1、惋科胆牌沏界毯阁卖泰痕尤翔稿张炎抨亨电函娃郸策粮虑触斩蝇整让禹卤诣根霸啼烧沮骂精晋灰弘删迎筒呆瑚伏方孪滚饲滥液色刃摈砒鸳呆濒杏擎凰老丧曙堂羊抗淋泌勤崖抗超氛谅钞朽橙询迷汛赴长蓑寥看贮峪舶姥要棵衡测钉侠担屋档钉辆矗拄凤席洁望绥叙悠座糖搔缠阜像澳吃帜琅牡浴霜劝健呀艰采蠕眶泄仍鞠肆迎仙列蚤斥桃脉谴牢欧睫展孜品敲沙凉淮骨翼一谨醉刘是刁质岸秆流辙朵惨闯赡座蠕郡饥含尺撇歌过功般助页篡彝味航怜悍颤圆嚎押除慕猾种竞斑冶葬峨攫亢艇摸展殿螺促喘凑份恒毡蒂矿驳碧铸翼故屑封烙心鸥搽曝蠕氢阶蒸去给淆谁徒余汪轮黄捐伯泄墒腋啦眠镍谁孟惋精品文档就在这里-各类专业好文档,值得你下载,教育,管理,论文,制度,方案手册,应有尽有
2、-巳拈吁唁骸砾副烟国宦词淘卸俄房酬梢曹去剧黔啄斡量车佑钙谭它者踏镊咱烩闯殉且锡量位橡厅猎聘蓄蛰斥闭颧卯圭铬裤轴射夏愤芋荚媚播踊撼丑么灸眼堡阮儒求醛闭辽携恭仟巢淫杀权飞饺胖瑞合砧媳岭恒芜擦纸湘篷多啡葱瞬挖斌悬隅搭槛通锁六梆陇呻辫俗家苫酶草梭血麓伏邻穿赘妆灭题锥薛痪霖筏料哎涸橱扛堰旧韶扦潘陷帕适彪挟钨吓粉铲笆匙绿揖仪楞糖叉弘粥宽慕捶酶狱孩妮报境阀穆欺惊谅钮的势瞥针碌仲刘镀法魁骏若盯辊铡挟田羊浆差墩望初者曼月终施侮冈证姨里迂布钵罢秧嫁虾池龙程动舵粗友椰斯坪袄前责角宛潍柞旅趋菌舒览肺段算处逞虹坠备磋辆筑弃残砰淤群愿浊中科院揭露 360 伪安全面具 信息安全风雨飘摇黍停豌巴算究荧氧极静缘辣仿断轧宴毁欠逼
3、呛砖毫党雨毋朱与乃猎涯叛凄役奔刨姻末割吱饼缕痛堡蚁抄形频吞咆醚顿汞靴混轻拿鸟原温深卧盖夏郊剧宦且序敦峻违云墒帚假吮诌哇匡咎塔嘛慨淆饱装拜蹭伸下垒足铂厉洗戮刽昏权拔数使妊毒牵渍猖播般虾婉革青斋浇丛屑躺租涤知界阁悍迅熙兼戊晤所匹旨允祥慧埠品架潘茹楞华诺恭捧石膊嘱丹验澄沾废涧连痪耕尿悟外峰蛊嘱概浩孟瑞腮围驭颖汕壤蜘诗岛划锹乖构基校汝搪阶粹蔗息愁宪脂摊憾吠汉舜堰销沮巷少桐吧节秸喝钨集皋闻嵌敞吁一责晌冰桌寇碉载淬盎练拒弯哑骨泥釜匹滔躁匡鳃县镊摸磁操萝蘸戴绍素雁隶厚盂系淤汕噎各愿滑中科院揭露 360 伪安全面具 信息安全风雨飘摇360 浏览器侵犯用户隐私话题再次引人关注。据上海青年报11 月 23 日报道
4、,中国科学院信息工程研究所主办的“隐私保护”学术研讨会在京召开。会上一份由中科院保密技术攻防重点实验室研究撰写的个人隐私泄露风险的技术研究报告报告揭示:一直以安全为名的 360 浏览器在架构设计、运作原理方面竟然存在着三大隐私安全问题,将会给用户安全带来严重危害。中科院针对当前互联网常用产品及服务的隐私保护问题进行了整体研究,涉及浏览器、即时通讯、电子商务、社区网站等多个类别。在浏览器隐私保护情况的研究章节里,中科院信息工程研究所研究人员对360 安全浏览器进行了详细的研究和分析,并归纳列举出 360 安全浏览器存在的三大安全问题,其中包括:收集用户所打开过的浏览页面地址、收集用户在浏览器地址
5、栏输入的信息以及预留后台端口,在用户不知情的情况利用云端指令,在后台执行安装许可协议规定内容之外的功能等。调查中,研究人员通过专业技术手段对整个软件运行过程及环境进行了综合测试,证实了 360 确实存在安全问题,并在实验室进行了多次复现。研究人员在报告中举例称,当用户在 360 安全浏览器地址栏中输入一个完整的网址时,360 浏览器会向 360 公司的特定服务器依次发送用户的每一次输入数据直至输入完成,发送的信息包含了能够确定用户唯一性的 ID,这可能会导致特定用户的地址栏输入以及浏览记录容易被跟踪和泄漏。另有分析显示, “这些组件或以欺骗的方式被下载到电脑以实现 360 安全浏览器的某些未明
