当前位置: 安全纵横 > 安全公告

一周安全动态(2012年4月12日-2012年4月19日)

来源:安恒信息 日期:2012-4

2012年4月第三周(4.12-4.19)

本周预警状态为二级:有一些严重漏洞发布或网络攻击时间有增多迹象。需对网络和主机进行必要的监控和升级

 

 

 

1. 安全新闻

1.1 个人隐私泄漏调查:房产银行保险医院均为泄密源

800元能买数百楼盘业主信息,0.3元可收购一个新生宝宝信息。你是否知道,自己的个人信息已被商品化,以低廉的价格打包出售,在保险公司、房产中介、月嫂公司之间肆意流转?当下,个人信息的泄露无处不在,房产中介、银行、保险、医院、网站、电信等“泄密”大户,让人们成为信息社会的“透明人”。

记者昨天从工业和信息化部官网了解到,我国个人信息保护的首个国家标准已经编制完成,有望在今年上半年正式出台。这一标准明确了个人信息和个人敏感信息等概念,并提出信息处理时应遵循的原则,将为处理个人信息的行为提供规范。

个案分析

房子刚过户,装修来电话

“喂? ×××小姐吗,你的房子需要装修吗? ”接到这个突如其来的电话,季小姐颇感困惑。 “电话那头直呼我的全名,也知道我的所在地,拨打的又是我的私人手机。 ”在脑海中反复搜索之后,季小姐明白,自己的个人信息都被泄露了。

究竟是哪个环节出现了纰漏,致自己的信息泄露?季小姐有点摸不着头脑。季小姐一贯小心,登记网银时留的是工作手机,在注册网站时用的是虚拟名字,买房时还特别留了一个心眼:专门购买了针对中介的手机号码,打算完成交易就弃用。

唯一留了私人手机的就是与卖家正式签订的房屋买卖合同。合同一式四份,卖家和自己各留一份,自然不会出问题。另两份一份留给中介存档,另一份审税时交给房产交易中心。“嫌疑人”只可能是某区房产交易中心和成交的中介。而在过户流程中发生的一个巧合又让她将目标最终锁定在房产交易中心。

“缴营业税和契税当天,中介意外将我的一份合同丢失在交易中心的影印室,所以他将自己保留的一份合同从公司取出交给我,推理下来,应该是房产交易中心泄露了我的个人信息。 ”

现在让她担忧的是,买卖合同上还有她及家人的工作单位、身份证号码、新居地址等,不知将来还会出现什么后遗症。

季小姐告诉记者,相比自己好友陈先生的遭遇,她另购一个手机号的做法还是明智的。陈先生年初在浦东杨高南路7号线沿线入手一套二居室,由于没有特别购置电话号码用于交易,交易完成后的短短几个月内,陈先生已在各种装修公司、房产中介的强力轰炸下不堪其扰,只能将手机号码换掉。

宝宝才两天,喜蛋卖上门

媒体人张先生有个一岁多的女儿,他告诉记者,自打2010年9月喜得爱女后,满月剃头、百日照、奶粉等各种婴幼儿商品服务的推销电话就几乎没停过。

“第一次接到电话是女儿出生两天后,是推销新生宝宝喜蛋的,头一个月真叫‘狂轰滥炸’啊! ”张先生说,“后来,满月、百日、周岁,每个宝宝成长的重要时间节点,商家都会提前进行电话推销,一个都不会落下,特别准时。一般都会先恭喜一番,甚至介绍些育儿经验,最后才推销产品,十分客气,也不好指责他们骚扰了。 ”

在电话推销的疯狂攻势下,张先生也没能捂住钱包。第一个月,他就买了一套宝宝胎毛的纪念品:给宝宝剪完胎毛后,放在特制的中空印章里,再加上一个有宝宝照片和手印的水晶八音盒,一套开价高达800元。宝宝快满3个月时,多家摄影机构都来电话,甚至主动上门服务,张先生又花了1100多元,给女儿拍了一套百日照。

