【51CTO.com 專家特稿】信息安全方面值得關(guān)注的熱點(diǎn)較為散亂，云計(jì)算是這兩年IT業(yè)界的新熱點(diǎn)，然而云計(jì)算的先行者Google卻在本周爆出了其產(chǎn)品Google Docs泄漏用戶文檔和敏感數(shù)據(jù)的丑聞。沉寂一段時(shí)間的網(wǎng)絡(luò)犯罪領(lǐng)域再次升溫，按服務(wù)形式提供的網(wǎng)絡(luò)攻擊和惡意軟件開(kāi)始抬頭，數(shù)家安全廠商也報(bào)告稱Google、Yahoo等搜索服務(wù)成為網(wǎng)絡(luò)犯罪組織手中的新利器。安全管理方面，安全行業(yè)對(duì)制定一個(gè)可行的安全性度量標(biāo)準(zhǔn)的呼聲漸高。在本期回顧的最后，筆者仍為朋友們帶來(lái)一篇值得一讀的推薦閱讀文章。

本周（090309至090315）安全要聞回顧　　

本周的信息安全威脅等級(jí)為低。盡管本周又是微軟推出安全更新的時(shí)間段，但目前安全行業(yè)沒(méi)有發(fā)現(xiàn)互聯(lián)網(wǎng)上有針對(duì)微軟已修補(bǔ)漏洞發(fā)起的大規(guī)模攻擊活動(dòng)，用戶只需及時(shí)從微軟網(wǎng)站下載并應(yīng)用補(bǔ)丁即可?！　?/P>

云計(jì)算安全：Google Docs泄漏用戶敏感文檔；關(guān)注指數(shù)：高　　

云計(jì)算是近兩年來(lái)IT業(yè)界的新熱點(diǎn)，隨著Google Docs和SaleForce等一批先行者的成功，眾多的軟件廠商和互聯(lián)網(wǎng)服務(wù)商都紛紛進(jìn)軍這個(gè)領(lǐng)域，然而本周Google Docs爆出泄漏用戶文檔和敏感數(shù)據(jù)的丑聞，無(wú)疑為云計(jì)算領(lǐng)域的創(chuàng)業(yè)者和經(jīng)營(yíng)者敲響了警鐘。

問(wèn)題出現(xiàn)在Google Docs對(duì)用戶對(duì)文檔權(quán)限和協(xié)作共享設(shè)置的處理上，如果用戶曾經(jīng)對(duì)文件設(shè)置過(guò)共享，那么用戶的其他文件可能會(huì)被其他登錄Google Docs系統(tǒng)的用戶訪問(wèn)或修改。Google在Google Docs的支持論壇上獲知此漏洞的存在后，迅速對(duì)受影響的用戶文檔采取移除共享用戶和權(quán)限的操作——這對(duì)相當(dāng)多的正常用戶產(chǎn)生了一些操作上的影響。

Google事后在Google Docs官方博客上稱，此次Google Docs服務(wù)出現(xiàn)問(wèn)題，受影響的用戶只占Google Docs服務(wù)總用戶不到0.5%的比例，另外此次Google Docs的問(wèn)題只會(huì)影響文本文檔和PPT文件，而表格文件不受影響。Google在處理這次問(wèn)題上雖然動(dòng)作也算是夠快，但仍然會(huì)對(duì)Google Docs的安全性產(chǎn)生負(fù)面影響，也再次提醒了其他服務(wù)提供商和用戶，數(shù)據(jù)安全和服務(wù)可用性仍是云計(jì)算主要面臨的問(wèn)題。

筆者認(rèn)為，盡管采用云計(jì)算類的解決方案可以有效的降低用戶花費(fèi)在采購(gòu)軟硬件上的開(kāi)銷，同時(shí)也可以實(shí)現(xiàn)只要有網(wǎng)絡(luò)數(shù)據(jù)就能隨人走這個(gè)理想狀態(tài)，但現(xiàn)在的云計(jì)算服務(wù)，感覺(jué)更適合預(yù)算有限的小企業(yè)和個(gè)人用戶，對(duì)數(shù)據(jù)安全和可用性要求比較高的政府部門(mén)和企業(yè)用戶來(lái)說(shuō)，建議還是應(yīng)當(dāng)謹(jǐn)慎選擇云計(jì)算服務(wù)，盡量不要將帶有敏感數(shù)據(jù)的文檔或其他資料存放到云計(jì)算平臺(tái)上進(jìn)行處理，如果是對(duì)成本比較敏感，用戶可以考慮選擇成熟而且更為安全的開(kāi)源軟件產(chǎn)品?！　?/P>

