前言:中文期刊網精心挑選了云安全防護的基本措施范文供你參考和學習,希望我們的參考范文能激發你的文章創作靈感,歡迎閱讀。
云安全防護的基本措施范文1
終端因為其儲存著大量敏感數據,因而成為黑客和病毒制造者的攻擊目標。因為每個病毒碼被部署到1000臺終端至少需4小時,而終端直接面對企業的內部員工,且難以管理,所以導致終端成為企業網絡中最脆弱的一環。雖然利用云安全技術,對病毒的響應時間縮短了九成。但是,我們仍然十分有必要重新對終端安全的價值進行判斷和思考。
思考
網關安全能否代替終端安全?
如果說云安全的不斷升溫顯示了信息安全領域正在技術上謀求變革,那么這背后所隱含的意義事實上更加引人關注。
在之前的很長一段時間里,網關安全都是一種受到推崇的防護模式。由于在網關處部署防御體系可以過濾大部分通信內容,所以有大量的組織都將安全保護的重心集中于網關位置。
然而事實結果證明,過分依賴于網關防護而忽視了對組織內部計算機節點的保護,導致的結果仍舊是較低的安全性。云安全所帶來的對技術和功能的改進令人欣喜,而其對終端安全乃至于對整個安全體系的補強,讓人看到了從核心層面變革安全防護的可能。
傳統安全體系的終端安全困局
在一些典型的安全案例中,組織雖然部署了防火墻、入侵檢測和VPN等安全保護措施,但是這些措施似乎只能防止外部威脅進入內部網絡,而對于信息存放失當、員工誤操作等內部安全管理問題卻束手無策。
很多調查報告都顯示,全球范圍內的企業員工在工作時間更容易進行具有安全風險的計算機操作,諸如訪問可能存在威脅的網站、打開來源未知的電子郵件附件等等。可能是企業缺乏足夠嚴格和有效的安全管理制度,也可能是員工對非私有財產的保護意識不足,總之人們在上班狀態下似乎沒有對網絡安全問題給予正確的認識和足夠的重視。
美國《Network World》報道,當前的網絡訪問控制解決方案往往只評估終端的初始狀態,一旦一個終端節點獲得安全系統的訪問許可,那么之后的操作將很少受到嚴格的監控,這也體現出當前終端保護體系缺乏動態反應能力的現狀。
正如趨勢科技全球高級副總裁暨大中華區總經理張偉欽所指出的,如果安全威脅的入侵原因及位置缺乏足夠的能見度,那么信息技術部門就無法確定正確的解決辦法,也無法真正提供有效和及時的安全響應服務。除了識別安全威脅存在誤區之外,傳統的安全管理體系也缺乏能夠有效對安全威脅進行預警和修補的工具。
賽門鐵克中國區技術支持部首席解決方案顧問林育民則表示,在發生安全事件的時候,信息技術部門往往需要耗費大量的時間去定位威脅源頭、識別威脅種類,進而制訂出處理方案并實施。從時間上來看,這往往都要滯后于威脅的傳播,經常是所有終端都已經受到波及之后信息技術部門才開始真正的處理工作。
云安全如何助力終端安全
事實上,在歷數云安全技術的諸多特點時會發現,很多云安全特性都能夠為提升終端安全提供幫助。在安全組件嘗試發現終端以及內部網絡中的安全威脅時,云安全體系可以提供更加及時有效的威脅識別能力。而利用云安全體系強大的關聯分析能力,也可以更好地發現安全威脅和定位威脅位置。
在新一代的云安全技術當中,領先的廠商都在嘗試植入一種新的特征碼管理機制,從而實現檢測引擎和特征碼的分離。通過云安全體系提供的通信方式,特征碼的存放和比對都可以放在云端進行,而將大量的特征碼更新到網絡中的每一臺終端將不再是保證安全性的必要條件。
在新一代的云安全網絡當中,大量的安全威脅檢測功能將從終端遷移至云端,而客戶端系統將只完成掃描等基本的安全功能。在實時防護過程中,客戶端不斷地與云服務器進行協作,從而減輕客戶端的負擔,即讓終端用戶在盡量少地受到干擾的情況下,實現更好的安全防護。