张先生告诉记者,有一次在付完定金后,他与商家上门服务的工作人员攀谈,问起怎么能如此及时知道他家宝宝的情况。对方告诉他,公司花钱买了大量新生儿信息,宝宝的出生日期和医院,父母的姓名和电话都有。

张先生思前想后,自己只在医院留过相关信息,而且宝宝出生两天就接到电话,除了医院,实在想不出还有其他泄露方。被泄密的不仅仅是他,他说自己很多同事朋友都有过类似遭遇,据说出售新生儿信息在不少医院都是“潜规则”。

焦急等房贷,保险来电忙

如数月前给小周画一幅素描,应该是这样:身材消瘦的他坐在莘庄北广场一家房产中介门槛上,为了缓解焦虑情绪,猛抽双喜“绿壳子”。接过业务员递来的冰红茶,他狠灌了几口。零星烟灰伴着渗出的液体不断落在他的灰色CROCS鞋上,可面带愁容的他似乎并无半点感觉。

当时的他是焦躁的 “等贷一族”,为了及早拿到房屋贷款,需要不断骚扰贷款行个贷经理,他选择使用自己最常用的号码,以防错过任何重要来电。新年伊始,他终于在银行排上队,但新的麻烦也接踵而至。 “我几乎隔三差五会接到保险公司的电话,夸张的是,对方非常熟悉我的近况,说我作为主贷人应该为新房的贷款考虑,推荐我购买人身意外险。 ”如此熟门熟路按需推荐,让小周不得不疑心银行,“应该是银行个贷部门泄露了我的电话和名字。 ”

小周并非无端猜疑,银行和保险同为金融机构,似乎也是剪不断理还乱的利益“线团”。从血缘上看,部分股份制银行和保险公司本身就“师出同门”,同属一个大集团或同为一家大股东投资,其他银行与保险公司之间也因为银行代理销售保险产品的渠道利益分配而难撇关联。

网站留假名,暴露泄密方

网络上流传了这样一个段子。如果姓刘,在银行办理服务填写个人信息时,就写名字是“刘建设”,如果往后接到骚扰电话,问“是刘建设先生吗? ”你就知道,是银行把你的信息卖了。

银行业务需要提供身份证,这样的段子自然也是调侃而已。不过,白领马先生在看过后,却得到启发,在注册部分网站时,他专门给自己编了个好记的假名:朱××。果然,从去年下半年到今年,他接连接到了多家保险公司推销电话,一接通就问“是朱××先生吗? ”让他实在哭笑不得。

马先生告诉记者,虽然这事是当个笑话在朋友间说起,但是,自己读书、求职、工作期间,曾在无数网站注册,不少留的是真实的个人信息,看来不知被人“卖”了多少回。想想这些,不免背后发凉,不敢轻信各种网站了。

业内揭秘

保险:代理人互相转卖个人信息

某外资保险公司业务员小杨告诉记者,保险公司业务员的客户信息一般通过两种渠道获得:第一、有些公司会通过与其他企业合作,获得客户个人信息,“比如你在购买机票时,一般会有一项问你是否购买意外险,当你勾‘是’的同时,你的信息也就自动转给了保险公司;第二,保险代理人自己也会有一些特殊途径获取客户信息,“有些可能是通过信息中介购买,还有些就是通过某种方式破解一些网站,下载企业法人的个人信息,询问公司是否需要购买保险。 ”

由于小杨从业一年不到,她坦言,目前她的多数名单都是从其他代理人手中购得的。“有些代理人一下子从中介那儿买几万份,他们打陌生电话也打不过来,就卖给同事,我从他们手里买的话价格从0.1元到0.4元不等,和他们买入的价钱差不多。 ”

小杨告诉记者,由于个人信息在保险业务发展时必不可少,所以频繁从同事手中购买个人信息是极为常见的。 “不过3·15之后,风声很紧,现在最新的名单都买不到了。 ”小杨坦言,“不过相信过段时间又能买到了,只要存在利益关系,这些中介就不会倒闭。 ”

