【51CTO.com 專家特稿】信息安全方面值得關注的熱點較為散亂，云計算是這兩年IT業界的新熱點，然而云計算的先行者Google卻在本周爆出了其產品Google Docs泄漏用戶文檔和敏感數據的丑聞。沉寂一段時間的網絡犯罪領域再次升溫，按服務形式提供的網絡攻擊和惡意軟件開始抬頭，數家安全廠商也報告稱Google、Yahoo等搜索服務成為網絡犯罪組織手中的新利器。安全管理方面，安全行業對制定一個可行的安全性度量標準的呼聲漸高。在本期回顧的最后，筆者仍為朋友們帶來一篇值得一讀的推薦閱讀文章。

本周（090309至090315）安全要聞回顧　　

本周的信息安全威脅等級為低。盡管本周又是微軟推出安全更新的時間段，但目前安全行業沒有發現互聯網上有針對微軟已修補漏洞發起的大規模攻擊活動，用戶只需及時從微軟網站下載并應用補丁即可。　　

云計算安全：Google Docs泄漏用戶敏感文檔；關注指數：高　　

云計算是近兩年來IT業界的新熱點，隨著Google Docs和SaleForce等一批先行者的成功，眾多的軟件廠商和互聯網服務商都紛紛進軍這個領域，然而本周Google Docs爆出泄漏用戶文檔和敏感數據的丑聞，無疑為云計算領域的創業者和經營者敲響了警鐘。

問題出現在Google Docs對用戶對文檔權限和協作共享設置的處理上，如果用戶曾經對文件設置過共享，那么用戶的其他文件可能會被其他登錄Google Docs系統的用戶訪問或修改。Google在Google Docs的支持論壇上獲知此漏洞的存在后，迅速對受影響的用戶文檔采取移除共享用戶和權限的操作——這對相當多的正常用戶產生了一些操作上的影響。

Google事后在Google Docs官方博客上稱，此次Google Docs服務出現問題，受影響的用戶只占Google Docs服務總用戶不到0.5%的比例，另外此次Google Docs的問題只會影響文本文檔和PPT文件，而表格文件不受影響。Google在處理這次問題上雖然動作也算是夠快，但仍然會對Google Docs的安全性產生負面影響，也再次提醒了其他服務提供商和用戶，數據安全和服務可用性仍是云計算主要面臨的問題。

筆者認為，盡管采用云計算類的解決方案可以有效的降低用戶花費在采購軟硬件上的開銷，同時也可以實現只要有網絡數據就能隨人走這個理想狀態，但現在的云計算服務，感覺更適合預算有限的小企業和個人用戶，對數據安全和可用性要求比較高的政府部門和企業用戶來說，建議還是應當謹慎選擇云計算服務，盡量不要將帶有敏感數據的文檔或其他資料存放到云計算平臺上進行處理，如果是對成本比較敏感，用戶可以考慮選擇成熟而且更為安全的開源軟件產品。　　

網絡犯罪：服務形式的網絡犯罪開始抬頭；搜索引擎成為網絡犯罪組織的新幫兇；關注指數：高　　

項目外包是企業在進行IT項目時最為常見的實施方式，企業可以借助將項目外包有效的節省人力物力成本和時間——不幸的是，網絡犯罪集團也開始借鑒和使用這一有效的實施方式。

本周在悉尼舉行的一個銀行業會議上，安全專家就向與會者描述了網絡犯罪這樣的趨勢：由于網絡犯罪已經形成完整的地下產業鏈，網絡犯罪組織也開始將惡意軟件編寫、配置和服務器設置等一系列更為專業的操作外包給專業的惡意軟件作者和黑客。根據會議上舉例的一個來自網絡犯罪軟件作者的郵件顯示，惡意軟件作者向網絡犯罪組織提供了托管的惡意軟件制作和服務器維護服務，只需要支付400美元，一個只有基本計算機技能的用戶就能獲得一個能夠盜取用戶銀行賬戶的最基本攻擊套裝，并得到惡意軟件作者為期一年的不間斷支持。