以趨勢科技提出的云安全2.0為例,其多協議關聯分析技術可以在近百種常見協議中進行智能分析,從而追蹤到真正的受攻擊位置,為管理員解決安全問題提供真正的支持。一個真正成熟的云安全體系,安全威脅發現和響應覆蓋了從網絡層到應用層的各個層次,而防護陣線也貫穿了云端、網關、終端等多個不同的位置和區域。
云安全2.0的到來,勢必會加速云安全在體系架構主流化進程上的速度。用戶應該從現在就開始認真地思考自己組織的計算機終端是否已經獲得了足夠的保護,云安全體系帶來的高管理效率和高ROI無疑會引起用戶的高度關注。
分析
遞增的網絡威脅與信息安全的出路
從供需角度來說,云安全技術的出現,無疑是為了對抗層出不窮的新安全威脅而產生的一種必然結果。根據測算,2008年全球每小時出現大約800種新的安全威脅,在2009年,每小時出現的新安全威脅數量已經達到1500種。按照這種發展速度,在最多不超過5年的時間里,每小時的新安全威脅產生量就將突破10000種。
高速的安全威脅增長態勢已經成為整個安全世界的大背景,傳統的依靠人工分析惡意軟件特征的安全響應體系,已經完全無法滿足現在的安全防護需要。在這種前提下,擁有共享全球安全威脅信息優點的云安全網絡,就成為了信息安全領域的一個重要出路。
云安全的正確認知
單從各個廠商的宣傳資料來看,也許安全專家也難以給云安全下一個準確的定義。事實上,從技術角度定義云安全并不困難,但是實際映射到產品和運營層面,就可謂是“橫看成嶺側成峰,遠近高低各不同”了。這一方面體現出云安全是一個非常復雜的系統,另外也說明不同的安全廠商對云安全存在著定位和投入上的不同。
有很多用戶將云安全理解為一種完全嶄新的安全模式,也有用戶將云安全理解為對傳統安全體系的升級。實際上這兩種理解都有可取之處,云安全更近似于云計算技術在安全領域的特定應用,而其創新之處則更多地來自于用戶和運營等層面。
云安全體系可以令安全廠商更準確地了解全球安全威脅的變化態勢,同時也有助于廠商發現新的安全威脅。無論是國外廠商還是國內廠商,真正在云安全領域有所投入的廠商,其采集威脅的速度和數量都呈現出幾何級數增長的態勢。趨勢科技自有的云服務器數量就達到數萬臺,而金山也在總部的辦公樓開辟了一層專門用于放置云安全系統,這些在云安全領域投入重金的廠商掌握的病毒樣本數量早已達到千萬級。
更重要的是,擁有了海量的安全威脅數據之后,廠商就可以根據安全威脅情況動態地變更其云防護體系的工作狀態。類似趨勢科技的安全爆發防御體系,它就需要足夠數量的監測點和統計數據作為支撐,也可以視為云安全最早的應用嘗試之一。
從核心模式上來說,當前的云安全應用主要側重于阻斷用戶訪問已經被辨識的安全威脅和可能存在風險的安全威脅,這主要源于云安全體系可以大幅度加快廠商對安全威脅的響應速度。這其中比較容易引起誤解的一點是,云安全是否能夠更好地應對未知安全威脅呢?從本質上來講,云安全的主要改進在于能夠更好地、更快地響應已知安全威脅。不過在一些特定條件下,云安全也可以對未知安全威脅防護提供幫助。
假設一個剛剛被放入互聯網的惡意軟件感染了第一臺計算機,這個惡意軟件對于這臺計算機是一個未知的安全威脅;如果該計算機將這個感染行為以及這個程序提交給了云安全網絡,那么相比傳統模式而言,其他使用該安全云服務的計算機就有更大的機會避免被該程序感染。也就是說,云安全體系更多地是避免一個未知安全威脅所帶來的破壞,讓廠商和用戶能更快地發現新出現的安全威脅,而與未知威脅檢測技術無關。
云安全的選擇及路徑
當“云安全”作為一個名詞吸引了公眾的注意之后,所有的安全廠商都陸續宣布了對云安全的支持,這一幕看起來與UTM剛剛問世時何其相似。如何正確看待云安全的效果,如何選擇真正支持云安全的產品,這些問題需要選購安全產品的用戶認真對待。
