计算机网络安全第03册.docx-道客多多

资源描述

1、计算机百科知识计算机百科知识计算机网络安全 (三 ) 本书编写组编山东科学技术出版社图书在版编目 (CIP)数据计算机百科知识 /本书编写组编济南山东科学技术出版社 2003ISBN 7-5331-1651-8计本计算机网络基本知识汇编 TP39中国版本图书馆 CIP 数据核字(2003)第 004271 号山东科学技术出版社出版发行 (济南市玉函路 16 号 250001)全国各地新华书店经销莒县新华印刷厂印刷开本 787 1092 1/32 印张 240 字数 4 000 千字2003 年 7 月第 1 版 2003 年

2、7 月第 1 次印刷印数 1 1 000 册书号 ISBN 7-5331-1651-8/ D 112定价 698.00 元I目录网络攻击危险增加美国企业防范仍不充分. .我国经过国家认证的信息安全产品已达 108 种 .美国大规模打击网络诈骗处理了 19 起诈骗案网站出现首席垃圾官 24 小时在线监控垃圾邮件 . 控制 IE 是否为默认微软推 WINDOWS 升级包 3 . 信息安全的关键是核心技术独立调查显示病毒攻击事件数量出现下降趋势 KLEZ 病毒连续四个月稳坐病毒排行榜榜

3、首黑电脑变的越来越简单 .FLASH 播放器也不安全黑客可执行任意代码美国网络联盟签约中国石化 .WINDOWS 架构设计存在安全缺陷美将出台新法案网络黑客最高可被判终身监禁 . APACHE2.0 网络服务器出现严重安全漏洞微软曾歇业两月花费上亿美元彻查软件安全 . SUN 网络服务器软件中发现安全漏洞 .黑客紧盯招生网站严防确保录取安全使用 DCOM 盗窃数据 WINDOWS 任何时候都有危险使用 DCOM 盗看 SSL.美航

4、空及宇宙航行局被黑后敏感资料四处传播 .黑客隐身 GIF 影像文件 NETIQ 软件助你防黑 II点击回复即中招邮件加密软件 PGP 出漏洞独立安全研究人员是否应当得到报酬 . 计算机安全产业的新尴尬今年病毒静悄悄江民评上半年十大病毒不死毒王 KLEZ 居冠 . UNIX 通信功能 CDETOOLTALK 再次发现安全漏洞误拔电源插头 FBI 竟黑掉自家网站 . 专家称 IE 的漏洞可能使在线用户信息遭拦截 . 美数据基础设施不安全可能遭遇数字珍珠港 . 赛门铁克

5、将发布自动化的反病毒软件开放源代码已成明显趋势微软牵头抵制 .美国会要求强化对 P2P 网络的打击力度 . 美研究人员开发成功可穿戴式加密技术安全专家病毒虽减少潜在威胁仍随时存在香港一涉嫌篡改劳工处网页的黑客被判刑网络安全拨开迷雾看市场 .指纹代替密码计算机信息防泄漏系统亮相中国 IT 用户普遍对杀毒和防火墙产品不满意 .LINUX 操作系统用户专用反病毒软件将面世 . 美国将帮助 APEC 成员国反电脑犯罪及网

6、络恐怖 . 美国黑客偷走基地组织的域名微软为 WIN2000 缺陷和 SQL 漏洞打补丁 .波兰开始实施电子签名法电子签名具有法律效力 .美国司法部利用电子邮件记录来捉贼质证朗讯贝尔实验室推出全新网络安全软件 .3安全专家软件安全补丁的烦恼病毒锐减计算机安全企业无米下炊 .未来病毒发展 5 大趋势 .广东省网络警察开始接受报警与市民直接对话 SUN 漏洞殃其它系统微软又出紧急安全警告日本防卫厅电脑数据泄漏富士通可能被罚 .新 ID 系统发生个人详

7、细资料泄漏事件 X-ECUTER 芯片进入黑市可改装 XBOX 玩盗版 . 美航空航天局绝密文件被黑客窃取 . 黑客发现 WINDOWS 存在一个无法修补的致命缺陷安全专家联手黑客共觅对付软件漏洞良策 .意大利逮捕 14 名黑客嫌犯最高可判 8 年五名以色列少年被指控编写将死者病毒 .设巨奖考验网络安全电脑黑客计算机黑客越过防火墙破坏网上交易 UNIX 的 XDR 库存在漏洞可能殃及大批应用微软 OFFICEXP 补丁包 15MB 网络版市场做大 .微软的自动下载软