电信运营商:查家庭地址很容易

小王在某知名国有运营商从事营销工作已近两年,在她看来,想要获得用户个人信息再简单不过,“我们这里营销人员都能登录一个信息系统,只要输入客户名字,立刻能查到手机号码、住址。 ”

小王告诉记者,不仅是营销人员,甚至连营业厅做报表的工作人员都有机会接触到这一信息系统,“去年企业内部还通报批评,说是营业厅有个员工把客户信息拿去卖给中介,这事情内部员工都知道。 ”然而,小王表示,为了防止员工将客户信息用以牟利,公司要求每位员工都必须签署几大禁令,首当其冲的一条即是“严禁泄露或交易客户信息”,近两年,用户个人信息保护方面的意识也有所提高,“比如前两年你到营业厅查手机密码只要凭身份证就可以了,现在不仅要身份证,还要现场发送的手机随机码。 ”

房产中介:客户电话“越撒越广”

和保险一样,房产中介也是大量需要个人信息的行业,在这一行业中,有意购房客户电话就成了金贵的资源。

某知名连锁房产中介工作人员小陈告诉记者,客户哪怕只在一处留下电话,也可能随着业务员的流动被“越撒越广”。他表示,现在中介行业的流动率也很大,有的业务员做了一段时间后就转行了,走之前做个顺水人情,就把手头的资源转给同事。也有的人是跳去别的中介,自然也就把这些电话带走了,换一家中介的身份继续联系购房者,原来的中介有登记信息留存的,自然也会再联系购房者。

银行:泄露多是个人牟利行为

“多数还都是银行个贷员或理财师的个人牟利行为,他们掌握着大量客户信息,将这些个人资料转移给保险公司用作市场推广,可以为他们个人带来收益。 ”某国有大行个贷部经理宋先生这样解释道。

一个例证将银行的“内鬼”形象勾勒清晰。此前,央视3·15曝光多家银行的工作人员向犯罪分子出售客户信息,造成受害人损失3000多万元。据报道,多家银行的工作人员以每份十元或几十元低廉价格大肆向犯罪分子兜售银行客户的收入、详细住址、手机号、家庭电话号码,甚至职业和生日等个人信息,致使犯罪分子筛选出最有可能的六位银行密码。其中,某行信用卡中心风险管理部贷款审核员与相关银行客户经理都被写入“黑榜”。

记者调查

哪些渠道容易泄露个人信息

电信运营商、网站、银行、房地产中介、医院、求职、买车、买保险、办理会员卡、问卷调查……似乎每一种都成了泄露个人信息的重灾区,防不胜防。记者将个人信息泄露的渠道进行归类整理,发现尽管信息泄露渠道不一,但仍可总结为两种方式:

第一、被动套取。走在路上被阿姨妈妈们拦截,随手填写问卷调查;在书店看书,某教育机构销售人员恳求你填写个人信息,期待获得免费的学习资料……由于市民防范意识不强,随手填写的信息便可能成为他人牟利的工具。

第二、主动透露。注册论坛或是门户网站会员时,不得不填写姓名、联系方式;医院就医时,也很难使用“马甲”去“忽悠”医生;买车、买房、买保险、办理手机业务时就更不可能留下虚假信息,在这些场合下,出于特定的目的,市民往往抱着信任的态度将个人信息留给商家,却不想可能由于管理不善或恶意泄露,招致一系列的麻烦。

800元可买数百楼盘业主信息

个人信息通过什么渠道买入卖出?记者昨天在某知名搜索引擎中的搜索“求购上海业主信息”,上百条买方与卖方发布的信息立即映入眼帘,“求上海楼盘的业主资料,各区都要”“上海最新房主业主最全资料提供,非诚勿扰”……在这一问一答之间,记者发现,买方与卖方们往往通过QQ进行“地下交易”。随后,记者以“求购个人信息”为由与多位卖主接上了头。

