新闻媒体

漏洞成为信息安全最大隐患

漏洞成为信息安全最大隐患
关于信息和数据的安全漏洞在这个充斥信息技术和网络的时代不断被提及,同时随着信息技术和网络对于人们的影响越来越大,漏洞带来的安全问题也让人们不经“谈虎色变”起来。关于漏洞为何层出不穷?对此最好的应对之法又是什么?是这个时代想要保护信息安全的个人、企业甚至是政府机构都想要知道的。   

漏洞现状:4年发现5万个安全漏洞 漏洞成为信息安全最大隐患   

TOM某分站存在多处漏洞、华为IPTV运维不当导致系统重要敏感信息泄漏(包括用户个人信息)、天融信防火墙openssl漏洞可能导致信息泄漏、人人网某站点存在sql注入漏洞、中国邮政某处设计不当可更改任意用户名且百万用户敏感信息可遍历、优酷某管理后台账户密码泄漏可登录……这些“骇人听闻”的消息并非玩笑,而是一个专门报告网络安全漏洞的网站上的最新内容。   

【15个安全团队,均每天发布35个安全漏洞】漏洞发布网站的技术人员叫做“白帽子”,目前有889人。当然,他们并非乌云网的员工,而是志愿者。所谓“白帽子”,是黑客的一类,是正面的黑客,他们可以识别计算机系统或网络系统中的安全漏洞,但并不会去恶意利用,而是告知厂商修复漏洞,以免被“黑帽子”利用。  

根据该网站的规则,“白帽子”向网站提交发现的漏洞,需要经过网站的审核,然后发给相关厂商,同时在网站发布漏洞名称和简要的说明,但暂时不会公布细节。相关厂商则必须在5日内进行确认,然后厂商会获得45天漏洞修复周期(软件类90天),其间漏洞细节不会对外公开,如果5日内没有回应,该网站将漏洞细节公布。   

网站负责人说,经过几年的发展,随着网站影响力的扩大,现在厂商们对于提交的漏洞信息,都非常重视,很多厂商会根据漏洞的严重程度给予“白帽子”物质奖励,以鼓励他们继续帮助自己找漏洞。   

漏洞恐慌:漏洞或引起不安情绪 安全变革迫在眉睫   

自4月7日以来因OpenSSL“心脏出血”漏洞引起的不安情绪仍在蔓延,安全厂商们的争论仍在继续,这些争论又进一步加剧了不安情绪的蔓延。   

SSL是为网络通信提供安全及数据完整性的一种安全协议,此次OpenSSL爆出的漏洞被业内命名为“心脏出血”。此漏洞可以让攻击者获得服务器上64K内存中的数据内容,这部分数据中可能存有安全证书、用户名与密码等数据。   

奇虎360副总裁谭晓生接受笔者采访时表示,OpenSSL“心脏出血”漏洞是一个分水岭,在木马、流氓软件、钓鱼网站、病毒、漏洞威胁等信息安全威胁中,漏洞将上升为最主要的安全威胁,取代木马与流氓软件。   

这是消费者们感知到的变化,而对于信息安全厂商来说,这一变化则是一场挑战:首先是产品模式发生了变化。在病毒时代,产品模式是盒装软件;在流氓软件与木马病毒时代,产品模式是联网云查杀;在漏洞时代,上述模式均将过时。   

漏洞历史:老牌厂商依然受困于漏洞问题 发布补丁已成常态   

4月18日消息,甲骨文周四发布Java SE更新,修复了大量被评为10级的高危漏洞。此级别的漏洞通常能导致黑客轻而易举地获得计算机系统控制权,从而窃取用户电脑中的任何信息。甲骨文强烈推荐家庭用户安装该Java更新。   

这并不是甲骨文的第一次漏洞补丁发布,也必将不是最后一次,面对漏洞的历史遗留问题,或将成为今后更大老牌IT公司或者新崛起的公司需要共同面临的问题。   

治“漏”新思路 从威胁对象的防护入手或是另一种选择   

对于漏洞,IT企业及时发布相关补丁进行修复是最常用的手段。但这种先“有”后“解决”的模式或多或少会对这些漏洞威胁的对象造成影响,这是由于这种防护或者解决方案非即时所造成的。如果想在威胁来临之前就保护好自身的安全,从威胁对象本身入手进行防护或是另一种可靠的选择。而面对信息时代唯一的威胁对象,数据和信息的安全依靠能对数据本源起到防护效果的加密技术进行防护或是最好的选择。   

加密直接作用于数据本身,通过改变数据原本内容的形式来达到安全防护的效果,而这种防护最大的特点就是即使数据和文档最终还是泄漏了,加密的防护依然存在,只要算法不被破译,数据仍旧是安全的。而随着现代加密算法和技术的发展,破译这件事也越来越变得“得不偿失”了。同时,为了适应现代多样的加密需求和安全环境,采用国际先进的棱镜加密技术则是其中最好的选择。   

棱镜加密技术采用对称算法和非对称算法相结合的技术,在确保加密质量的同时,其加密的特性能让用户自主地选择加密模式从而更灵活地应对各种防护需求和安全环境。   

漏洞随着信息技术和网络的普及,或将变得越来越复杂,发现频率也或将变得越来越高。这不仅是因为人们对于信息技术和网络不断了解和深入的结果,也是受信息时代数据价值不断提升整个潜在因素所影响。所以想要保护自身的数据安全不受漏洞的影响,及时打上“补丁”并且事前利用灵活且具有针对性的棱镜加密软件进行数据本源防护是最两全其美的做法!