8、件中存在安全缺陷法律技术双保险垃圾邮件从此有证据 . 计算机安全三种病毒同时进攻海口市 75%联网电脑受袭美车辆管理局网站被黑在线购买牌照遭中断 .美司法部重拳出击 P2P 用户面临刑事处罚 4赛迪评测上半年防火墙测试结果发布微软 OFFICE 发现严重安全漏洞 IE 发现 6 个新漏洞微软发布超级大补丁 . 爱情森林突袭 QQ 今年已出现近百种 QQ 病毒 . 日本手机可能成为黑客攻击的又一牺牲品马来西亚信息技术安全大会将举行黑客比赛 .LINUX 安全性和可靠性广受开发人员好评 .传奇游戏遭遇新木马病毒

9、传奇黑眼睛微软公开 272 个应用编程接口 (API)技术信息美国唱片业协会网站再遭黑客攻击 . 微软公布今年第 48 次 WINDOWS 漏洞警告网络公司首席垃圾官是干什么的垃圾邮件泛滥成灾微软公司计划发布 WINDOWSXPSP1 中国工程院院士何德全安全不是绝对的 .江苏加强网络监督成立首家互联网报警中心 .美唱片工业协会网站第三次遭到黑客袭击 .垃圾邮件帮 KLEZ 蠕虫稳坐病毒排行榜首席预警黑客入侵我国攻克信息安全技术难题 .思科虚拟专

10、用网 (VPN)产品发现安全漏洞计算机网络安全网络攻击危险增加美国企业防范仍不充分美国当地时间 7 月 24 日美国商业软件联盟(BSA) 发表了对美国企业安全措施的调查报告报告显示 60%的美国企业在今后一年内极有可能遭受大规模的网络攻击而在这些网络攻击下能够进行自我保护的民间企业只有 18% 虽然人们的网络安全防护意识提高了但防护措施仍然极不完善此次调查是法国 Ipsos 的 IpsosPubLIcAffaIRs 部门以负责企业网络安全的 620 名 IT 专业人员为对象于 2002 年 7 月 8 日 15

11、日以问卷形式进行的美国国内的信息网络错综复杂涉及金融系统输电网络紧急呼叫等所有系统美国最重要的基础设施中有 90%由民间企业承担为了保护对我们的日常生活影响越来越大的信息网络民间企业和公益单位必须携起手来强化网络安全措施 (美国众议院能源及通商委员会主席 BILLyTauzIn) 主要调查结果如下 62%的 IT 专业人士认为自 2001 年 9 月 11 日美国发生恐怖事件以来对美国企业来说受到网络攻击的危险正在增加 68%的 IT 专业人士回答美国企业的网络安全措施无法抵御网络攻击所带来的威胁且这一状况在美计算机网络安全国 9.11 事件之后仍未得

12、到改善 45%的 IT 专业人士指出美国企业并没有实施防止大规模网络攻击的安全措施约有 75%的 IT 专业人士认为美国企业应在预防网络攻击的安全措施上花费比对付千年虫问题更多的时间和资源但有半数的 IT 专业人士回答说美国企业在网络攻击预防措施上投入的资源远不如对付千年虫问题时多 89%的 IT 专业人士确信技术能够开发出必要的在线安全工具但是有效发挥这些工具的前提是所有的企业都须全部引进这些安全工具美唱片工业协会新提案激怒音乐迷网站遭受攻击在一项音乐版权保护提案被提出之后 1 天美国唱片工业协会的网站就遭到了攻

13、击这项议案的目的是使音乐公司对非法的点对点音乐交换进行黑客破坏具有了合法性这一做法激怒了广大的音乐爱好者特别是哪些经常通过点对点交换的方式共享音乐资源的人士提案提出的第二天美国唱片工业协会的网站就遭到了分布式拒绝访问攻击网站在整个周末一直处于瘫痪状态美国一名名叫霍华德 -博尔曼的众议员提出了这计算机网络安全一提案如果该提案获得批准唱片公司就可以通过技术手段对进行点对点音乐文件交换的用户进行攻击比如向其