“你是需要业主名单吧?我给你发份清单看看。 ”见有生意上门,一位网名显示为 “企业名录”,QQ签名为“出售企业名录,让你丢掉114”的网络卖家主动给记者发了份沪上楼盘的详细名录,声称“名单所罗列楼盘的业主信息都能提供,并且及时更新至今年3月份。 ”

记者打开这份名单发现,包括“世茂滨江花园”、“万科花园小城”、“好世鹿鸣苑”等几百个市、郊楼盘均位列其中,按照登记的时间顺序分门别类地进行详细罗列,卖家声称“每个楼盘的户数不等,有的几百户,有的几千户,一共两千多个楼盘,你自己算算,起码也有几万个名单了。 ”记者整理后发现,清单中的楼盘多有重复,撇除重复的,数量也近千。

“你如果不信,明早给你发几个联系人,试试信息到底准不准确,然后你再付款也不迟。 ”见记者犹豫,卖家主动提出发送一份“小样”以测试真伪,并声称800元买几万个名单,一口价、不还价。当记者问及是否有豪车车主、产妇的个人信息时,卖家表示,这些信息应有尽有,并谨慎地回复称:“具体价钱等我们先把这业主名单谈妥了再说。 ”

每月万名新生儿信息均可售

随后,记者又联系到另一位出售新生儿信息的卖家。 “你是要刚出生的婴儿名单吗?上海一个月出生一万多个婴儿,每个月我这儿都有。 ”一位未显示网名的卖家见记者有意购买,二话没说,立刻向记者发来一张电脑截图。图为一张EXCEL表格的一部分,包括宝宝名字、性别、出生医院、生日、妈妈姓名、爸爸姓名,电话、甚至具体到门牌号码的家庭地址都在该表中一览无余。在出生医院中,“浦东新区光明中医医院”、“第一妇婴保健院”、“松江区中心医院”、“嘉定区妇幼保健院”等全市不同区域的各级医院均位列其中。

“这些是去年11月生的宝宝,太久了吧? ”见记者犹豫,卖家回应道:“这你绝对放心,我这里更新得挺快,不过最近风声比较紧,名录只能更新到2月中旬,至于2月下旬及3月份的名单什么时候能送来就不能保证了。 ”

“开价0.6元一个人,你要几月份的?买多了价钱好商量。 ”“能不能再便宜点?这么贵,我要是买1万多条就要五六千元呢。”记者佯装有意求购,与卖家砍起价,最终得到的答复是:“最低0.3元,不能再低了。 ”

在采访过程中。两位卖家均表现出较为谨慎,每当记者问及信息来源时,或绕开话题或含糊其辞,只声称其有可靠的信息渠道。在付款方式上,卖家均表示只要货款汇到账号,立刻将名单发到记者的邮箱,准确率在95%以上。

除了业主、产妇个人信息的二手倒卖外,在一些信息发布网站上,记者甚至看到“工商注册资料、企业法人、电话、手机、地址等信息提供”的帖子,以及“豪车车主姓名、电话、地址提供”,无处不在的泄密渠道令人担忧。

监管空白

个人应有知情权、决定权

“个人信息的所有者应当有充分的知情权和决定权。 ”上海社科院法学研究所研究员江锴表示。

“从学理上讲,个人信息并不是纯粹的财产权,也是一种人格权,由所有人自己掌握。其所有权并非财物那样可以转让,所有人才有处置权,可以在授权商家使用后即时撤回或修改。 ”江锴说。

他指出,用户授权商家使用信息,是出于所购买的产品或服务有需要,这样的授权是有范围的,一般双方协议中也会有相关条款约定。如果商家在未经用户同意的情况下将个人信息再授权给其他人使用,显然是不合法的。对于例如黑客攻击等无心之失,商家也应当有相关保护和补救机制,有义务将损失降到最低。

