又到溢信每周信息防泄露简报时间了,从本期开始,按惯例在每周周五发布的短评,将改在次周的周二至周三发布,以便于更完整的收集上一周的安全新闻与事件素材,还请大家能一如既往的关注!
本周,大家似乎把所有的关注目光都投向了传说中的“皮鞋,一时之间似乎再没有什么能放心食用的。影响巨大的安全事件甚至事故的出现,有时能刺激有关部门作出重要而影响深远的政策改进,就像CSDN的600万客户信息间接催生了个人隐私保护条例的出台一样,希望这次的食品与药品安全危机在收获教训的同时,获得蜕变的契机,而不是无疾而终。
闲话少说,看看过去一周有哪些信息安全相关的新闻和事件发生吧!
1. 黑客公开三百万伊朗银行帐号
在发现伊朗银行系统的一个安全漏洞后,Khosrow Zarefarid向所有受影响的银行发送了正式报告。当报告被忽视之后,他通过漏洞窃取了22家银行的三百万帐号,以证明所言不虚。这些信息用处不大,但已经造成了恐慌,至少三家伊朗银行发短信通知客户修改借记卡PIN码。
短评:由于一些原因,伊朗变成了信息安全战的重灾区,也成了最新的网络战的绝佳样本。尤其是针对其核设施的APT工具,直接引发了信息安全领域对于APT攻击的关注热潮。作为信息安全领域的一分子,我们当然不推崇采用这样极端的形式促进信息安全技术的发展,但这至少表明,是时候考虑国家层面的信息安全战略了。
2. 各平台智能手机泄密揭秘:隐私窃取占比24.3%
信息安全专家表示,如果在使用中不谨慎,智能手机造成的信息泄露可谓无处不在,而有数据显示,在恶意软件特征方面,隐私窃取类以24.3%的感染比例位居首位。苹果手机主要是因为iCloud同步,安卓手机则是因为恶意软件。
短评:智能设备隐私泄露的问题不仅与个人有关,也可能损害企业的整体安全策略,越来越多的用户使用App收取邮件、远程处理事务甚至同步存储敏感数据,这已经不再是危言耸听,而是实实在在的威胁。更为可怕的是,不同于明目张胆的病毒与木马,目前移动设备APP等隐私策略的模糊,以及用户对此的漠不关心,才是给了不怀好意的开发者的最大可乘之机。开发还是封闭,欢迎还是抗拒,这不仅是拥抱新潮流的问题,更是事关安全的大事。
3. Visa称账户泄密美国占95%以上 或将发新卡
3月30日,美国环汇公司公开表示,其交易系统受到未授权入侵,全球主要的支付卡品牌的150万账户信息存在泄露风险,其中包括万事达和Visa的支付卡账户。Visa公司发表声明称,此次泄露事件是美国环汇公司一部分交易处理系统遭到未授权入侵所致,不涉及Visa核心处理平台VisaNet系统。
短评:金融领域向来是信息安全的前沿阵地,各种新的技术和设备应用的极为广泛,规章制度也最为完善和繁琐。希望这次事件只是个案,否则,我们的钱就不安全了。
4. 3名员工跳槽带走商业秘密造成老东家百万损失
在公司干了十几年的老员工,掌握了公司的商业秘密,另觅高枝后,竟惹来了牢狱之灾。昨天,温州鹿城传来消息,胡某、阮某和陈某都因侵犯商业秘密罪,分别被判有期徒刑一年至11个月不等刑罚。
短评:小公司的管理不规范,信息安全策略没有被严格执行,加上对离职时用户权限的管理不够重视,是很多小公司员工离职后面临知识产权损失的重要原因。上几期我们曾报道过的Intel离职员工携带核心机密加盟AMD的信息,只不过是更加后果更加严重的一个例子。金三银四离职潮,安全策略应该加强,并注意审计与权限的及时回收。
5. 深圳中院公布深圳去年10大知识产权案例
昨日,深圳中级法院向社会发布了知识产权保护状况白皮书,通报了该院关于知识产权保护的现状和基本态度。同时,还发布了深圳去年10大知识产权案例。其中包括中兴员工泄密案、网上贩卖5000万元盗版软件案等等。
短评:作为产业转型和升级的前沿阵地,打击高新技术领域的知识产权犯罪,是珠三角近年来的重点。高新技术领域的知识产权犯罪可能直接影响企业在行业中的竞争力,后果不可小觑。通信行业向来是靠专利和知识产权吃饭的,官司不断,以往都是国外巨头诉国内公司,现在国内的巨头发展壮大,却也面临同样的烦恼。帮助客户重视自己的知识产权,认清自己的核心竞争力并采取有效的技术与管理手段加以保护,是信息安全产品在这些行业中发挥价值的关键所在。
6. 2011年度员工信息安全意识调查报告发布
根据谷安天下发布的《2011年度中国企业员工信息安全意识调查报告》显示,受访者的工作胸卡保管、个人及公司物品保管、出差物理环境安全、办公桌面安全、打印机安全、尾随、口令/密码设置、敏感数据保护、数据备份、密级资料处理、电脑屏保与密码设置、电脑桌面安全、暂时离开电脑、熟悉发件人发的链接和动画处理方式、网页弹出的链接处理、对公司信息安全相关规定的了解、遇到信息安全事件的处理方式等相关安全意识相对较差。
短评:再完善的信息安全制度,再高级的信息安全产品,都需要“人”作为主体去遵守和执行。再坚固的城防,被粗心的内部人打开个小窗户,都不再固若金汤,加强对用户的安全教育,是部署信息安全产品过程中必不可少的一个步骤。