摘要:
与人们的生产生活息息柜关的互联网,并非一个完美计划的结果。安全隐患于互联网,是与生俱来的。在互联网飞速发展的30年间,被动挨打之后再弥补安全漏洞,已经成为解决互联网安全问题的惯性思维。但是,在互联网进入云时代后,这样的安全理念还能保障云的安全吗?我们还有机会改变这种局面吗?
从网络开始 云安全这个概念曾经被众多厂商所用,也出现了五花八门的定义。但在H3C安全产品部总工李彦宾看来,保障云计算基础架构安全的技术,才能被真正纳入云安全的范畴。而且,实现云安全仅靠信息安全技术还远远不够,构建一个可以全面支撑安全体系的云网络将是解决云安全问题的第一步。 在传统的网络架构中,网络与安... 阅读全文
随笔分类 - [13]程序人生
OS X Lion发现可随意更改用户密码漏洞
2011-09-24 00:03 by 狼人:-), 142 阅读, 收藏, 编辑
摘要:
据外国媒体报导,一家专注于计算机安全领域的博客Defense in Depth日前在OS X Lion上发现了一个安全漏洞,一名黑客称“虽然没有root权限的用户不能够直接访问shadow文件,但是Lion仍然为他们提供浏览密码的散列数据”。
也就是说,Lion的这项指令能够让任何其它人使用一个简单的脚本来找到用户的密码信息。更糟糕的是,有用户反映OS X Lion不需要用户输入密码就能够改动当前用户的登录凭据,意味着只要输入以下指令“dscl localhost -passwd /Search/Users/Roger”就能够设置一个全新的密码或是Roger。
国外安全专家指出,Lion的.. 阅读全文
McAfee和英特尔共同开发新的安全技术DeepSAFE
2011-09-24 00:03 by 狼人:-), 153 阅读, 收藏, 编辑
摘要:
由安全软件开发商McAfee和英特尔开发的新DeepSAFE深度杀毒安全技术将为虚拟安全带来创新的进步,它能将硬件和软件资源进行有效结合,从而能将操作系统的整体性能提高一个水平,并更好的检测和预防潜在的差错。DeepSAFE杀毒主要依托硬件产品中已有的技术,来帮助处理在机器更深层次所感染的病毒。 McAfee联席总裁托德-吉波特(Todd Gebhart) 透露:“McAfee的DeepSAFE杀毒技术主要利用英特尔处理器中已有的硬件特征来提供操作系统之外的安全措施。从这种独特的制高点出发,DeepSAFE可以适用新技术,从而实时防止恶意的活动,而不是仅仅检测出感染源。”
持有证明概念的功.. 阅读全文
中俄牵头推网络信息安全准则抗衡美国
2011-09-24 00:03 by 狼人:-), 109 阅读, 收藏, 编辑
摘要:
世界各国围绕网络话语权的竞争越来越激烈。中国、俄罗斯等国12日向联合国提交“信息安全国际行为准则”文件,并呼吁各国在联合国框架内就此展开进一步讨论,以尽早就规范各国在信息和网络空间行为的国际准则和规则达成共识。据了解,这份文件是目前国际上就信息和网络安全国际规则提出的首份较全面、系统的文件。
复旦大学国际关系与公共事务学院网络安全问题学者沈逸博士告诉东方早报,中俄此次提出的“信息安全国际行为准则”与欧美提出的一些网络安全或打击网络犯罪的公约、准则有重合之处,但与欧美版本的区分点在于信息技术军民两用性的阐释,并提出不能将信息通信技术用于与维护国际稳定和安全的宗旨相悖的目的,强调主权也有中俄特色. 阅读全文
惠普推出全新企业级安全软件
2011-09-24 00:03 by 狼人:-), 148 阅读, 收藏, 编辑
摘要:
为扩大企业安全解决方案组合,惠普近日推出了一些列企业级安全软件,以帮助企业处理由云计算和社交媒体引发的持久性安全威胁。
新的安全解决方案组合可帮助企业处理由移动计算、IT消费、采用云服务和社会化媒体所带来的威胁。企业需要一种平衡的方法来进行风险管理,并对这些安全威胁进行系统性的评估。
为达到此目的,惠普在整合现有产品的同时也展开对其它软件公司的收购。去年,惠普收购了计算机安全公司ArcSight和Fortify。8月18日,惠普还宣布将斥资103亿美元收购英国软件公司Autonomy。惠普首席执行官李艾科当前正面临着巨大的压力,要求其带领惠普从此前的巨额收购交易中获得产出,并扩展公司在数据中. 阅读全文
骇客宣称已入侵多家认证机构 波及微软、谷歌