14、发送一个伪装可交换文件的损坏文件或者欺骗程序当用户打开这些看似交换音乐的文件的时候看到可能是一份已经损坏的文件或者是唱片公司的一段版权声明但是该提案中同时也规定了唱片公司不得在在这些文件中植入具有破坏性和传播行的恶意程序如木马程序和病毒等在遭受攻击后唱片工业协会的发言人称这次攻击不会对该协会保护音乐版权的决心和所采取的措施造成任何影响我国经过国家认证的信息安全产品已达 108种昨天记者从由中国信息安全产品测评认证中心与计算机世界联合在京召开的国家信息

15、安全认证服务电子政务建设研讨会上获悉我国经过国家认证的信息安全产品已达 108 种目前这些产品已汇集在 2001 年度信息安全产品政府采购指南简称指南一书中正式出版发行据了解为配合我国电子政务建设的发展确保政府部门采购信息安全产品的质量中国信息安全产计算机网络安全品测评认证中心将截止到 2002 年 2 月已获认证的产计算机网络安全品和系统的有关情况汇编成 2001 年度信息安全产品政府采购指南出版发行该书作为国内第一本政府及企事业单位采购信息安全产品的指南为我国政府部门采购信息安全产品保证信息系统有效安全运行以及制定信息安全决策中提供了

16、科学公正的依据在这本指南中 1999 年-2001 年期间通过中国信息安全产品测评认证中心认证的国内外 108 个信息安全产品包括防火墙产品入侵检测产品安全审计产品安全操作系统电信智能卡等十一类产品均有详细介绍成为电子政务安全产品采购部门有的放矢的采购指南据悉信息安全产品政府采购指南今后将每年推出最新版本美国大规模打击网络诈骗处理了 19 起诈骗案计算机世界网消息 30 日美国联邦和州执法部门称他们已经对骗取了消费者数百万美元的 19 起网络诈骗案采取了法律行动在家工作骗局拍卖诈骗垃圾电子邮件证券诈

17、骗和其它网络骗局是这次美国全国范围内的打击目标参与这次行动的包括州检察长地方执法机构和联邦政府的一些机构有几起案件已处理完毕处罚范围包括有期徒刑和要求被告停止进行欺骗等计算机网络安全据联邦贸易委员会一位女发言人介绍诈骗犯罪分子多数住在美国中西部但是他们通过垃圾电子邮件或者在 eBay 雅虎以及其它流行的拍卖网站进行诈骗把犯罪的目标指向了全国的消费者例如有一个案例弗罗里达州一个名叫 StuffI 的公司对消费者称他们支付 45 美元的押金之后每天在家里装填信封一个星期就可以挣 2000 美元但这家公司从未寄出装填信封的材料

18、去年这个骗局从数万名消费者那里骗取了 200 多万美元另外拍卖诈骗占所有诈骗案件的一半伊利诺斯州检察长指控芝加哥市一位名叫 TImEngLe 的人在 eBay 网站作商品销售广告他收到钱以后没有付货还有个位密西西比州人也进行同样的诈骗活动以盗窃和开假支票的罪名被判处 12 年监禁联邦贸易委员会中西部业务主任 StevenBakeR 说这次打击活动表明州地方和国家执法部门协调一致的采取行动已经开始取得了效果他说检察官们拥有一个庞大的消费者投诉的全国数据库来跟踪犯罪分子此外还有一个消费者提

19、供的 1500 万封垃圾电子邮件的数据库惠普数字千年版权法打击安全研究人员计算机网络安全计算机世界网消息惠普公司已经发现了可以用来打击披露其软件中安全缺陷的研究人员的新武器数字千年版权法DMCA 在本周一发送的一封信件中惠普公司的一名副总裁警告 SnoSoft 组织称它披露能够使黑客控制 TRu64UnIx 计算机系统的安全缺陷的行为可能使它被处以 500000 美金的罚款并导致其成员被判处最多 5 年的监禁这也是 DMCA 被首次用来打击安全研究人员目前这一法案主要被版权所有者用来打击盗版活动如果惠普公司起诉或说服联邦政府

