了冰山一角,至于我们每一个用户会不会成了泰坦尼克,就寄望于手握海量信息的政府机构、金融、互联网巨鳄们了。
5. 安全能否跟上技术的前进步伐?
身 处今天很难想象未来10年会是怎样。随着我们的系统互联程度的增加,数据变得越来越重要。偷窃、阻断以及拒绝访问将会变得更加容易,越来越多的人将会试图 加入这个行列。我真的怀疑我们能否保护它们的安全。无论我们是否意识到,我都毫不怀疑会有更多的攻击发生。甚至就在今天,你都能发现有公司绝望地掩饰自己 的安全漏洞,也会听说一个成功的攻击是如何减缓甚至毁掉整个生意。不难想象这样的事情每天都在发生,你也能够知道人们对于技术进步是怎样的恐惧。
短评:这篇安全从业人员的小文,字里行间都透露出了对于当今世界信息安全形势的担忧,发人深思。安全之路,任重而道远。