網(wǎng)絡(luò)犯罪：服務(wù)形式的網(wǎng)絡(luò)犯罪開(kāi)始抬頭；搜索引擎成為網(wǎng)絡(luò)犯罪組織的新幫兇；關(guān)注指數(shù)：高　　

項(xiàng)目外包是企業(yè)在進(jìn)行IT項(xiàng)目時(shí)最為常見(jiàn)的實(shí)施方式，企業(yè)可以借助將項(xiàng)目外包有效的節(jié)省人力物力成本和時(shí)間——不幸的是，網(wǎng)絡(luò)犯罪集團(tuán)也開(kāi)始借鑒和使用這一有效的實(shí)施方式。

本周在悉尼舉行的一個(gè)銀行業(yè)會(huì)議上，安全專家就向與會(huì)者描述了網(wǎng)絡(luò)犯罪這樣的趨勢(shì)：由于網(wǎng)絡(luò)犯罪已經(jīng)形成完整的地下產(chǎn)業(yè)鏈，網(wǎng)絡(luò)犯罪組織也開(kāi)始將惡意軟件編寫(xiě)、配置和服務(wù)器設(shè)置等一系列更為專業(yè)的操作外包給專業(yè)的惡意軟件作者和黑客。根據(jù)會(huì)議上舉例的一個(gè)來(lái)自網(wǎng)絡(luò)犯罪軟件作者的郵件顯示，惡意軟件作者向網(wǎng)絡(luò)犯罪組織提供了托管的惡意軟件制作和服務(wù)器維護(hù)服務(wù)，只需要支付400美元，一個(gè)只有基本計(jì)算機(jī)技能的用戶就能獲得一個(gè)能夠盜取用戶銀行賬戶的最基本攻擊套裝，并得到惡意軟件作者為期一年的不間斷支持。

顯然將這一趨勢(shì)將在2009年有所加強(qiáng)，由于我國(guó)在今年2月底通過(guò)了刑法修正案（七）第285條的修訂版，將提供惡意軟件和控制他人計(jì)算機(jī)納入犯罪的認(rèn)定，以及近段時(shí)間有關(guān)部門(mén)進(jìn)一步加大對(duì)網(wǎng)絡(luò)犯罪的打擊力度，國(guó)內(nèi)網(wǎng)絡(luò)犯罪組織和惡意軟件編寫(xiě)者會(huì)加快將“業(yè)務(wù)”轉(zhuǎn)移到國(guó)外的進(jìn)程，同時(shí)來(lái)自國(guó)外網(wǎng)絡(luò)犯罪組織的攻擊也有可能進(jìn)一步增多，建議國(guó)內(nèi)用戶應(yīng)提高警惕?！　?/P>

在上期的回顧中筆者曾給大家介紹過(guò)惡意軟件借助Google Trends進(jìn)行擴(kuò)散的新聞，這方面消息在本周有了進(jìn)一步的深入：安全行業(yè)在近一段時(shí)間的研究和分析中發(fā)現(xiàn)，惡意軟件借助Google Trends擴(kuò)散的背后，隱藏著Yahoo、Google等知名搜索引擎正成為網(wǎng)絡(luò)犯罪組織攻擊的新幫兇這一趨勢(shì)。

Symantec的研究人員在3月10號(hào)稱，網(wǎng)絡(luò)犯罪組織利用付費(fèi)的Yahoo搜索廣告功能，欺騙用戶下載一個(gè)名為“AntiVirus & Security”的假冒反病毒產(chǎn)品，用戶如果不慎運(yùn)行了這個(gè)程序，將有可能丟失用戶賬戶等敏感信息。另外一個(gè)安全廠商McAfee也在同一天稱，網(wǎng)絡(luò)犯罪組織利用Google對(duì)Democrats.org網(wǎng)站較高的Page Ranking，提升他們的惡意軟件和惡意網(wǎng)站鏈接在搜索結(jié)果中的排名順序，以增大感染警惕性較低的用戶的可能性。

