Verizon发布2010年度数据破坏事故报告
Verizon发布了2010数据破坏事故的年度报告,由于今年Verizon获得了美国特勤局United States Secret Service的调查相关的统计数据,所以其分析范围得到了扩大,可信性也得到了加强。
Verizon的报告发现:
1.年度的资料丢失数量上比上年有了下降。
2.源自内部的威胁上升较多,源自内部的占48%(+26%)、源自外部的占70%(-9%),其中源自合作伙伴占11%(-23%)。
3.社会工程学的使用得到加强,28%的数据破坏源自社会工程学***(+16%)。
4.有组织的犯罪活动造成的破坏增加,占丢失数据量的85%。
5.许多破坏和权限滥用有关,48%的破坏是用户恶意使用权限造成(+26%),此外,40%是***行为造成的结果(-24%)。
6.85%的***方式很简单,86%的受害者在日志中有相关证据。
7.96%的数据破坏事故可以在遵守安全基础的情况下使用简单或中级别的安全措施得到避免,只有4%的数据破坏需要用到难度较深和昂贵的安全措施。
当然,建议中的大部分是关于用户权限管理,以及监控网络流量和应用情况,并且改进日志监控和事件分析的方法。
工信部互联网网络安全应急专家组在京成立
2010年8月18日,工业和信息化部互联网网络安全应急专家组在京成立。来自国家计算机网络应急技术处理协调中心、工业和信息化部电信研究院、中国互联 网络信息中心、国家信息技术安全研究中心、中国信息安全测评中心、基础电信运营企业、通信设备制造商和安全厂商的共20名专家组委员应邀出席了成立仪式。
根据工业和信息化部2009年颁布的《公共互联网网络安全应急预案》相关规定,工业和信息化部组织成立互联网网络安全应急专家组,为互联网网络安全应急管理工作提供技术咨询和决策支撑。
在成立大会上,工业和信息化部通信保障局局长王秀军介绍了近期网络安全形势,强调为应对日益复杂的非传统网络安全问题,必须充分发挥专家的技术支撑作用,发挥专家组的团队优势,为网络安全管理和应急处置工作提供智力支持。
与会专家表示将充分发挥个人专长和所在单位的技术优势,为互联网网络安全和应急管理工作献计献策,做好技术支撑工作。
近期,由国家计算机网络应急技术处理协调中心主办的2010中国计算机网络安全年会将定于2010年9月12日-9月15日在北京国家会议中心召开。大会针对当前的网络安全形势和国内网络安全工作实际,以“对话 合作 联动——共筑网络安全”作为主题展开研讨。
英特尔78.6亿美元收购McAfee
2010年8月20日,芯片产业巨头英特尔以溢价60%的高价收购了安全软件厂商McAfee。这则消息令业界哗然,众人纷纷猜测英特尔此举动机的同时,也有业内专业人士对这个看似“不着调”的收购提出了质疑。
英特尔CEO Paul Otellini在达成交易时也称:“越来越多的设备允许与互联网连接,我们生活中的很多事情都将在网上完成。过去,能源使用效率和连接性是计算机性能的核心指标;而将来,安全性将成为计算机性能的第三大决定因素。”
表面看起来,英特尔只是收购了一家杀毒领域的安全厂商,但如果放到英特尔近年来在云计算、物联网、移动互联网领域等大的战略版图上考虑,英特尔收购McAfee公司就成为了必然。
可以预测的是:在统一通信、统一计算等大融合趋势下,全球安全领域的并购将持续活跃下去。有人对独立安全厂商命运表示担忧,这是当然,在安全和连通性及性能相提并论时,当从最初的需求设计阶段都将安全纳入重要考虑,当将安全内置进各类系统的时候,独立安全厂商的价值何在?