法律上存在监管空白

江锴告诉记者,在个人信息保护方面,国内立法确有不足。 《个人信息保护法》初稿已出台多年,但至今未真正进入正式立法程序。虽然2009年 《刑法》将泄露个人信息入罪,民法通则也有关于个人隐私的条例,但这些条例零散、抽象,在现实中普遍缺乏可操作性。他表示,个人信息保护方面在法律上更是空白,现在的保护更多依靠的是行业自律和企业与个人之间的合同约定。个人如果因个人信息被泄露诉诸法律,按照民法“谁主张谁举证”的原则,很难有胜算,也很难判断损失以适应民法的“填平”原则。

近日,工信部直属的中国软件测评中心透露,其联合30多家单位起草的《信息安全技术、公共及商用服务信息系统个人信息保护指南》已通过评审,正报批国家标准。但这个指南并不是强制性标准,没有法律效力,被认为对全面保护个人信息作用不大。

不过,今年4月,深圳却公示了属于特区的个人信息安全保护条例,征求意见稿规定,互联网信息服务提供者擅自收集用户身份信息、改变信息用途、泄露或者转让用户信息的;将由市公安部门责令改正,并处以10万元罚款;违规严重者将处停业整顿和吊销经营许可证。

境外保护个人信息有法可依

目前,世界上已有50多个国家和地区制定了保护个人信息的相关法律。

美国2005年通过一批保护个人信息的法律,如《隐私权法》、《信息保护和安全法》、《防止身份盗用法》、《网上隐私保护法》、《消费者隐私保护法》、《反网络欺诈法》和《社会安全号码保护法》。 2011年4月,美国一些重量级的参议员又提出关于在线综合信息保护立法的议案。

欧盟则在1995年通过《欧盟个人数据保护指令》,协调各国国内法以确保个人信息在欧盟范围内自由流动。各欧盟国家也分别制定国内的相关法律,如德国于1976年颁布《联邦资料保护法》,法国于1978年通过 《法国自由、档案、信息法》,1984年英国制订《数据保护法》。

在亚洲国家内,日本个人信息安全保护意识较强,2005年4月,《个人信息保护法》正式实施,此外,日本企业对于客户信息管理方面非常严格,从公司发出的邮件,公司管理人员和监管部门都严格审阅。

 

1.2 隐形战场,战不见兵非戏言

网络电磁空间,是一个“虚拟”与“现实”并存的隐形世界。它是信息中心,是交友乐园,是娱乐广场,是购物天堂,同时也是情报暗战的“秘密通道”,更是潜伏危机的“隐形战场”。在这里,一场场“隐形战争”已然打响。

“僵尸”发起蜂群攻击

2007年4月,爱沙尼亚因搬迁一座苏联战争的纪念雕塑引发暴乱期间,该国政府和银行网站遭到了由数千台被劫持计算机组成的“僵尸”网络发起的“蜂群式”攻击,导致系统严重拥塞,攻击波持续3周,几乎使政府陷入瘫痪。

单向透明实施“闪击战”

2007年9月6日,以色列空军18架F-16战机借助美国“舒特”网络攻击系统,成功突袭叙利亚的防空指挥系统和俄制三坐标“道尔-M1”导弹防御系统,对叙方纵深100公里内的所谓“核设施”实施了毁灭性打击,并从原路返回,让世界为之震惊。

黑客对弈“网电空间”

2008年7月20日,俄格之战前夕,格鲁吉亚基础网络设施遭到了俄罗斯黑客攻击。接着,伴随两军交火全面展开,双方的政府网站和新闻等重要机构均遭受到对方猛烈攻击。有专家称,这是世界上第一次伴有网络攻击的军事行动。

病毒下达“禁飞令”

2009年1月,法国海军内部计算机系统一台计算机感染了病毒,病毒迅速蔓延至整个网络,不仅造成法国海军内部计算机系统一时间不能启用,其海军的全部战斗机皆因无法“下达飞行指令”而停飞两天。

“震网”侵袭摧毁核设施

2010年夏天,一种名为“震网”的病毒,对伊朗核设施进行了大规模的反复攻击,定向破坏离心机等要害目标。据称,其结果比军事摧毁更胜一筹。外电评论指出,该病毒攻击行动将使其核计划“至少拖后两年”。

