您现在的位置是:首页 > 头条新闻 >
移动+社交形势下的安全防护思路
2012-05-15 15:54:00作者:本报记者 张楠来源:
摘要2011年底,CSDN、天涯等网站发生严重用户信息泄露事件,引起了社会广泛关注,被公开的疑似泄露数据库达到26个,其中涉及用户账号、密码等信息达到2.78亿条,严重威胁了互联网用户的合法权益和互联网安全。这一事件让人们对个人信息保护有了新的认识。在社交网络、移动商务、...
2011年底,CSDN、天涯等网站发生严重用户信息泄露事件,引起了社会广泛关注,被公开的疑似泄露数据库达到26个,其中涉及用户账号、密码等信息达到2.78亿条,严重威胁了互联网用户的合法权益和互联网安全。这一事件让人们对个人信息保护有了新的认识。在社交网络、移动商务、即时通信等新应用大行其道的今天,个人信息的保护有了更重要的意义。在这一新形势下,人们不得不重新思考安全防护体系建设的新思路,在第十三届中国信息安全大会“安全,从‘新’起步”分论坛上,专家学者和厂商给出了他们的建议与解决方案。
国内网络安全现状
在会上,中国电子信息产业发展研究院信息安全研究所所长刘权分析了目前国内网络安全态势。他表示,“十一五”期间,我国网络与信息安全基础设施不断完善并发挥了重要作用。国家大力支持并推动信息安全监控等相关基础设施的快速建设,大幅度提升了我国信息安全监管能力;初步建成广播电视安全播出保障体系,实现了对广播电视传输的安全监测;推动国家密钥管理体系建设并取得重要进展;初步形成以中国信息安全测评中心和国家信息技术安全研究中心为代表的国家信息安全队伍,并在处置重大突发事件中发挥了重要作用。
网上银行面临的钓鱼威胁愈演愈烈。CNCERT(国家计算机网络应急技术处理协调中心)监测数据显示,2011年针对网银用户名和密码、网银口令卡的网银大盗、Zeus等恶意程序较往年更加活跃,2011年3月~12月发现针对网银的钓鱼网站域名3841个。CNCERT全年共接收网络钓鱼事件举报5459件,较2010年增长近2.5倍,占总接收事件的35.5%;重点处理网页钓鱼事件1833件,较2010年增长近两倍。
手机恶意程序现多发态势。2011年CNCERT捕获移动互联网恶意程序6249个,较2010年增加超过两倍。其中,恶意扣费类恶意程序数量最多,为1317个,占21.08%。从手机平台来看,约有60.7%的恶意程序针对塞班平台,该比例较2010年有所下降,针对安卓平台的恶意程序较2010年大幅增加。
木马和僵尸网络活动越发猖獗。2011年,CNCERT全年共发现近890万余个境内主机IP地址感染了木马或僵尸程序,较2010年大幅增加78.5%。其中,感染窃密类木马的境内主机IP地址为5.6万余个。2011年截获的恶意程序样本数量较2010年增加26.1%。
应用软件漏洞呈现迅猛增长趋势。2011年,CNVD(国家信息安全漏洞共享平台)共收集整理并公开发布信息安全漏洞5547个,较2010年大幅增加60.9%。其中,高危漏洞有2164个,较2010年增加约2.3倍。在所有漏洞中,涉及各种应用程序的最多,占62.6%,涉及各类网站系统的漏洞位居第二,占22.7%,而涉及各种操作系统的漏洞则排到第三位,占8.8%。
国标让个人信息保护有章可循
个人信息保护,之前一直处于一直无序的状态。为了解决这一问题,中国软件评测中心牵头,联合中国信息安全测评中心等单位起草了个人信息保护标准。中国软件评测中心副主任高炽扬在大会上表示,个人信息保护标准要从以下几方面进行规范。
首先,要明确各个主体的职责。个人信息主体:根据个人意愿提供个人信息,发现个人信息丢失或泄漏时,向信息管理者提出投诉;个人信息管理者:规划个人信息处理流程,落实责任,管控信息系统个人信息处理过程中的风险,接受管理部门的检查、监督和指导;个人信息获得者:出于对方委托加工等目的对个人信息进行加工,在完成加工任务后,立即删除相关个人信息;第三方评测机构,对信息系统进行测试和评估,获取个人信息保护状况,作为个人信息管理者评价、监督和指导个人信息保护的依据。
其次,要确认个人信息保护的八大原则。最少够用:只处理与处理目的相关的最少信息;公开告知:对个人信息主体要尽到告知、说明和警示的义务;目的明确:具有特定、明确、合理的目的;个人同意:征得个人信息主体的同意;质量保证:处理过程中个人信息完整、准确、可用,并处于最新;安全保障:保护个人信息的安全;责任明确:明确个人信息处理过程中的责任;诚实履行:按照收集时的承诺,或基于法定事由处理个人信息。
最后,处理个人信息时的规范。收集阶段:要有特定、明确、合法的目的向个人信息主体明确告知和警示;加工阶段:不违背使用目的或超出告知范围加工,采用已告知的方法和手段;转移阶段:不违背目的超出范围转移个人信息,保证转移过程中个人信息不被他人获知;删除阶段:个人信息主体有正当理由删除时,应及时删除,使用目的达到后,应立即删除。
安全企业各出妙招
作为企业来说,如何保证企业内部的信息不外泄是至关重要的。在会上,北京亿赛通科技发展有限公司副总经理王维宏就提出了自己的观点,“让合法的数据使用者可以获得数据内容,让非法的数据接触者不能获得数据内容”。王维宏表示:“在我们所有的技术中,最核心的是加密技术。我们可以对文件级、存储设备级、移动设备分别进行加密。在云时代,我们利用多年积累的技术,与客户共同建设了我们的安全体系。”
在会上,杭州攀普科技有限公司CEO蒋艺为到场的用户介绍了攀普科技如何帮助企业解决商用中的信息安全问题。蒋艺表示,攀普科技商用信息安全的核心是统一管理。攀普科技在成本上进行优化,把成本大幅度降低,降低了用户的购买门槛。攀普科技的系统特有操作信息提醒功能,不管用户身处何地,只要有人对数据进行了操作,用户都会收到提醒,可以随时做出反应。除此之外,系统还有内部监控,帮助用户深入到数据系统进行监控,并进行备份。
最后,金山企业安全事业部高级技术总监林凯以如何帮助企业打造自己的云安全平台为题进行了演讲。林凯表示,金山KingCloud提供了五大功能,可以帮助用户打造一个安全的云平台。第一,IT环境保护:基于安全基线管理,构建可信IT生产环境;第二,未知威胁防御:集反病毒、反钓鱼、未知攻击检测于一身;第三,程序应用控制:防止员工滥用软件,优化终端使用体验;第四,威胁源监控:快速威胁定位,便于事后安全取证;第五,终端系统恢复:系统宕机后快速恢复。
(本文不涉密)
责任编辑:
上一篇:完善八大事项 构建完美云平台