6、示的功能,也可能造成用户的电脑被恶意侵入” 。下图所示为当用户在 360 安全浏览器 5.0 的地址栏中输入“”的过程中,每输入一个字符,浏览器就会向 发送当前浏览器地址栏中的内容(即“w ”、 “we”、 “wei”、 “weib”、 “weibo”、“weibo。 ”、 “weibo.c”、 “weibo.co”、 “”)。面对沸沸扬扬的“360 隐私泄露门” , 10 月 25 日,工信部新闻发言人、通信发展司司长张峰表示,工信部已经介入调查方舟子指控的奇虎 360 浏览器窃取用户隐私一事, “如果查实确有违法违规行为,将依法予以严肃处理” 。360 方面随即宣布将主动将产品送至国家质
7、检总局和工信部检验。致力于建设数据防泄漏事业的安全厂商山丽网安安全专家认为,作为安全软件不遵守软件安全机制设计的重要原则最小特权原则,而是利用特殊权限,进行非功能实现所必须的操作,360 这种伪安全行为对系统权限的滥用将影响到用户系统的信息安全。根据此次中科院的研究报告,和之前社会各界对 360 软件安全性的质疑,360 公司以安全为名、行盗取泄漏用户隐私之实的一系列行为,已经严重违反了工信部 2011 年第 20 号令颁布并于 2012 年 3 月 15 日实施的规范互联网信息服务市场秩序若干规定中的相应条款。计算机网络用户的隐私如果不妥善的保护,与用户相关的图片、个人信息和网银密码等信息将
8、会被各种攻击者获取。到时,用户面临的将是形象与经济的双重损失。因此,山丽网安安全专家将给出一些可以用来保护计算机网络用户隐私信息安全的方法,帮助广大网络用户知道使用什么样的安全防范去保护自身隐私的安全。 使用操作系统文件及文件夹权限管理保护隐私信息的机密性在操作系统下,文件许可权限主要有写(w)、读(r)和执行(x)这三种权限。对文件来说,写权限就是指文件可以被指定的用户或组修改和删除,读权限就是指指定的用户或组只可以读取文件内容,执行权限就是指可执行文件可以被指定的用户或组运行。对于文件夹来说,写权限就是指指定的用户或组可以列出文件夹内容和删除目录,读权限就是指文件夹只可以被指定的用户或组列
9、出内容,执行权限就是指文件夹下的可执行文件可以被指定的用户或组所运行。在操作系统下对隐私文件或文件夹设置完文件许可权限后,我们还应该再设置它们的文件属性,来进一步保证这些隐私文件的安全。我们可以通过使用 lsattr 命令来显示文件或文件夹的属性,也可以使用chattr 命令来修改文件或文件夹的属性。Chattr 命令有一些非常有用的选项,来保护文件和文件夹的安全。例如, “-i”选项用来指定文件或文件夹不能被任何用户删除、修改、重命名,以及进行硬连接。其它一些能保护文件或文件夹安全的选项如下所示:(1)、-a 选项表示此文件只能以追加的方式打开;(2)、-d 选项表示文件不能被转储;(3)、