大片中上演“虚拟危机”

好莱坞大片《虎胆龙威4:虚拟危机》中描述了“网络战争”情景:恐怖分子利用电脑黑客程序,控制交通网络、股市、电视广播和电力网络系统,瘫痪了股市交易、中断了电力供应、制造了白宫被炸假象,甚至遥控指挥战斗机展开了攻击行动。

 预演“电子珍珠港”事件

在美军演习假想的“网络战争”中,黑客突然侵入美国大西洋舰队指挥系统,瞬间控制了整个舰队和战斗机,刚刚发射的导弹掉过头来精确打击自己,整个国家陷入一片混乱。

预言中的“世界战争”

军事预测学家亚当斯在《下一场世界战争》中预言:“在未来的战争中,计算机本身就是武器,前线无所不在,夺取作战空间控制权的不是炮弹和子弹,而是计算机网络里流动的比特和字节。”

 

1.3 英政府网站遭黑客攻击

据新华社电英国内政部网站7日晚间至8日凌晨遭网络攻击,无法访问。国际黑客团体“匿名者”宣称发动攻击,威胁今后每周攻击英国政府网站。

英国内政部网站自当地时间7日21时起无法显示内容,持续数小时,8日凌晨5时逐步恢复,用户只能间歇性登录成功。

内政部一名发言人证实网站成为互联网攻击目标,称内政部内部网络系统没受影响,技术人员已采取保护措施,民众暂时无法顺畅访问网站。

国际黑客团体“匿名者”当天在微博客上发布多条消息,“认领”这起网络攻击,只是一些微博所列的理由不同。一条微博称,攻击是抗议英国政府打算立法监视国内互联网访问、电子邮件往来和通话及手机短信记录;另一条消息称攻击是抗议英国和美国涉及引渡的相关协议。

英国知名黑客加里·麦金农2002年侵入美国国防部、国家航空航天局等机构大约100台电脑。英国法院裁定引渡麦金农至美国审理。一些英国人认为,把英国人引渡至美国比把美国人引渡至英国更容易。英国议会下院内政事务委员会上月说,两国引渡协议应当作重大调整。

 

1.4 网络攻击利用智能重导向规避URL安全扫描

防病毒厂商ESET的安全研究人员近日发现新的基于网络的恶意软件攻击,这种攻击试图通过检测鼠标的光标移动来规避URL安全扫描。

这种新的下载驱动式攻击是在俄罗斯网络空间被发现的,它不需要用户交互行为就能通过恶意软件感染计算机。

这种类型的攻击大多依赖于被隐藏的合法化iframe,但被攻击的网站会将访问者重新导向实际的攻击页面。

这位ESET安全研究者在上周五发表的博客中称,Java语言代码被加入本地的Java语言文件,该文件在每一个HTML页面“顶部”已被载入,这使得感染更难实现。

被注入本地Java语言的代码从外部位置装载着不同的Java语言文件,但只有在鼠标光标移动时才能侦测到网页。鼠标移动侦测的目的是:过滤掉URL扫描、安全公司使用的网络爬虫或用来检测被感染网站的搜索引擎。

这是一个简单的技巧,但这意味着黑客们正在寻找更有前瞻性的途径,以区别对待人类访问者和bot 病毒,这样一来,他们就能使其攻击在更长时间内不被发现,ESET的研究者们表示,“通过使用前瞻性技巧来侦测,这是下载驱动式攻击的自然演变。”

 

1.5 政府网站频遭攻击 国内信息安全现状堪忧

伴随着病毒、木马的持续递增及黑客攻击活动的频繁出现,网络环境面临的安全风险不断增大,关于信息安全事件的报道也不断地见诸于报端,影响范围涉及政府、金融、电信等众多领域。近日,有报道指出,我国部分地方政府、贸易组织等机构网站遭到国外黑客组织攻击,受影响网站数量高达几百家。对此,业内安全专家表示,网页篡改、挂马等安全事件的发生,对政府网站的形象造成了很大的损害,同时也再次将网站在安全防护方面的脆弱性问题推到台前。