20、起诉 SnoSoft 就会为打击计算机安全缺陷的研究树立一个先例披露软件中的安全缺陷会涉及到披露如何利用该缺陷的代码而 DMCA 就限制发行旨在破坏版权作品的保护措施的代码 7 月 19 日 SnoSoft 组织的一名成员在著名的 BugtRaq 邮件列表上发布了指向一个能够使 TRu64 系统的用户获取管理员权限的程序的链接地址这引起了惠普公司 UnIx 系统业务部门的副总裁肯特的忿怒他在致 SnoSoft 的信中表示惠普要求 SnoSoft 与惠普公司合作立即删除与此有关的所有信息并采取进一步的措施预防此类事件的再次

21、发生另外他还表示惠普公司保留因这次事件造成的损失起诉计算机网络安全 SnoSoft 及其成员的权利惠普公司的发言人吉姆于当地时间本周二表示惠普公司不会对肯特的信进行评论去年 Adobe 公司就说服司法部以触犯 DMCA 而逮捕了俄罗斯程序员斯科亚罗夫在周二发给 SnoSoft 的邮件中发布该链接地址的 SnoSoft 成员费思德指出他不怕被起诉因为他不是美国人 DMCA 对他没有约束力在安全业界通知厂商后发布说明如何利用所发现的安全缺陷的代码是一种常见现象 SnoSoft 称去年就向惠普公司通报了有关该安全缺陷的资料它

22、应当有足够的时间修复这一安全缺陷电子边境基金会 EFF 的律师罗宾表示由于 DMCA 涉及的范围太广因此预计会有更多的公司利用它来保护自己的权益它甚至能够被企业用来打击披露操作系统中安全缺陷的行为尽管这与版权保护纯属风马牛不相及的二件事儿网站出现首席垃圾官 24 小时在线监控垃圾邮件网站为垃圾邮件付出的代价每年达百万元之巨而且网站已经出现了一个特别职位首席垃圾官 263 总裁黄明生昨天告诉记者这虽然是个戏称计算机网络安全但计算机网络安全垃圾邮件已经严重制约了电子邮件正常的商业运营对收费更是如此不仅是 263 国内几乎所

23、有的邮件运营商都设有此职大的网站有十几个人小的也有五人左右他们都是技术高手主要任务是随时监视服务器中有什么垃圾邮件来犯发现后一是立即屏蔽掉二是查出发件方与之交涉不许再发 263 人士告诉记者网站每年为这些人愿意花费上百万元的费用(每人十几万元) 一位被称为首席垃圾官的技术人员说他们要保证 24 小时在线解决用户投诉邮件和国际反垃圾邮件组织联系不断查阅被列入垃圾邮件名单中的地址他说自己的同行都是二十出头的年轻人还有的由职业黑客转行而来今年 2 月美国欧洲一些反垃圾邮件组织称中国已成为全球垃圾邮件的主要发送地据最新一次 CNNIC(中国

24、互联网络信息中心 )调查结果显示网民平均每周收到 6.5 封电子邮件不包括垃圾邮件收到垃圾邮件 6.9 封这说明网民每周收到的垃圾邮件比非垃圾邮件还要多控制 IE 是否为默认微软推 Windows 升级包 3微软向重要用户发布 Windows2000 第三个服务计算机网络安全包但一般用户将必须等到 8 月 1 日才能得到 Windows2000 服务包 3 是自盖茨要求在给产品增加新功能前必须考虑安全之后发布的首个升级包 Windows 产品经理 JImCuLLInan

25、称 ServicePack3 包含以前发布的所有安全修补程序还附加了新开发的安全修补程序该升级包新增一个中间件控制功能以履行微软与司法部和 9 个州达成的反托拉斯解决方案 CuLLInan 称这个中间件控制功能与 WindowsXP 的服务包 1 有少许不同个人电脑制造商或 Windows2000 的用户能够利用该控制功能调整他们默认的中间件程序如可控制微软的 IE OutLookExpress WindowsMedIaPLayeR 是否为默认程序据悉 Windows2000 升级

26、包大小约 125MB 对拨号上网的用户而言如此大的下载量可能构成一些困难安全专家即时安全警报软件 Bug 应及时公布 HuRwItzGRoup 最近在一份题为谁有义务对安全bug 负责的研究报告中宣布了新发现这份报告是以对超过 300 位软件安全专家进行采访为基础的报告第一次把主题放在了真正调查 IT 专家应该对维护计算机网络安全他们的环境的安全负责的影响计算机网络安全这个结果与来自记者和权威人士传统观点发生了直接的碰撞他们认为在新的弱点被公布前应该有一