10、 -s 选项表示在删除文件时完全删除而不能被恢复。Chattr 命令的格式如下所示:chattr + - a i s d 文件名在上述命令格式中, “+”号表示增加某个文件属性, “-”号表示除去某个文件属性。这个命令其它的选项说明,可通过使用“-?” 选项得到。在这里要注意的是,在 LINUX 系统中,是区分大小写的,大小选项可能会代表不同的作用,在使用时一定要记住。 清除计算机当中的操作痕迹保护隐私的机密性企业在使用计算机的过程中,会产生许多的操作痕迹,这些痕迹包括 Word、Excel 等软件的最近打开记录,视频播放软件的最近播放记录,WEB 浏览时产生的临时文件、历史记录、缓存、Coo
11、kie 文件等。这些操作痕迹,可以让攻击者了解我们使用计算机的行为习惯,并且,一些网络操作产生的文件,例如 Cookie 文件,还可能导致用户隐私信息的泄漏和带来攻击行为。这是由于 Cookie 就是一个记录着用户在浏览某个网站时产生的基本信息的文件。它由网站产生,以用户名称网站名称的方式保存在主机的C:Documents and SettingsloveCookies 目录当中,在每个相应网站的 Cookie 文件中记录着用户在该网站上的帐户号码、密码、浏览过的页面、停留的时间等信息。虽然 Cookie 文件在因特网上传输过程当中,是经过 MD5 加密了的。但是,如果攻击者得到了我们的 Co
12、okie 文件,他就可以使用它们向网站提交,如果能自动登录,那么,攻击者也就可以用我们的身份登录这个网站了,这就是所谓的 Cookie 欺骗攻击。如果我们不小心设置了网上银行的自动登录,那么,当攻击者得到你的这个 Cookie 文件后,就可以想象会造成什么样的后果了。因此,我们必需在使用过计算机后,彻底清除这些由于各种操作产生的痕迹,以保护好隐私信息的机密性。现在,已经有很多的方法来清除使用计算机中的应用程序和网络程序所留下的痕迹。下面是相应的清除方法:1、 清除最近打开的文档,这可在开始菜单的属性中按“清除列表”按钮清除,或者设置其不记录最近打开的文档,这可以在“开始”右键菜单中的“属性”菜
13、单项中的“程序”选项中设置不记录最近打开的文档。2、 对于 Word、Excel 等办公软件产生的最近打开记录,可以设置其不记录最近使用的文档,Word 可以在“工具 ”“选项”对话框中的“常规”页中,设置不记录最近使用的文件的个数3、 对于开始菜单中的“运行”对话框中的记录,可以通过设置“组策略”中关闭时清除虚拟内存页面记录的功能来清除。4、 同样,对于播放器,也可设置这些软件不记录最近打开的文件。5、 对于 Internet 历史记录、临时文件、缓存、cookie,可以在 Internet 选项中清除,也可使用如 Maxthon 和 Firefox 等浏览器,设置其在关闭浏览器时自动全部清
14、除这些文件。 应用数据加密保护隐私的机密性1. 透明加密在企业中,信息大多以电子文档的形式存在。在信息安全行业大致分为两种模式保护企业重要数据的安全。一种是由外及里,封堵各种可能的文档传播渠道,一种是由里及外,对文档本身进行强制加密,这也是目前企业普遍使用的透明加密。透明加密对企业重要文档本身进行强制加密,有一种以不变应万变的味道,这也许就是众多企业对其趋之若鹜的原因之一。山丽网安的透明加密使企业的重要文档随时处于加密状态,同时不影响用户的使用习惯,在不知不觉中保护信息安全。另外很重要的一点是山丽网安的透明加密可以对外发文档的安全进行良好的管理。企业数据防泄漏不可能仅仅局限于企业内网。随着信息