安全行業(yè)對(duì)搜索引擎越來(lái)越不安全這個(gè)趨勢(shì)也并非不作為，多個(gè)廠商都推出了能夠?yàn)橛脩籼峁┱军c(diǎn)安全性建議的瀏覽器插件，內(nèi)置的網(wǎng)頁(yè)內(nèi)容和腳本掃描引擎也成為大多數(shù)反病毒軟件及防火墻的標(biāo)準(zhǔn)配置，但是安全技術(shù)和產(chǎn)品總歸只能起到一個(gè)輔助和預(yù)防的作用，安全的使用搜索引擎和培養(yǎng)安全的網(wǎng)站瀏覽習(xí)慣，才是防御通過(guò)搜索引擎擴(kuò)散的惡意軟件的最好辦法。

安全管理：安全度量標(biāo)準(zhǔn)呼聲漸高；關(guān)注指數(shù)：中　　

在3月13日波士頓舉行的SOURCE會(huì)議上，前美國(guó)國(guó)土安全部網(wǎng)絡(luò)組的組長(zhǎng)向與會(huì)者發(fā)表了一個(gè)主題為信息安全的演講，期間他呼吁安全行業(yè)應(yīng)盡快制定一個(gè)安全度量標(biāo)準(zhǔn)，以供各行業(yè)的用戶能對(duì)自己的信息安全現(xiàn)狀有更清晰的了解。這是一個(gè)相當(dāng)有意思的話題，盡管目前安全行業(yè)和政府等其他部門(mén)已經(jīng)制定了許多不同類型的安全標(biāo)準(zhǔn)，但接觸過(guò)信息安全領(lǐng)域或?qū)嵤┻^(guò)相關(guān)項(xiàng)目的朋友可能會(huì)問(wèn)這樣一個(gè)問(wèn)題：我知道我的企業(yè)/機(jī)構(gòu)進(jìn)行過(guò)什么樣的信息安全項(xiàng)目，但是我怎么知道在項(xiàng)目實(shí)施之后我的企業(yè)/機(jī)構(gòu)的安全程度如何？

沒(méi)錯(cuò)，這是個(gè)很難回答的問(wèn)題，在實(shí)踐中我們可以說(shuō)我們的用戶實(shí)施過(guò)什么樣的信息安全標(biāo)準(zhǔn)，如ISO27001、等級(jí)保護(hù)條例等，或者是在這樣的標(biāo)準(zhǔn)下我們的用戶已經(jīng)能夠滿足多少個(gè)條例，然而現(xiàn)在確實(shí)沒(méi)有一個(gè)得到廣泛承認(rèn)的安全度量標(biāo)準(zhǔn)，來(lái)衡量一個(gè)企業(yè)/機(jī)構(gòu)的信息安全到底達(dá)到什么樣的水平，到底是及格，還是良好或者優(yōu)秀？

因?yàn)槊恳粋€(gè)用戶都有自己與其他用戶十分不同的IT設(shè)施、安全策略和IT管理水平，要在這種情況下去衡量每一個(gè)用戶的信息安全水平，并確定一個(gè)有可比性的數(shù)據(jù)，顯然是一個(gè)幾乎不可能完成的任務(wù)。筆者覺(jué)得，從短期來(lái)看，因?yàn)樾袠I(yè)和個(gè)體的差異性過(guò)于明顯，要制定一個(gè)普適性較好的安全度量標(biāo)準(zhǔn)仍不現(xiàn)實(shí)，不同行業(yè)的用戶建議還是多關(guān)注本行業(yè)的信息安全標(biāo)準(zhǔn)的實(shí)施，或應(yīng)用通用性更好的ISO27001、PCI等標(biāo)準(zhǔn)?！　?/P>

推薦閱讀：

2007年愛(ài)沙尼亞網(wǎng)絡(luò)戰(zhàn)的背后

2007年中因?yàn)檫x舉等政治問(wèn)題，愛(ài)沙尼亞國(guó)內(nèi)曾發(fā)生過(guò)民眾騷亂等事件，并出現(xiàn)大規(guī)模的網(wǎng)絡(luò)拒絕服務(wù)攻擊，導(dǎo)致該國(guó)眾多的公眾和政治網(wǎng)站無(wú)法正常運(yùn)作。這個(gè)事件的背后真相如何？有興趣的朋友可以看看最近公開(kāi)的對(duì)此事件進(jìn)行深度分析的文章《2007年愛(ài)沙尼亞網(wǎng)絡(luò)戰(zhàn)的背后》

文章的地址如下：

http://www.rferl.org/Content/Behind_The_Estonia_Cyberattacks/1505613.html

【51CTO.COM 獨(dú)家特稿，轉(zhuǎn)載請(qǐng)注明出處及作者！】