27、个宽限的时期大约是 30 天而研究显示终端用户不仅要求信息被发表而且要求它及时被发表在被调查的人中有超过三分之二的人表示弱点应该在一星期内被公开有 39%的认为他们应该一发现就公布调查结果的自然性使得 HuRwItzGRoup 想要继续探究到底他们发送了一封电子邮件以要求进一步的观察回答十分明显并且使我们得出了这样的结论用户感觉他们被排除在了争论之外并且恨意在不断的增长甚至有某种报复性在某种情况下他们中的许多人由于因为安全原因而很不情愿的被要求独自替换软

28、件而感到无能为力在对抗暴光的斗争中没有人获得胜利销售商应该为试图添加责任条款但在公布弱点时没有遵守该条款以至改变了协议的性质而付主要责任顾问们试图用这种暴露作为某种区分者或者至少是试图得到一些好评然后扩展资源哪怕几乎得不到但是诚然还是有好处任何好处大部分被遗忘的终端用户只是希望保护他们软件的安全但是并不愿意因为这个就决定购买新的事实上他们不合理的要求及时的补丁能跟着及时的暴光一计算机网络安全起出来整个争论陷入了僵持阶段直到销售商能支持或是反驳像那样的由

29、国家标准和技术协会 NIST 的发现他们指出 bug 的补丁比安全的发展和质量的保证的花费要大得多幸运的是一些有用的解决方法现在已经出现在市场上 CenzIc 制作了一个测试软件它能自动运行安全质量保证测试以及系统地鉴别安全问题 CenzIc 的解决方案对商业发展者和终端用户组织不要忘了终端用户有他们自己稳定的在安全发展方面存在类似问题的程序师等来说非常有价值对于网络发展来说来自 SPID ynamIcs,Sanctum,KavaDo 和 Foundstone 的网络应用扫描软件寻找出网络的安全 bug 而来自 Sa

30、nctum,KavaDo 和 StRatum8 的防火墙则提供了一个面对攻击的预防措施最后 Okena 和 HaRRIs 的应用控制方案将在主机客户断或服务器端上运行并且可以保护他们不受来自任何应用软件的攻击信息安全的关键是核心技术独立计算机世界网消息据中新社报道中国信息化网络化快速发展的同时信息与网络的安全也面临严重挑战黑客入侵计算机病毒感染各种形式的网计算机网络安全络犯罪重要情报泄露以及西方国家利用互联网大肆进行意识形态和文化渗透等使中国的信息安全面临严峻形势而且还会危及到政治

31、军事经济和文化等各方面的安全与此同时有一批具有远见卓识的学者在关注着国家的信息安全并在为国家的信息安全进行着卓有成效的研究和推动工作中国现代国际关系研究所信息与社会发展研究室主任俞晓秋和他的同事就是这样一批人俞晓秋认为现代信息革命对国际关系国家安全社会和经济发展起到十分巨大的影响特别是现代信息革命的展开给现代社会带来空前的脆弱性和威胁性中国必须尽快加强信息安全保障要让全社会都来关注这个问题学者和媒体一定要携起手才行俞晓秋特别

32、强调中国不仅有其他国家普遍存在的网络信息安全问题还严重缺乏网络技术的自主性在核心技术上一直依赖国外企业这才是最危险的相较于美国中国在信息安全领域还只是刚刚起步不论是技术法律法规和管理都存在很多问题俞晓秋的同事张欣对这个问题亦深有感触他说中国对信息安全的管理太过分散没有一个有实计算机网络安全权有效率的专管部门各职能部门在信息安全管理上没有明确分工同时现有的管理模式难以适应网络化时空和信息化环境另外中国的信息安全法制建设滞后现有的法规多属于一些部门管理条例法制建设远远落后

33、于信息安全的现实要求张欣还举出详细的数据显示出中国在自主研制信息技术和安全产品上投入严重不足针对这样的中国信息安全现状主要从事国外信息安全研究的唐岚认为美国在这方面给予中国不少启示唐岚是研究室中占少数的女性她对中国的信息安全建设提出了三点建议一应当制定一个保障信息安全的国家战略信息安全是一个需要整个国家参与的综合集成系统是一项社会性的综合工程它要求国家从战略的高度对其规划和管理进行科学强有力地干预和导向二政府应加强与企业在信息安全产业上