顯然將這一趨勢將在2009年有所加強，由于我國在今年2月底通過了刑法修正案（七）第285條的修訂版，將提供惡意軟件和控制他人計算機納入犯罪的認定，以及近段時間有關部門進一步加大對網絡犯罪的打擊力度，國內網絡犯罪組織和惡意軟件編寫者會加快將“業務”轉移到國外的進程，同時來自國外網絡犯罪組織的攻擊也有可能進一步增多，建議國內用戶應提高警惕。　　

在上期的回顧中筆者曾給大家介紹過惡意軟件借助Google Trends進行擴散的新聞，這方面消息在本周有了進一步的深入：安全行業在近一段時間的研究和分析中發現，惡意軟件借助Google Trends擴散的背后，隱藏著Yahoo、Google等知名搜索引擎正成為網絡犯罪組織攻擊的新幫兇這一趨勢。

Symantec的研究人員在3月10號稱，網絡犯罪組織利用付費的Yahoo搜索廣告功能，欺騙用戶下載一個名為“AntiVirus & Security”的假冒反病毒產品，用戶如果不慎運行了這個程序，將有可能丟失用戶賬戶等敏感信息。另外一個安全廠商McAfee也在同一天稱，網絡犯罪組織利用Google對Democrats.org網站較高的Page Ranking，提升他們的惡意軟件和惡意網站鏈接在搜索結果中的排名順序，以增大感染警惕性較低的用戶的可能性。

安全行業對搜索引擎越來越不安全這個趨勢也并非不作為，多個廠商都推出了能夠為用戶提供站點安全性建議的瀏覽器插件，內置的網頁內容和腳本掃描引擎也成為大多數反病毒軟件及防火墻的標準配置，但是安全技術和產品總歸只能起到一個輔助和預防的作用，安全的使用搜索引擎和培養安全的網站瀏覽習慣，才是防御通過搜索引擎擴散的惡意軟件的最好辦法。

安全管理：安全度量標準呼聲漸高；關注指數：中　　

在3月13日波士頓舉行的SOURCE會議上，前美國國土安全部網絡組的組長向與會者發表了一個主題為信息安全的演講，期間他呼吁安全行業應盡快制定一個安全度量標準，以供各行業的用戶能對自己的信息安全現狀有更清晰的了解。這是一個相當有意思的話題，盡管目前安全行業和政府等其他部門已經制定了許多不同類型的安全標準，但接觸過信息安全領域或實施過相關項目的朋友可能會問這樣一個問題：我知道我的企業/機構進行過什么樣的信息安全項目，但是我怎么知道在項目實施之后我的企業/機構的安全程度如何？

沒錯，這是個很難回答的問題，在實踐中我們可以說我們的用戶實施過什么樣的信息安全標準，如ISO27001、等級保護條例等，或者是在這樣的標準下我們的用戶已經能夠滿足多少個條例，然而現在確實沒有一個得到廣泛承認的安全度量標準，來衡量一個企業/機構的信息安全到底達到什么樣的水平，到底是及格，還是良好或者優秀？

因為每一個用戶都有自己與其他用戶十分不同的IT設施、安全策略和IT管理水平，要在這種情況下去衡量每一個用戶的信息安全水平，并確定一個有可比性的數據，顯然是一個幾乎不可能完成的任務。筆者覺得，從短期來看，因為行業和個體的差異性過于明顯，要制定一個普適性較好的安全度量標準仍不現實，不同行業的用戶建議還是多關注本行業的信息安全標準的實施，或應用通用性更好的ISO27001、PCI等標準。　　

推薦閱讀：

2007年愛沙尼亞網絡戰的背后

2007年中因為選舉等政治問題，愛沙尼亞國內曾發生過民眾騷亂等事件，并出現大規模的網絡拒絕服務攻擊，導致該國眾多的公眾和政治網站無法正常運作。這個事件的背后真相如何？有興趣的朋友可以看看最近公開的對此事件進行深度分析的文章《2007年愛沙尼亞網絡戰的背后》

文章的地址如下：

http://www.rferl.org/Content/Behind_The_Estonia_Cyberattacks/1505613.html

【51CTO.COM 獨家特稿，轉載請注明出處及作者！】