2011-09-24 00:03 by 狼人:-), 252 阅读, 收藏, 编辑
摘要:
今年3月入侵Comodo凭证机构的伊朗黑客ComodoHacker宣布,他入侵的凭证机构包括DigiNotar、StartCom与 GlobalSign在内。 今年3月入侵Comodo凭证机构的伊朗黑客ComodoHacker本周透过Pastebin宣布,他不但是骇进Comodo的元凶,也入侵其他4家高知名度的凭证机构,包括DigiNotar、StartCom与GlobalSign在内。GlobalSign在得知此事后,已暂时停止凭证的发放,并展开全面调查。
今年8月底,网络上出现由DigiNotar凭证所颁发的假Google凭证,而使得此一事件曝光。调查后发现,黑客人侵DigiNotar至. 阅读全文
云安全仍是企业决策者最大担心
2011-09-24 00:03 by 狼人:-), 99 阅读, 收藏, 编辑
摘要:
谷歌应用程序安全经理Eran Feigenbaum对于风险之事略知一二。你可能不知道,Eran Feigenbaum有着另一个身份 --兼职电视和舞台魔术师"Eran Raven".在魔术界,Eran Raven以蛇,蝎子,和刀片特技闻名。他曾经在NBC魔术师选秀节目《幻想大师》中,用射钉枪表演了俄罗斯轮盘,并在8月前往拉斯维加斯好莱坞星球酒店(Planet Hollywood)进行了为期5天的巡演。作为谷歌企业业务安全负责人,Eran Feigenbaum负责提高企业安全经理们对云安全的信任度,而魔术师的经历给Eran的日常工作带来了帮助。在计算机安全领域工作需要具备强烈 阅读全文
微软高层称移动设备越多 对信息安全需更多考量
2011-09-24 00:03 by 狼人:-), 99 阅读, 收藏, 编辑
摘要:
9月7日消息,据国外媒体报道,根据微软全球服务技术总监 Norm Judah 表示,随着IT的进展,如智能手机与平板电脑设备的普及,让系统架构师与开发人员都必须要重新思考他们在处理信息安全、存取控制的方法。
上周在澳大利亚的微软 Tech.Ed. 会场上,Judah 表示,越来越多的各种设备上网,在其彼此通讯的问题上需要多加考虑。他也指出 IPv4 位址的耗尽为例,采用IP定址的终端设备增长迅速,现在在你周围可以能都有16到20个可通讯的设备,每个都具备IP位置。而因为通讯的越加频繁,这些设备的信息安全也更需要多考量。
Judah 表示,有了越来越多如电视机等联网设备,就可能被黑客用来当作攻. 阅读全文
构建完整的企业信息安全体系
2011-09-24 00:03 by 狼人:-), 264 阅读, 收藏, 编辑
摘要:
对企业来讲,无论如何规划业务,信息安全作为保障企业关键数据的措施始终是最重要的一块。不过现在有另外一种划分业务的方法,IT决策者在决定如何规划信息安全这项业务的时候,会利用企业敏感数据的信息来提供安全情报,并据此来做出最合适的数据安全管理措施。
在云计算的时代,信息安全问题越来越受到重视,保护信息安全同样也成为企业发展业务的重要手段。越来越多的企业选择开展线上业务来增强他们的竞争力,并通过改善业务流程来扩大利润。而在这个过程中,用户的信息作为最重要的数据要确保不会落入不法分子的手中。而通过完整的信息安全体系构建的环境可以帮助企业避免这些危机的出现,企业可以通过这些用户的信息来获得最有利的情报. 阅读全文
微软沃达丰等200余家网站遭DNS劫持
2011-09-24 00:03 by 狼人:-), 174 阅读, 收藏, 编辑
摘要:
遭DNS劫持后显示的页面
北京时间9月5日上午消息,包括微软、宏碁、沃达丰和UPS在内的众多知名网站都遭遇了DNS劫持。主导这一事件的黑客可能正是上月对韩国网站发动攻击的土耳其黑客。
当用户访问上述网站时,要么无法访问,要么会被跳转到黑客自己设立的页面。据悉,约有200家网站受到这一事件的影响。
尽管很多网站迅速恢复了服务,但DNS系统却需要长达72小时才能启用新的设置,导致部分网站仍然无法访问。
土耳其的一个黑客组织上月入侵了域名注册商Gabia的服务器,导致超过10万个域名和约35万名用户信息泄露。他们此后还入侵了多家韩国网站,包括爱普生和汇丰银行。
该黑客组织使用的昵称为“TG”或“.. 阅读全文