34、的合作一方面使政府能制定出更加适合企业现状的信息安全产业政策另一方面则能使企业开发和研制具有更强的针对性和现实性三加强国民信息安全意识教育这是改变中国信息安全状况的根本问题计算机网络安全最后俞晓秋介绍说近来社会上关注信息安全问题的专家学者越来越多相关问题也逐渐讨论深入但是较为系统全面的理论论述目前仍很缺乏而信息与社会发展研究室一直致力于这一问题的研究并长期与日本进行学术交流于近日完成了一部论文集信息革命与国际关系其中汇集了中国

35、和日本部分专家的研究成果希望能弥补国内这一领域的空白调查显示病毒攻击事件数量出现下降趋势美国一家名为 CentRaLCommand 的反病毒公司发布报告说该公司对因特网上的病毒攻击事件的跟踪调查表明 7 月份所发生的病毒攻击事件同 6 月份相比有所降低在此之前病毒攻击事件的数量一直逐月递增的出现下降还是第一次 CentRaLCommand 公司的产品经理史帝文-桑德米尔说在 7 月份我们最终看到我们们所跟踪调查的(病毒攻击)的数量较头一个月有轻微的下降分析家们认为这一下降是用户和公司对它们的计算机

36、和 IT 系统采取了更加负责的态度的结果但是 CentRaLCommand 公司对此表示怀疑桑德米尔说这有可能是由于人们对恶意代码的警觉性有所提高也可能是因为在 7 月份很多人都在休假没有打计算机网络安全开计算机的缘故但是无论如何我们希望这个下降的趋势能够保持下去该公司在发布报告时还称虽然病毒攻击有所减少但是病毒数量还是在一直持续增加目前求职信病毒仍然还是干扰率最高的病毒 KLez 病毒连续四个月稳坐病毒排行榜榜首计算机世界网消息反病毒厂商 MessageLabs 发布的报告显示 7 月份 KLez 病毒及其变种再次成

37、为互联网上最常见的病毒这也是该类病毒连续第四个月蝉联这一荣誉 MessageLabs 公司称病毒的感染率为每 256 封电子邮件中有 1 封电子邮件携带有病毒在僵尸病毒和爱虫病毒传播的高峰期每 30 封电子邮件中就有 1 封携带有病毒 7 月份 MessageLabs 公司截获了 462333 封携带有 KLez-H 病毒的电子邮件 MessageLabs 公司 7 月份截获的携带病毒的电子邮件数量由 6 月份的 788000减少为 475000 MessageLabs 公司截获了 111562 封携带 Yaha-E 病毒的电子邮件排在第三位的

38、是 SIRCam 病毒数量为 17427 KLez 是一种能够发送大量的电子邮件的蠕虫型病毒它搜索 Windows 的地址簿获得电子邮件地址计算机网络安全并向所有找到的电子邮件地址发送电子邮件它还能够改变电子邮件中的发件人栏这也是这种病毒难以被彻底清除的原因之一其邮件的主题和附件文件的名称能够随机变化使用户更难发现它它利用了 OutLook 和 OutLookExpress 中的一个安全缺陷即如果打开或预览电子邮件病毒就会执行黑电脑变的越来越简单计算机世界网消息日前在美国拉斯维加斯举行的一个黑客论坛大会上与会

39、专家一致认为当前的电脑攻击越来越频繁而且黑客的攻击行为越来越简易手段越来越高明有专家称试图实施电脑攻击的恶意分子只需要一台世嘉(Sega)游戏机或者是一部掌上电脑甚至一张 CD 碟片就可以闯进办公室内利用他们手中操控的远程终端就可以实施 phonehome 的攻击行动 FTC 要求微软提高 Passport 安全性增加隐私保护计算机世界网消息美国联邦贸易委员会 FTC8 月 8 日表示与微软达成一份协议协议内容涉及微软通过其 PassportInternetService 系

40、统所收集的用户个人信息的隐私权和安全性问题 FTC 经过长达一年的调查后认为微软的 Passport 服务在保存用户敏感资料收集用户个人信计算机网络安全息方面并未如达到微软先前所说的隐私要求 FTC 的委员 TImothyJ.MuRIs 表示我们认为微软在关于 Passport 的安全 Passport 所存储的信息用 PassportWallet 进行在线购买的安全性以及使用 KIdsPassport 在网上进行信息收集方面有较大的误导作为 FTC 要求微软停止该服务的误导信息采用并维护信息安全程序并在未来的 20