据了解,早在此次安全事件发生之前,不少政府网站就遭受到了网络攻击。一份关于信息安全的报告显示,在过去的一年里,有3万个政府网站页面遭受到了不同程度的破坏和修改,部分网站甚至存在着长期未修复的情况。同时,与普通企业相比,国家机关、涉密单位等涉及国家机密和资金安全的机构遭受攻击的次数更加频繁,黑客攻击活动所包含的技术含量也更高。种种迹象表明,政府网站已成为网络黑客攻击的“重灾区”,引起了国家、安全厂商、用户等社会各界的广泛关注。

国内知名信息安全厂商椒图科技的一名安全工程师告诉记者,近年来“网站被黑”的现象屡见不鲜,黑客攻击方式包括跨站脚本攻击、SQL注入攻击等等,其原理大多是利用网站及其相关应用存在的安全漏洞窃取网站管理员的权限,进而控制整个网站。更有甚者,借助操作系统漏洞入侵网站服务器,并将自身权限提升为管理员,实现对网站服务器的完全控制。这其中,服务器操作系统作为网站重要数据和Web应用程序的重要承载平台,更是黑客攻击的核心目标,一旦获取操作系统管理员权限,攻击者就可以在目标网站服务器上为所欲为,例如查看网站重要数据、修改网站页面、在网站上嵌入不健康网站链接等等,从而给用户带来极为严重的损害。

椒图科技开发出的椒图主机安全环境系统(简称JHSE),能够使用户免疫跨站脚本攻击、操作系统漏洞攻击等各种攻击行为,保障政府、金融、电信等行业用户的信息安全。JHSE产品拥有多项国家发明专利和200多项全新技术,通过增强型RBAC、BLP、DTE三种安全模型重构和扩充操作系统的安全子系统(SSOOS),为网站程序、数据、用户等资源提供细粒度的访问控制。在JHSE构建的安全防护体系下,攻击者甚至不能执行恶意代码,更不可能获取管理员权限。同时,JHSE还对管理员权限进行分化,设立了系统管理员、审计管理员和安全管理员,不同管理员之间相互独立、相互制约,即使黑客通过其它非技术途径获得管理员账号和密码,也只能按照既定的安全策略进行正常操作,这最大程度地保障了服务器操作系统的安全,为网站的正常运营提供可靠保障。

业内专家分析指出,信息化是把“双刃剑”,在给人们工作、学习和生活带来便利的同时,也埋下了一些难以预见的安全隐患。特别是政府网站作为电子政务的组成部分和展示政府形象的网络窗口,更需要加强安全防护。此次网站被攻击事件的出现,无疑会进一步增强政府及用户的安全意识,并将加快信息安全建设的实施步伐。同时,信息安全厂商也要加大技术创新的投入力度,推出更多、更专业的信息安全技术和产品,共同为提升我国信息安全防护水平而不断努力。

 

2. 本周关注病毒

2.1 病毒名称:Trojan.DL.Win32.Undef.tkp(木马病毒)
警惕程度★★★

该病毒是一个病毒下载器,病毒运行后链接黑客指定的病毒下载列表,随后根据这个下载地址列表下载很多流氓软件和病毒。

 

2.2 病毒名称:Worm.Win32.Autorun.twl(蠕虫病毒)
警惕程度★★★

该病毒通过U盘等可移动存储设备传播,病毒会双进程守护,下载大量木马病毒,给用户造成很大安全隐患。

 