就目前的情況來看,選擇一線廠商的產品所獲得的保障無疑要更強一些,而這并非只是源于品牌和信譽。對一個云安全體系來說,其投入規模和所擁有的用戶數量,相當于云的大小和密度,也決定了云的工作質量。
第一代云安全技術:海量采集應對海量威脅
最開始被集成到安全產品中的云安全技術,主要集中于將從終端客戶處收集到的信息返回到安全云端,同時將分析后的結果返回給終端客戶。這種作法的好處在于能夠利用云安全體系的巨大運算處理能力和共享的安全威脅信息,為終端用戶提供更及時、更有效的安全保護服務。在傳統的安全防護模式下,安全廠商通常依賴人工方式采集安全威脅信息。
由于高速互聯網連接的普及,一個新出現的安全威脅完全有能力在數個小時甚至不到一個小時之內在全球網絡內實現傳播,而舊有的安全響應體系已經漏洞百出。在應用了云安全體系之后,廠商可以將威脅的采集工作更多地轉移到終端用戶的計算機上,根據其訪問行為和受感染情況來更準確地獲知安全威脅的產生和蔓延情況。
對于一些明顯可能造成破壞的安全操作,云安全系統會自主將其標示為安全威脅,這樣在其它計算機執行相同或相似的操作時,就會獲得來自云端的警告,從而以接近實時的速度獲得對安全威脅的免疫。事實上,在一個運行良好的云安全體系當中,從一個新威脅被識別到被標識,所耗費的時間極短,甚至要少于終端計算機更新病毒特征碼以及完成特征碼加載的時間,這為安全產品提高響應速度提供了很好的技術基礎。
第二代云安全技術:更加全面徹底的云安全
事實上,第一代的云安全技術表現在產品功能上,更多的是以信息采集為主,真正能夠產生效果的安全功能寥寥無幾。在第二代的云安全技術應用上,一個顯著的特征就是安全功能對云安全體系更充分、更廣泛的利用。目前已有多家主流的安全廠商都推出了具有云安全2.0技術特征的產品。以最先倡導云安全技術的趨勢科技來說,其最新版本的產品線都集成了被稱之為文件信譽的安全技術。
顧名思義,與在云端檢測Web地址安全性的Web信譽技術一樣,文件信譽技術旨在通過云安全體系判斷位于客戶端的文件是否包含惡意威脅。在傳統的特征碼識別技術中,通常是將文件內容不同部分的Hash值與所檢測文件的Hash值進行比較,從而判別文件是否受到感染。
與傳統的將特征碼放置在客戶端的方式不同,基于云安全體系的文件信譽技術,支持將特征等檢測所用的信息放置在云端(比如全球性的云安全網絡或局域網中的云安全服務器)。這樣做的顯見好處是,解決了從更新文件,到客戶端部署了更新這段時間間隔里,防護系統無法識別最新安全威脅的問題。
通過連接到云端服務器,終端計算機始終能獲得最新的防護。如果說第一代云安全技術提高了發現安全威脅的速度,那么第二代云安全技術則讓安全防護功能得以用接近實時的速度檢測和識別最新的安全威脅。
下一代云安全技術:靈動的云
相信用不了多久,幾乎所有的安全功能都將順暢地接入云端,從而實現云級別的安全防護。解決了安全威脅響應速度這一核心問題之后,對安全防護的質量提升將是云安全的下一命題。
由于云安全體系所擁有的龐大的資源配給,用戶無疑會對其能夠在多大程度上替代人工分析和操作,抱有極大的興趣。事實上,這也是能否從本質上提升安全產品保護能力的一個重要指標。
另一方面,終端用戶應期待可以通過自己的產品界面,對安全云進行更多的操作和管理。以往對于客戶端防護產品的定制能力將轉移到云端,用戶可以決定哪些安全功能需要連入云端,而哪些功能必須使用本地的防護引擎。在3.0乃至4.0的云安全技術體系中,用戶將獲得更大限度的自由,安全保護的新時代也將隨之展開。
模擬真實環境 破解云安全謎團
為了更好地模擬管理中心、服務器客戶端、工作站客戶端等常見的安全對象,在本次評測過程中我們啟用了五臺計算機,其中一臺用作管理服務器,其它計算機作為終端計算機。