安全产品将朝两极分化,有专家预测安全产品会同时向上发展(朝云计算方向)和向下发展(和芯片整合),而不仅仅是集中在操作系统上。
也有反对的声音, 《福布斯》认为:英特尔选错对象,要向芯片中加入安全功能,70亿美元太贵。并质疑英特尔收购McAfee另有目的,英特尔实现这桩交易的目的与其说是为进入软件领域,不如说是为了英特尔自身处理器业务的未来。
安全趋势:社交网络成为***平台的最佳选择
似乎在一夜之间,全球所有用户都开始对他们在因特网上隐私的安全感到担心了。
社交平台开始向移动互联网转移。不少都已经支持手机发送和接收,及通过手机网站进行访问。这里面的安全问题不容忽视,突发事件很容易被拍下来传递到整个世界;***者可能控制了您的智能手机进入您的个人生活和工作领域!
搜狐称其社区帖子每天约20万条,其中过滤4万条
搜狐网监控中心负责人王国欣表示,搜狐微博是24小时都有人做过滤监控,微博每天出现的七八万个帖子,过滤掉的大约有5000多个。在搜狐社区每天出现的20多万个帖子中,有4万多个会被过滤掉。
国家安全尚有力量监控和处理不良消息,大型企业也有专门团队和人员监测和响应,而中小组织和个人在微博面前则显得很无力啊。
Google街景涉嫌泄露个人隐私,个人信息安全令人担忧
Google的力量真吓人啊,把我们生产生活的各个方面都数字化了,以至于利用它的搜索技术的“人肉”、“跨省”等词几乎人人皆知了。此前互联网接入非常发达的韩国也闹出警方搜查Google办公室,美国、德国、澳大利亚等主要国家政府也对此展开了调查。
不过好歹Google街景是在大街上拍得,没跑到咱家里来,可是想想有谁限制Google的车子不准上大街拍照了?再说在大街上能360度看到拍到的算是个人隐私吗?大街上开放的WIFI有谁不许Google用啦?
不过再想想,国家授权部门和人员有权以国家安全的名义监控个人隐私,这在世界各国都一样;Google街景泄露个人隐私,如果这项服务只提供给国家授权部门访问,相信就没有事情了!可是,咱们光明正大,不在街面上干违法勾当的平民百姓,也想享受这创新科技带来的体验呢!
黑莓手机因为对数据加密,保护了个人信息,但造成监管困难,令人担忧国家安全
数据加密要使用符合我国标准的商用密码体系,令国家监管部门可打开,进而可监听通信,而老外愁白头;这方面美国做得更狠,限制高强度的密码设备的输出,输 出给我国的都有他们可将内容轻易解密的“后门”。此次黑莓引起不安的安全性问题,还在于各国认为自己受到了非同等待遇。印度就担心,黑莓会为西方某些政府 提供特殊权限。
“从技术角度看,黑莓的安全机制对用户而言是不错的,但许多国家目前担忧的是国家安全问题,当被不法分子利用时,国家安全机构不容易监控。个人通信要保障,但在特殊情况下,国家因为安全的需要,可以逾越(个人信息安全)。”
这一点就是分歧关键——个人信息看似安全了,可涉及国家安全的信息为一个异国公司所掌握,无论如何都令人不安。根据各国法律,国家安全受威胁时,应该优先得到保障。不能被我所用的企业和技术要受到限制,这符合国家安全利益考虑。
对国内用户的影响是“国内黑莓企业用户需要根据国家密码通信管制的有关法律,报相关管理部门备案。”
手机实名制与信息安全
9月1号,手机实名制正式实施,它的目的是为了解决在手机上前阵子泛滥“黄毒”和各种垃圾短信以及诈骗信息。这可以有效打击各类犯罪,有利于掌握证据。此外,还有利于打击一些发生在利益集团和政府官员之间的钱色交易,以及泄露国家机密、商业机密的犯罪手段。
随着实名制的落实,“报亭代售”的社会零售渠道,将因此而有可能全军覆灭。实名制的结果,只能是售卡业务所有权回归三大运营商。运营商要采取相关的安全措 施,堵住可能导致个人信息泄露的漏洞,保障用户资料的安全,特别是要加强对可以接触到这些敏感资料的内部员工及合作伙伴的监管。