云计算的广泛应用与黑客攻击
2011-09-24 00:03 by 狼人:-), 253 阅读, 收藏, 编辑
摘要:
也许云计算广泛应用的最大障碍是持续的安全问题,这些问题困扰和影响着人们采用云计算的想法和采取IT业务外包的做法。可是,在这些平常的云问题(例如,包括云计算服务提供商要保持数据隐私和安全的特殊级别等)之上的一个问题就是云计算可以作为黑客的一个工具。
云计算的好处之一是它允许用户,无论个人或团体,当需要时,只购买那些他们需要的IT资源。这种即用即付系统提供了出色的灵活性,它允许用户在较小的时间周期内,获得几乎无限的计算能力。该模型可以被黑客利用,成为其强大攻击的基础,因为个人可以获准访问计算能力,破解密码或执行其他恶意活动,这些行为在电脑上操作,可能需要大量的时间或广泛且昂贵的计算资源。云计算有. 阅读全文
盘点云计算服务中的隐患
2011-09-24 00:03 by 狼人:-), 170 阅读, 收藏, 编辑
摘要:
据世界隐私论坛近日发布的一份报告声称,如果企业期望通过利用云计算服务来降低IT成本和复杂性,那么占先应确保在这个过程中不会带来任何潜在的隐私问题。 你一旦把数据交给外人存储,就会面临潜在问题。企业可能常常甚至不知道自己的数据到底存储在什么地方。信息有时最终出现在多个地方,每个地方可能需要遵守不同的隐私需求。 一心想通过云计算服务削减成本的用户往往会忽视这类问题,需要在合同中阐明隐私保护方面的内容。 那么是不是我们就对云计算可能存在的风险而对其避而远之呢?事实上,任何创新都会有风险,我们总会找到降低和消除风险的办法: 1.控制数据位置。影响大小客户的另一个问题就... 阅读全文
SSL系统遭入侵发布虚假密钥 微软谷歌受影响
2011-09-24 00:03 by 狼人:-), 150 阅读, 收藏, 编辑
摘要:
北京时间8月31日午间消息,SSL证书颁发机构(SSL Certificate Authority)证实其系统曾遭受入侵,导致一系列网站得到了一些虚假的公钥证书,其中包括Google.com。
此外,荷兰网路信托服务专业公司DigiNotar的证书在谷歌、Mozilla和微软的浏览器上业已失效,尽管它表示已经检测到了2011年7月19日发生的安全泄露问题,并删除了受影响的证书。此外,有一家外部安全审计机构也证实虚假证书已被吊销。然而,谷歌接收到的虚假证书却没被删除。
DigiNotar声称:“最近,我们发现至少有一个欺诈性的证书还尚未撤销。后来经荷兰政府组织Govcert通知,我们立即采取行. 阅读全文
五大质问SaaS供应商的云安全问题
2011-09-24 00:03 by 狼人:-), 195 阅读, 收藏, 编辑
摘要:
显而易见地,软件即服务(SaaS)正在持续成长中,也持续被企业和家庭用户所接受。跟据Gartner在2011年7月所公布的消息,SaaS的营收规模在2010年达到100亿美元,而且还在成长中。事实上,Gartner公司预估在2011年会成长20%以上,来到121亿美元。
根据Gartner对SaaS的定义,软件”被一个或多个供应商所拥有、提供和远端管理。供应商透过通用的程序代码和数据设定来提供应用程序,而且采取一对多的模式来提供给签约客户随时取用。可以采取使用量计费,或者其他多种套餐订阅模式”。而几乎每个相关主题的文章或演讲会举的例子都是Salesforce.com,虽然他们是SaaS领域里. 阅读全文
云计算需要让安全优先
2011-09-24 00:03 by 狼人:-), 139 阅读, 收藏, 编辑
摘要:
云计算是一种新兴的技术体系,同时也带来了新的商业机会,是继大型机、个人电脑和互联网之后的第四次IT革命。 近几年来,关于云计算的讨论越来越多。云计算的布道者告诉人们,“云”意味着前所未有的便利和价值。然而在实际应用中,对于“云”的疑虑始终未能被打消。 为了最好的了解潜在的风险和企业的回报,你应该尽可能的寻找机会与安全团队加强沟通与交流,Forrester研究公司的咨询师佩妮表示。 佩妮认为“安全和法规遵从事宜需要得到正确的诠释。企业高管必须了解安全的重要性,并且衡量风险的级别来制定出用来缓解这些风险所需要的预算”。 迁移到云上通过安全委员会将风险评估职能正式化这种更加... 阅读全文
云计算来袭 下一代防火墙“new”在哪里?