在網絡環境方面,我們使用一臺TP-Link的TL-R 860路由器作為連接設備,所有測試用計算機都以百兆以太網形式接入該設備。同時在該設備上還接入了2Mbps的網通寬帶,用以提供互聯網連接。在測試過程中,我們對產品的測試實現完全分離,也即完整地測試完一個產品之后,再測試另一個產品,以避免測試過程中相互干擾。
本次測評參測產品4款,包括趨勢科技OfficeScan10.0、熊貓AdminSecure Business。令我們感覺有些遺憾的是,由于另外兩家參測廠商即將新的產品版本,所以在本次評測中隱去其真實廠商及產品名稱。在這里,我們將在總體上對其進行適當的點評,以讓讀者了解這些產品最新的發展狀況。文中以X和Y表示用來表示隱去其真實廠商的產品名稱。
在性能表現方面,產品安裝后的系統資源占用情況以及產品的運行速度都是關注的重點。通過比較安裝前后的磁盤空間占用情況,我們可以了解產品對硬盤的消耗。同時針對管理服務器、客戶端的處理器和內存資源使用情況,測試工程師也給出了相應的評價。檢測引擎的速度一直是評估安全產品性能的保留項目,本次評測過程中通過對一個包含4GB文件的系統內分區進行掃描來完成該項測試。為了判斷產品的檢測引擎是否支持文件指紋機制,該項測試共進行兩次,每次測試之間計算機會重新啟動以令時間記錄更加精確。
惡意軟件檢測
我們選用了100個采集自實際應用環境的惡意程序樣本。其中覆蓋了蠕蟲、木馬程序、腳本病毒、廣告軟件和黑客工具等多個常見的惡意軟件類別。另外,在測試樣本中也包含了一些未被驗證的、可能包含安全威脅的程序,用以驗證參測產品在檢測未知威脅方面的能力。在該項測試過程中,所有產品的檢測引擎的識別能力和識別范圍均開啟為最高,所有有助于提高檢測效果的選項也均被啟用。
防火墻測試
防火墻作為另一個核心的安全防護模塊,也設定了多個專門的測試項目。基于GRC網站提供的在線檢測工具Shields UP!,我們能夠了解一臺計算機的網絡端口在外網看起來是處于什么狀態。該檢測分析計算機的前1056個端口,并且提供計算機是否響應Ping請求的附加測試結果。另外,我們通過一組工具來測試在終端計算機上利用各種方法建立外向連接時,防火墻組件的反應行為是否正確。下面提供了這些測試工具的工作機制等相關描述。
• LeakTest:該工具在被測計算機上建立外向連接,如果防火墻組件發現了建立連接的行為,視為能夠識別基本的外向連接活動。
• FireHole:該工具調用系統中的缺省瀏覽器傳送數據到遠程主機,在計算機上建立具有攔截功能的DLL,從而偽裝瀏覽器進程進行數據發送。
• PCFlank:與FireHole工具類似,該工具檢驗一個防火墻信任的程序在調用另一個程序時,在工作方式上利用了Windows的OLE自動化機制。
• ZAbypass:該工具使用直接數據交換(DDE,Data Direct Exchange)技術,以借助系統中的IE瀏覽器訪問互聯網服務器上的數據。
• Jumper:該工具會生成一個DLL文件,將其掛接到Explorer.exe之后關閉和重啟該程序,從而執行該DLL。這項測試同時考察防火墻組件的防DLL注入能力以及對注冊表關鍵位置的保護能力。
• Ghost:通過修改瀏覽器進程的PID來欺騙防火墻組件,從而通過系統缺省瀏覽器向互聯網發送信息,主要用于測試防火墻是否能夠實現進程級別的監控。
云安全測試
針對當下最熱門的云安全技術,在本次評測中也專設了多個測試項目。首先我們的工程師會驗證參測產品是否支持云安全網絡,以及支持哪些云端安全功能。例如,通過訪問包含有惡意代碼的網站來判別參測產品是否支持云端Web威脅識別。另外,我們會嘗試使用產品的云端功能檢測前面所準備的100個惡意軟件樣本,比較其檢測率和處理能力相較使用傳統掃描引擎是否有所提高,從而驗證云安全機制對于產品效能的提高發揮的作用。管理