2.3 病毒名称:“Trojan.Win32.InjectRun.a(十项全能王木马)”
警惕程度★★★★

病毒运行后会将自身注入到多个系统进程中,然后运行病毒模块。随后,病毒将造成10个严重危害电脑安全的行为,如:恶意篡改注册表、使病毒自身不被复制删除,从而达到自保的作用、关闭常用杀毒软件,躲避查杀、通过U盘进行不断传播扩散、利用局域网进行网内传播、感染所有压缩文件、禁止用户手动清除病毒、删除用户备份系统的*.gho文件、从黑客服务器上下载arp攻击工具,利用arp劫持包,传送病毒体文件、破坏安全模式等。

 

3. 安全漏洞公告

3.1 Juniper Networks IVE OS Network Connect/Pulse功能跨站脚本执行漏洞

Juniper Networks IVE OS Network Connect/Pulse功能跨站脚本执行漏洞

发布时间:

2012-04-05

漏洞号:

BUGTRAQ ID: 52899

漏洞描述:

Juniper IVE OS在实现上存在安全漏洞,可被恶意用户利用执行跨站脚本执行攻击,窃取Cookie身份验证凭证。

安全建议:

目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://www.juniper.net/

 

3.2 Siemens Scalance Firewall两个安全漏洞

Siemens Scalance Firewall两个安全漏洞

发布时间:

2012-04-06

漏洞号:

 

BUGTRAQ ID: 52923

漏洞描述:

Siemens Scalance Firewall可以多种方式过滤进站和出站网络连接,保证可信工业网络的安全。
Siemens Scalance Firewall在实现上存在多个漏洞,可被恶意用户利用执行暴力攻击或造成拒绝服务。
1)Web配置接口登录失败直接的时间延迟缺失可导致暴力攻击的可行性增大;
2)在处理Profinet DCP协议时,通过特制的DCP报文,可造成防火墙不响应并中断已经建立的VPN通道。

安全建议:

目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://www.siemens.com/corporate-technology/pool/de/forschungsfelder/siemens_security_advisory_ssa-2

 

3.3 Oracle MySQL Server两个不明细节本地漏洞

Oracle MySQL Server两个不明细节本地漏洞

发布时间:

2012-04-09

漏洞号:

 

漏洞描述:

MySQL是一个小型关系型数据库管理系统,开发者为瑞典MySQLAB公司,在2008年1月16号被Sun公司收购。
Oracle MySQL在实现上存在两个安全漏洞,可被本地利用造成一定的影响。

安全建议:

Oracle
------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://www.oracle.com/technetwork/topics/security/

 

3.4 Cisco IronPort Web Security Appliance多个安全漏洞

Cisco IronPort Web Security Appliance多个安全漏洞

发布时间:

2012-04-10

漏洞号:

CVE ID: CVE-2012-0334,CVE-2012-1316,CVE-2012-1326

漏洞描述:

Cisco IronPort Web Security Appliance是提升企业网络安全和网络威胁防护解决方案。
Cisco IronPort Web Security Appliance在实现上多个安全漏洞,可被恶意用户利用执行欺骗攻击。
1)应用没有通过CRL或OCSP响应器验证SSL证书的撤销状态,可通过已经撤销的证书执行欺骗和拦截攻击;
2)验证证书链的"basicConstraints"证书参数时存在错误,通过中间人攻击可导致欺骗任意域的证书并泄露加密信息;
3)在验证证书的指纹时存在错误,通过中间人攻击可导致欺骗任意域的证书并泄露加密信息;

安全建议:

Cisco
-----
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.cisco.com/warp/public/707/advisory.html

 

3.5 Microsoft .NET Framework CRL参数解析漏洞 (MS12-025)

Microsoft .NET Framework CRL参数解析漏洞 (MS12-025)

发布时间:

2012-04-10

漏洞号:

CVE ID: CVE-2012-0163

漏洞描述:

PASP.NET是一套由Microsoft分发的帮助开发者构建基于WEB应用的系统。
Microsoft .NET Framework在处理传递到函数的某些参数时,.NET CRL (Common Language Runtime)中存在错误,可通过特制的网页利用,导致控制用户系统。

安全建议:

目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.microsoft.com/technet/security/bulletin/MS12-025.asp