41、年里每隔两年微软的安全程序都必须获得一独立第三方的认证这个协议代表了政府在管理信息技术方面迈出了重要一步 MuRIs 表示许诺保护个人信息安全的公司必须言出必行并需要采取合理且必要的措施来实践自己的承诺在微软发布的声明中微软表示在整个调查中微软是全力配合 FTC 的调查包括解决一些法律和技术方面的复杂新问题为履行我们肩负的更严格的安全义务我们将对过去的行为负责并在未来全力提供更高水准的服务 FTC 的有关调查是由一家 2001 年购买了微软通行证服务的私人团体的投诉引发的该团体抱怨微软没有充分地

42、告诉消费者当消费者访问微软的网路计算机网络安全资源时他们是如何被微软方面跟踪的计算机网络安全不过 FTC 表示并未发现实质性的违反安全规定的行为但存在这方面隐患 FTC 指出微软的误导性行为包括宣称自己已采取合理和适当的措施来维护和保证消费者的个人资料不受侵犯和为用户保密并称微软在收集一些用户的信息方面前并未让用户知道此外 FTC 还指出微软在控制父母浏览参与其子女通行证系统的信息网站方面也存在误导行为这些网站的信息可能来自浏览者的子女简单等于安全计算机世界网消息计算机安全问题专

43、家 Cryptog Raphy 研究公司总裁 PauLKocheR 周四在 UsenIx 安全研讨会上说越简单的代码就是越安全的功能强大的计算机系统增加了代码复杂性同时也带来网络安全的降低微软公司 Windows 操作系统为利用高速处理器的卓越性能设计了无数的先进功能与此同时也使操作系统成为一个庞然大物其中隐藏着安全专家都不可能全部发现的错误由于这个原因程序员和公司必须认识到简单的重要性越来越快的处理器速度诱惑开发人员编写更高效率的程序这使得像 Windows 或 Linux 这样的操作计算机网络安全系统的代码

44、行也快速增加每次程序代码行数量加倍相应的安全问题则增加 4 倍 KocheR 说没有多少人是计算机安全问题的行家这使得了解决这种问题变得更为困难此外许多计算机设备和用户都是在网络环境下使用计算机完成金融交易等重要的社会活动这使得这些社会活动对计算机的依赖性日益增强而这种依赖性使得安全问题的状况变得更糟 KocheR 建议公司可以采取下列措施帮助提高软件安全性保持小型的开发队伍保持适中度的应用程序模块尽量避免去搭建一个庞然大物在开发阶段就投下本钱发现和修复软件的安全故障 FLash 播放器

45、也不安全黑客可执行任意代码当地时间 8 月 9 日 eEye 数字安全公司在一份发表的安全公告中称在互联网浏览器软件中被广泛使用的 MacRomedIaShockwaveFLash 文件格式中的一个安全漏洞能够使攻击者有机会在受影响的系统上执行他们的代码 MacRomedIa 公司在发表的安全公告中称这一安计算机网络安全全缺陷只陷于通过二进制代码编辑器用手工方式生成的 ShockwaveFLash 文件意味着 FLash 应用程序生成的文件中不含有安全缺陷这一安全缺陷是非常严重的因为它影响了互联网浏览器而浏览器的流量能够自

46、由地通过防火墙软件 eEye 公司称这一安全缺陷严重的另外一个原因是它不但影响 IE 而且影响在 Windows 和 UnIx 上运行的 NetscapeNavIgator 浏览器这一安全缺陷的根源在于 ShockwaveFLash 格式文件的数据头部中存在的一个问题黑客能够向文件解码器提供比预期的数据更多的数据并最终能够导致代码的执行由于这一安全缺陷是基于浏览器的因此无论是利用浏览器在观看互联网网页上电子邮件中还是新闻组中的 ShockwaveFLash 文件用户都可能受到攻击 MacRomedIa 公司已经发布了新版 FLash 播放器解决了该安全漏洞用户可以从该公司的网站上下载最新版 FLash 播放器防毒软件三足鼎立欲进中国先过三关国内软件业方兴未艾防毒软件便是其中之一除国外软件商外国内防毒软件市场基本上是三雄鼎

展开阅读全文