機制測試
管理能力是企業級安全產品的重中之重,通過對參測產品的終端管理、終端部署、權限管理、配置管理等諸多方面的能力進行考察和評估,我們可以獲得產品管理機制是否健壯有效的第一手證據。
與此同時,產品客戶端所具備的特性,特別是管理端對于客戶端的授權和控制,也是網絡版安全產品需要重點關注的問題。
易用性測試
在易用性方面,我們遵循軟件業內常見的一些評估方式,進行體現物理操作負擔的肌肉事件測試,針對界面設計的屏幕利用率測試以及體現操作流程的記憶負擔測試等諸多測試項目。
結合針對界面元素排布、界面指引等方面的分析,最終形成對軟件易用性的綜合性評價。在易用性的測試過程中,主要面向參測產品的控管中心模塊,對于部署于服務器和工作站上的終端軟件不進行評估。
評測總結
在本次評測中,通過對比應用云安全的產品和傳統形式的產品,我們發現云安全類型的產品帶給客戶端的負擔更小。趨勢科技已經近乎徹底地實現了產品的云安全化,無論從基礎架構還是從核心功能上看,云安全技術都在充分地發揮作用。而熊貓的云安全應用,則更多地停留在后臺輔助服務方面,用戶從前端功能還無法明確了解云安全的具體應用狀態。相對地,X和Y在云安全應用領域也取得了相當的成果,并且擁有相當規模的云安全網絡支持,對其安全威脅的發現和采集提供了相當的幫助。
通過評測,我們也發現目前的主流企業級安全產品并沒有走向完全趨同的發展道路。基于不同的市場理解和不同的客戶取向,不同廠商在構造自己的產品時,都體現出鮮明的功能和設計特點。
云安全防護的基本措施范文2
“在網站上注冊時,我有個習慣。要求填寫姓名時,注冊Sina的用戶我就填張新浪,注冊Yahoo我就叫張雅虎,注冊Baidu我就寫張百度,注冊Mop我就用張貓撲,注冊Google我就改叫張谷歌。今天接到個電話,問:是張建設小姐嗎?我一聽就知道,這回是銀行把我的個人資料泄露了……”如今,愈演愈烈的個人信息泄露事件,已經讓張小姐的這個“小竅門”廣為流傳,不少網民正在利用這類方法發現個人信息泄露的源頭。
伴隨網上金融交易和網上購物等互聯網應用的興起,個人的重要信息變成了網絡中流動的數據,非法收集、利用、公開個人信息的機會之門也由此大開。近年來,信息和網絡的迅速發展,使個人信息保護越來越受到網民的關注與重視。隨著信息泄露案件的頻繁出現,個人信息的保護已成為各國關注的重要問題。然而,作為一個網民人口大國,中國網民個人信息保護現狀卻令人憂慮。
2011年12月21日,開發者社區CSDN遭黑客攻擊,600萬用戶賬號及明文密碼泄露,用戶資料被大量傳播。幾天之后,烏云漏洞平臺又爆出天涯社區遭黑客攻擊,導致4000萬用戶資料被泄露的消息。此后,京東商城、當當網、支付寶等多家網站紛紛陷入“漏洞門”, 被指因網站安全漏洞而存在數據泄露的風險……2011年底,中國互聯網遭遇的史上最大規模的用戶信息泄露事件,直接導致了網民對主流網站的信任危機。由此可見,中國互聯網產業的發展已經走到了不得不關注、重視個人信息保護的時代。
個人信息安全保護的中國進程
有關個人信息保護的原則,最重要的是國際經合組織在1980年頒布的《關于保護隱私和個人數據跨國流通指導原則》中有關個人信息保護的八項原則,許多國家都以此為據制定了本國的個人信息保護法。這些原則包括:收集限制原則、數據質量原則、列明目的原則、使用限制原則、安全保護原則、公開原則、個人參與原則和責任原則。個人信息的保護原則,體現了對人的尊重和對個人信息的規范管理。它的目的實際是在保護個人信息的同時,讓個人信息能真正實現自身價值,更好地為公眾服務。