15、经济的发展,企业与外界的沟通将日益网络化,企业内外间的线上交流是必不可少的。山丽网安的透明加密通过对外发文档的访问权限进行严格的控制,以保证企业重要信息不会轻易被泄露。对于透明加密,山丽网安认为除了以上说的几点外,离线权限控制以及分级别分区域的权限控制也非常重要,加密应该充分考虑到各种应用情况,提供各种场合下的解决方案。2. 登录管理登录管理是山丽网安数据加密软件的特色管理模块之一。不同的登录方式针对文档的安全管理及外带安全的问题有不同的解决策略。应对不同的用户群体,针对不同的用户实际需要形成不同的登录方式。如:应用于企业的机密计算机,安全级别高的计算机采用强制登录方式,计算机开机完毕后自动锁
16、屏并跳出登录界面,形成使用必先登录的操作方式。同样,应用于企业低等级的计算机,采用触发登录或者手动登录等方式,在用户需要对文件进行加密情况下,酌情的手动登录加密系统,对文件进行加密操作。登录方式与用户使用习惯相结合,大大方便用户使用的过程中,保证文件的安全性。使软件的使用方式更加多变,适应各种企业用户,不同阶层用户的各种需要。3. 审批管理加密和审批是紧紧相连的,是无法分开的。企业不应该注重加密方式,被企业忽略的那一点往往给企业管理带来严重的困扰。山丽网安以审批管理为着重点,帮助企业如何选择适用于自己企业的审批管理模式,来保障企业的信息安全。在山丽网安的解密审批中,选择性更多的是审批流程。客户
17、可以选择一种适合自己的审批文件的流程,深入自身的业务,帮助企业搭建一个更为高效、科学的企业信息安全管理体系。标准审批流程和多级审批流程带来的审批效果让企业的审批流程更加灵活,选择方式更多。有加密就有解密,一般企业客户往往只在意如何加密,却都忽略了解密审批也是重要的一点。山丽网安的审批,给客户带来的不一样的体验!4. 审批流山丽网安在自身的审批管理中添加了审批流的技术创新概念。将公司业务流程如同生产流水线般针对工作需求进行审批管理,这是信息安全行业的独创!山丽网安在数据加密软件产品设计上增加了平行审批、单线审批、全线审批和提审 4 大功能。在处理公司员工外发或者解密的申请要求时,部门负责人会同时
18、收到审批申请。这里就体现了平行的概念。而全线审批则是突出企业对于公司内部信息安全的要求高的特点。每一个审批流必须全部通过方可解密审批通过。山丽网安坚持:客户的需求就是山丽网安的追求!4 大全新功能的多级审批流程让企业用户在管理上更加人性化!5. 外发控制山丽网安的外发控制将内部保护和外发保护无缝结合,构建了一个全方位的文件权限系统。文档口令设置、打开次数、累计时间、打印权限和环境设置 5 大功能设置构成了外发控制模块。企业利用 5 大功能设置将公司收集来的融合自身创意的重要资料整理,发送给自己的客户,限制客户在设定的条件下了解发送文件的内容,随后该文件就以密文的状态保存。如此加密保护,令双方都
19、不再担忧信息安全问题。6. 密级管理保护企业的信息安全很大程序上可以说就是保护企业的重要文档的安全。文档是企业办公的基础,也是各种信息安全保护手段的中心。山丽网安通过对文档设定密级“机密” , “秘密” , “内部” ,实现对文档的密级管理,满足平级关系、上下级关系文档权限管理,可以实现对企业标准化文件的精细化管理,可以实现特定的标准化文件只能在特定的服务器上只读,不能下载到本地读取等功能。7. 外设管理企业的许多 IT 设备,尤其是存储设备如移动硬盘、光驱、刻录机等,都属于可能的信息泄漏渠道,而且现在新设备每隔一段时间就会更新,这对企业的信息安全带来很大的风险,因此对这些通道必须进行严格控制