此外,国家也将进一步加快个人信息保护立法,明确泄露个人信息的法律责任和追究办法,以法律的力量筑牢公民信息安全的大门。
手机实名制的执行,将有可能延伸至互联网,2010年中国互联网大会在京召开第一天,工信部部长李毅中在滕讯展区详细询问网民使用微博情况,并询问腾讯网 微博是否已经采用实名制。互联网协会副理事长高新民在接受腾讯网采访时也说,写微博的人要有自律,另外其还透露有关人士正在研究微博实行实名制的问题。
超级网银的安全问题
第二代网上支付跨行清算系统——“超级网银”于8月30日上线,其系统正处于测试阶段,相信:随着测试阶段的完成,一些系统问题就会相继完善。然而,有一个问题对于超级网银用户来说不得不面对,那就是信息安全,其有可能成为影响“超级网银”成败的关键因素之一。
“超级网银”依托系统与各银行端口之间的链接,使得用户可以通过统一的操作界面,进行各种网银操作,从根本上解决了多银行账户操作繁琐、复杂的问题。但随 之而来的安全隐患却不同忽视。统一的账户信息一旦被不法分子窃取,用户在各个银行的资产都有可能遭受损失。而传统的数字证书、密码卡等网银认证和加密手段 也都是各个银行独立操作的,无法从根本上消除用户在跨银行、跨平台时产生的安全隐患。
由于“超级网银”在使用时不再提供新的安全措施,因此使用者除了加强对电脑和网络本身的安全控制外,最好采用更多的安全认证措施,如动态密码、手机短信、 USBkey等,做到多重防护手段相结合。同时,如果对单个账户的转出余额进行一定的设定,也能够起到一定的预防作用。在“超级网银”的使用过程中,出于 谨慎性的考虑,尽量避免不必要的账户关联也是一种手段。
对于“超级网银”推出后对第三方支付的影响,业内看法普遍较为乐观。独立的第三方网上支付公司快钱CEO关国光就曾公开表示,超级网银不会对第三方支付平台构成明显的威胁。支付宝、财付通以及易宝支付的人士也表达了类似观点,认为“超级网银”对支付行业的发展利大于弊。
目前支付公司是网银系统的渠道,超级网银诞生之后,很有可能出现的情况是,支付公司成为超级网银的接入渠道。支付公司的介入可以使流程优化,解决跨行交易的支付问题。只要银行的网银业务正常,支付公司的业务就不会受到影响。
云安全联盟Cloud Security Alliance
9月2日国际云安全联盟中国区分会在北京宣告成立。该联盟致力于解决云计算日益广泛应用所带来的主要安全问题。担任中国区分会理事的是Dr. Richard Zhao,赵粮博士。
据悉,国际云安全联盟(CSA)是一个非盈利性组织,它的目的是为了促进保障云计算安全的最佳实践的应用,以及开展保障云计算安全相关的教育培训。成立后 与ISACA、OWASP等业界组织及公司建立了合作关系,目前来自国内本土的会员有绿盟、瑞星和联想网御,尚未有其它IT及互联网公司加入。
CSA主席和eBay首席信息安全官Dave Cullinane在云安全联盟高峰论坛发言。Dave预测,在未来3-5年中大多数机构会投资建立私有云,而云计算的保障系统将会被建立。所有的IT产业都将会受到这个巨变带来的影响。
在这样的背景下,安全的担忧将成为企业组织的关注核心,Dave Cullinane为我们分享的云计算安全的主要关键点为:可信、数据、不安全的云软件、云服务的恶意使用、帐户/服务劫持、恶意的内部员工、特定云*** 等等,Cullinane认为这都将是未来云计算领域所有参与者,包括CSA云安全联盟会重点关注的问题。
9月1号云安全联盟发布了业界第一个云计算安全的认证项目CCSK——Certificate of Cloud Security Knowledge。云计算的服务商和用户有了可以学习和依照的最佳实践标准。
扫一扫
88
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