2011-09-24 00:03 by 狼人:-), 164 阅读, 收藏, 编辑
摘要:
本文摘要:传统的安全架构,如今在面对数据中心带来的大规模整合和互联、云计算和移动计算更为分散和全方位的安全需求时,正在经受考验和CIO的质疑,NGFW的出世是否为安全“老三样”注入“兴奋剂”。
防火墙产品从上世纪九十年代至今,虽然历经系统架构和软件形态的多次革新,但在技术发展和用户、带宽不断增长的今天,却愈发难以满足多方面的挑战。尤其是在当前最热门的数据中心和云计算环境下,以太网标准由万兆开始向40G/100G迈进,我国各类数据中心和机房总量已经达到50余万个。业务低延迟、高可靠保证和智能化安全管理,都对网关安全产品的性能和功能提出了新的要求。
今年以来,锐捷网络、梭子鱼、深信服陆续在国内发. 阅读全文
云如何解决安全问题
2011-09-24 00:03 by 狼人:-), 190 阅读, 收藏, 编辑
摘要:
向五个不同的人提出一个有关云安全的问题,可能会得到五个不同的观点。
云现象正在迅速地发展和变化,以至于安全等相关的规定很难跟上其发展。适用于的云的概念,如多租户和统一用户身份识别等,正在迫使安全厂商提供新的和更好的应对措施。但是,当他们准备好的时候,云可能已经产生了一套全新的安全挑战。
标准也许是一个答案,也许不是一个答案,因为标准有一个固定的时间以跟上或者预测快速发展的创新。因此,必须有一种方法对一些东西实施标准化以帮助不断地提出有关云安全的关键概念的架构和协议。
这正是非盈利组织云安全联盟(Cloud Security Alliance)要做的事情。云安全联盟创建于2009年,拥有2万个. 阅读全文
金山网络两月被黑4次 入侵黑客留名挑衅
2011-09-24 00:03 by 狼人:-), 237 阅读, 收藏, 编辑
摘要:
国内知名安全公司金山网络近期频繁遭受黑客“光顾”。8月22日20点,金山网络旗下金山手机卫士的主页被黑客篡改;不到一日的8月23日上午9时30分,金山网络官网又被黑客攻破。若加上此前两次被黑客成功入侵,金山网络两个多月来连续4次被黑。对于作为安全公司频频被黑事件,金山网络方面对新快报记者表示,不作任何评论。 入侵黑客“嚣张”留Q号
记者发现,除上述两次被黑客入侵以外,金山毒霸官方博客还曾分别在6月2日和8月7日被疑似同一黑客入侵。黑客用红色字体向金山网络反病毒工程师李铁军追讨学费。记者昨日尝试根据公开信息提供的链接进入金山毒霸官方博客,但未能成功进入,而是直接转接至金山网络官网,被黑的官... 阅读全文
云服务安全吗?美国政府用实际行动告诉你
2011-09-24 00:03 by 狼人:-), 190 阅读, 收藏, 编辑
摘要:
许多人不敢尝试云计算和云存储,是因为从心理上觉得把自己至关重要的信息存储在第三方实在不靠谱,这其实就像我们经常看到的报道,某老太存了多少年钱放在床底被老鼠啃了一样,专业的事还是让专业人士来处理好一些。
不可否认现在的云服务提供商良莠不齐,但如果连亚马逊这样的服务商都靠不住,那么云服务就真的要完蛋了。这不,最近亚马逊就获得了美国政府的信任,其推出的AWS(amazon web services) GovCloud第一次将政府带入了云端。
AWS GovCloud只允许美国用户进行物理访问,这就断绝了来自美国以外“敌对势力”攻击的可能。而美国是最为重视网络安全的国家——没有之一。对于国内的黑客们. 阅读全文
存储安全 系统的最后一道防线
2011-09-24 00:03 by 狼人:-), 169 阅读, 收藏, 编辑
摘要:
我们都看到过一些大公司的系统被黑客入侵的报道,一般来说,黑客都是从获得root访问权开始的,一旦获得root访问权,可以说你的任何文件,只要入侵者想要,他们都是可以取走的,这就引出了两个问题:
· 数据路径应该变得更安全点吗?
· 如果数据路径应该变得更安全,我们该怎么做呢?
数据路径应该变得更安全点吗?
看起来似乎有点疯了,人们告诉我没有存储安全需求,需要的是网络和操作系统安全,保护文件系统和数据路径并不重要,他们的理由是存储安全太难以管理了,当然,我问他们究竟是怎么想的,他们并没有给我直接的答复。我认为人们关心的是磁盘驱动器密钥管理的复杂性,但这仅仅是存储安全的一个方面 阅读全文