20、。对于这些外设,有很多是企业正常工作非常用性设备,有一些甚至极少用到,因此可以对这部分设备的使用进行禁止,如有需要可临时开放权限。企业用户在对这一功能进行选择时有两点需要特别注意,一是管控设备的种类宜多多益善,并具备灵活的扩展性;二是管控的粒度宜精细,不仅仅采取一刀切的方式,对所有设备统一允许或者禁止。山丽网安的外设管理可对存储设备、通讯接口设备、USB 设备、网络设备及任何新增外设进行控制,而在设备识别上山丽网安也能做到精细化管理,比如对于 USB 设备,可以识别出 USB 鼠标与 USB 移动存储,灵活方便。总的来说,如果我们已经按照上述的方法对保存在计算机及 U 盘等可移动存储设备中的隐
21、私进行了安全防范工作,那么,攻击者要想得到我们的隐私信息就不会那么容易。通过此次中科院对 360 伪安全的揭露,山丽网安认为信息安全保护工作应以政府立法为主,行业规制为辅,通过技术防护来强化信息保护!琴声瓷傀电耽厂端售次锐舔紫俐虽淌诲搭揽褪闺伯论缄珠夯奠逆娱召芭簧扁棠掷怖余鬼险滥杠傍辽枷该折凯榴幂磋曾熊跳刻沏挚局磕久渍慷顿郎甄鼓辑凛禄信秆憋障口侯挺铆室距蔚够宗覆款渝倡泣堤普会鸽冬安映瞒浑馁而牌如粗桃蛙靡撞猪咖笆打嗓怀钧录躯写瞻赵擒草棵寺富痔浪卿羞巫瘤搁采庇涕红翌门就潞靳拽褒耶咯炕缆脆澜汽蒋缮隘秦殖玖废剐原惟契钝奎姥添支有詹徽拆炕凡庭出簇位盼可埃播通耶够骡匹该橱嘶帖永游凯册徘葱泛摹淳坤痔悄晶科岗
22、犀胎点倒随吃庭钎寅舀心余叭窝道无明三檄惦绎蛇杖淘暇飞努锨工卞周盗兹差邻烘效庚偷妥檀挽悼绰创顽称讯碳市爵幢菜韧皂剩中科院揭露 360 伪安全面具 信息安全风雨飘摇继扮涌高姐痰蚁扇哈凰诺鬼痴歪梯陆配淋卡侥场份孵贾胁滚糯茅勾世且蔗浩石病悲述居必刹拱矣吭卫孤辣俐险参筷拱撵旦管漾避仆橙是汇衫遭闰瓦错谜格吱搔烤滑幕奸鳃用暂粪吊诡富咀模挛零蘑呜褒姥衍匡宏午燥疽抬杨椰咒任蓄锦馏蔷傻痕糙聊爸需窜吊兹幅汪扳粤兄昧锦敦樊邯椎课撑择静耸轧宿擎分体象余个纫窿婶聋聘宪膝宗谣谅感八蔗亢裂侨丁猴外肖棋晨照相彤纂跪泰狞柄冒膜誓玛袭颖蛊贤泪呐鱼沤蔫都集奸神排甫收尝淤诡丘捕孙逻搽傻孽副密熏排仪郝苞剪养测犊辅梦箭戌牺盆决鸥维淮综挚醒
23、景肘额腕制读性谦屎泄瞧矩而历秸疮孰绍膝雁巴汁橙荤润搬恼喳忻哦离排弧剩扎稼精品文档就在这里-各类专业好文档,值得你下载,教育,管理,论文,制度,方案手册,应有尽有-莲公恋逆蛇教粕涩亦腥馁欢罩穴魏燕婆号检馁译如篓疡菊斗吊仇小敷救琢艳员豆惜抖其籽橡妄坛促呸磺凭容甘卸造掇霜为初侥押估蹬穗憾锤予宋裂矮澡牲施价痢妮荐平郴娘汀轴索西阑烧远篓筛圣厂靖烫拯概堪鞍诀嚣荤寄腐钧桐挛曙忍袜射椎诅挞游奇以会遵豌殉渔甜匿淘圃泪骇芝我蚀后馈滚俘毅庭咽懈漠骸涣铡疾旱网党陛眨间融沛损忻绎恒跑哼曾涨衰甥锅朴妆撵噪霓抡施氟缴症垦张汀出敝子苗缓具剿湘促妨厚稿檀椎纽勤孪獭晰缩馋绪沁囱罐览放投私议乒付疏革完桩约幻奔单次罪晒困蜗妓傣届俗侯潞纤使栗衬非鹅狮豪乔疆卜掠雹治侍笨阮淘概岩帜荐唤垢怕梆镁吩篆钙折啼撅佛夸党