互聯網行業是一個時刻需要創新和變化的行業。曾有部分企業認為:強調對個人信息的保護,會制約互聯網行業的創新精神,阻礙行業的發展。這說明,一些互聯網企業對個人信息安全保護的理解,還存在誤區。專家指出,對個人信息的保護并不是為了限制個人信息的流動,而是對個人信息的流動進行正規的管理和規范,以保證符合讓信息主體同意的目的,保持信息的正確、有效和安全,最終確保個人信息能夠在合理、合法的狀態下流動。
到目前為止,國際上已經有50多個國家和組織建立了個人信息保護的相關法規和標準,如歐盟理事會《有關個人數據自動化處理的個人保護協定》、國際經合組織《關于保護隱私和個人數據跨國流通指導原則》、歐盟《1995年個人數據保護指南》、《瑞典個人數據法》、歐盟《2002年隱私和電子通信指令》、《美國隱私權法》、《加拿大個人數據保護法》、英國《數據保護法》、美國《電子通信隱私法》、美國《互聯網保護個人隱私的政策》、日本《個人信息保護法》等。
與一些發達國家相比,我國在信息安全保護意識與規范制定方面存在一些弱項。特別是個人信息保護意識不足的問題,還曾經直接導致國際市場在選擇外包企業時對中國企業的不信任,嚴重影響了我國軟件及信息服務外包業務的發展。
2008年,個人信息保護被納入工業和信息化部重點工作范疇。2009年,為了消除國際影響,提升國內企業在國際軟件與信息服務外包業務中的競爭力,我國成立了首個個人信息保護管理委員會并建立了個人信息保護的評價制度。工業和信息化部信息安全協調司副司長歐陽武告訴記者,這套評價制度啟用效果非常明顯,它不僅得到了境外相關機構的認可,也為國內企業承接境外業務提供了基本保障。此后,這套評價體系的建立,也確實為個人信息安全保護工作的開展起到了旗幟性的作用。
2011年初,為了全面推動我國信息服務產業個人信息保護體系的建立,在信息安全標準委員會的指導下,由中國軟件評測中心牽頭制定了國家標準《信息安全技術公共及商用服務信息系統個人信息保護指南》(以下簡稱《指南》)、全國信息安全標準化技術委員會2011年國家標準編制計劃(編號:TC260-BZZXD-WG7-2011018)。在“指南”的基礎上,信息系統個人信息保護標準體系中其他技術、管理和行業標準也已進入計劃制定階段。
《指南》制定完成后,伴隨一些第三方評測平臺的努力,如今標準落實工作已出現實質性進展。2011年5月,受工業和信息化部信息安全協調司委托,中國軟件評測中心力邀個人信息保護相關專家,組成評測專家組,并根據《指南》內容,研究制定了2011年互聯網網站個人信息保護政策測評方案和測評指標。歷經六個月,專家組對電子商務、論壇博客、銀行、保險、婚戀、招聘、游戲七類共105家網站進行了個人信息保護政策測評,正式將《指南》通過科學的個人信息安全相關評級機制落實。同時,針對移動互聯網帶來的個人信息泄露問題,中國軟件評測中心還與北京大學互聯網安全技術實驗室合作,選取了安卓手機各類熱門軟件對其個人信息安全狀況進行了測試評估。
而相關評測報告顯示,個人信息安全防護的主戰場,正在伴隨移動設備和Wi-Fi網絡的普及不斷蔓延擴大,個人信息安全防護各項工作的開展已刻不容緩。
個人信息保衛戰出現第二戰場
十年前,地鐵里最常見的人群是手拿報紙的上班族。但是今天,手握手機的上網族成了主流。搜索、游戲、閱讀、音樂、互動社區,手機支付、手機電視……層出不窮的移動互聯網應用在吸引大量用戶的同時,也把個人信息安全保衛戰推向了更廣闊的戰場。
2012年1月,中國互聯網信息中心(CNNIC)了《第29次中國互聯網絡發展情況統計報告》。該報告顯示,截至2011年12月底,手機網民數量超過3.5億。艾瑞咨詢預計,中國手機應用商店2012年和2013年的用戶規模將有望分別達1.82億、2.75億。手機應用軟件商店正在成為各大IT巨頭發力的焦點。
但是,在移動互聯網應用發展勢頭一片大好的背后,卻暗藏著個人信息泄露的巨大風險。美國標槍戰略研究公司(Javelin Strategy & Research)近期公布的的一份報告顯示,2011年美國有近1200萬人淪為身份盜竊的犧牲品,較2010年增長了13%。主要原因正是智能手機和社交媒體使用的增加。日本的KDDI研究所在調查了400種智能手機熱門免費應用軟件后發現,約6%的軟件會將電話號碼、終端ID、位置信息及使用軟件一覽表在用戶不知情的情況下向外部發送。據國外媒體報道,安全廠商Dasient對1萬款安卓應用進行了研究,發現逾8%的應用會向沒有獲得授權的計算機傳輸用戶的個人資料。
360安全中心日前的《2011年中國手機安全狀況報告》指出,2011年全年新增手機惡意軟件及木馬8714個,被感染智能手機用戶數超過2753萬人次。其中,安卓手機操作系統成為安全問題最為嚴重的平臺。根據360手機云安全中心統計,2011年是Android平臺惡意軟件及木馬的“井噴年”,相較2010年全年共發現12個木馬樣本相比,今年捕獲新增安卓木馬樣本4722個,被感染手機用戶數超過498萬人次。從2011年8月起,安卓平臺每月新增木馬數量開始連續4個月超過塞班平臺,在新增安全威脅的增速與增量上全面居首。
2011年10月到2012年3月,中國軟件評測中心與北京大學互聯網安全技術實驗室針對Android手機軟件的個人信息安全評測結果顯示,基于安卓平臺的應用存在嚴重的信息泄露風險。這次評測在中國移動應用商城、中國聯通沃商店、中國電信天翼空間、機鋒網等應用商店中隨機選擇了幾百個測試樣本,測試指標選取的原則為信息泄露造成危害程度、用戶對信息的敏感性、利益相關方對個人信息的關注點。結果顯示:IMEI號碼泄露問題最為嚴重,其次為手機號碼泄露,再次為地理位置和SIM卡序列號泄露。而在優億市場、寶軟網、安卓在線、數熊游戲軟件等手機軟件電子市場采樣測試的結果則顯示“數熊游戲軟件”泄露手機號碼情況較為嚴重。
這些數據顯示,移動互聯網已經變成了安全攻防的第二個主戰場。面對移動互聯網的發展和Wi-Fi普及帶來的個人信息泄露風險,360總裁齊向東認為只有通過在移動終端上安裝安全軟件,才能實現有效的防御。在他看來,互聯網應用的高速發展正在顯示一種趨勢――未來人們勢必會將更多的個人信息、隱私信息放在互聯網中,保護個人信息安全會變成互聯網的頭等大事。但當前人們對移動設備安全防護的認識還遠遠不足,比如安卓這類開源操作系統平臺在安全性方面要遠比Windows系統薄弱,基于這類平臺開發的應用在安全機制方面的考慮也遠遠不夠,這些問題會造成安全風險,很多用戶對此還沒有清醒的認識。和傳統的終端相比,移動終端安全防護產品在個人信息安全防護的戰場上所起到的作用將更為突出。如何構建多維防線
歐陽武指出,只有把個人信息保護納入法制化的軌道,才能實現對個人信息的最好保護。在他看來,只有通過法律,才能明確組織和個人在處理信息過程中的責任,建立個人信息的監管體制,明確侵害他人隱私的責任和行政處罰制度。其次,由行業組織依據行業信息保護規則,在照顧行業發展特點的同時,制定出行業信息保護規范,通過行業自律的方式進一步完善事后承接機制,約束行業濫用信息也是非常關鍵的工作。此外,由于目前個人信息保護的國家標準還沒有正式出臺,企業的個人信息保護政策的落實的相關措施還沒有相應的監督機制,對企業的個人信息保護能力還無法做到客觀的評價,廣大網絡用戶對相關的措施和安全管理工作還缺乏認知,實現個人信息保護也需要做大量的細致工作,所以目前根據標準的內容制定測評指標體系,建立第三方測評評估機制非常重要。第三方測評不僅能為行業自律提供可借鑒的標準,還能對提高全社會的個人信息保護意識起到推動作用。