信息安全技术相关的五个误解与谎言
2015-05-03 12:02
316 查看
来自:http://qing.blog.sina.com.cn/1891235985/70b9f891330038ps.html
by Lenx Wei, http://lenx.100871.net
2013.3
1. 软件爆出了漏洞,打上补丁以后就安全了。
真相:软件爆出一次漏洞,往往意味着会持续爆出漏洞。其频度和软件安全质量强相关。
建议:尽量选择安全声誉好的软件。对于非必用的联网软件,如果被爆出漏洞,请停用一段时间。(比如目前浏览器上的Java插件。
2. 数据加密了,就不怕泄漏了。
真相:加密算法并不能保证数据的隐私性,构建在其上的加密协议和具体实现都至关重要。无论是MD5/SHA、DES/AES、还是RSA等非对称加密,都被发现在不正确的使用下,可以非常迅速的获得明文。
建议:注意保护自己隐私信息,非必须尽量不要暴露给联网软件(无论是安全软件还是云存储软件),特别是他们宣称“用了加密,于是安全”。
3. 物理隔离的内部/专用网络,不会有安全问题。
真相:攻击者在受害者完全不知情的条件下通过受害者的U盘实施“摆渡”攻击等众多手段,都能对物理隔离的内网实施有效攻击。实际发生的案例如stuxnet(震网)蠕虫对伊朗核设施的攻击。越大规模的内部网络,越容易出此类问题。传统的专用网络(比如老的电力控制网)由于缺乏安全防护,一旦被攻击,其后果更加严重。
建议:对于大范围的内部/专用网络,安全要求和措施应等同联网环境。
4. 嵌入式设备软硬件一体化,不会有安全问题。
真相:近年来,无论是HP打印机、家庭宽带路由器,还是cisco/juniper等专用路由器,都被发现了有严重安全问题,可以被攻击者远程控制。特别是家庭宽带路由器,每次发现问题的设备都以数十万计,攻击者控制了它们以后,就获得了受害家庭的网络控制权。
建议:嵌入式设备的安全公告也要关注,及时更新。选择设备时,注意安全声誉。
5. 个人信息不值钱,泄漏就泄漏吧。
真相:在互联网上,犯罪分子可以大规模的搜集和筛选受害人的信息,对于信息掌握较为全面的受害人,他们可以进行各种实体攻击。其中又以有明显弱点(孩子、老人、女性)或有钱的人为首选目标。著名的案例是,某学校的学生家庭信息泄漏,攻击者骚扰学生使其无法接听电话后,利用对受害者信息的熟悉,冒充老师获取家长信任,对家长进行诈骗。类似的事情也发生在诈骗老人上。而你的身份证信息和信用卡信息更是可以直接用于消费和欺诈。
建议:自己注意,让家人知晓此类诈骗。
by Lenx Wei, http://lenx.100871.net
2013.3
1. 软件爆出了漏洞,打上补丁以后就安全了。
真相:软件爆出一次漏洞,往往意味着会持续爆出漏洞。其频度和软件安全质量强相关。
建议:尽量选择安全声誉好的软件。对于非必用的联网软件,如果被爆出漏洞,请停用一段时间。(比如目前浏览器上的Java插件。
2. 数据加密了,就不怕泄漏了。
真相:加密算法并不能保证数据的隐私性,构建在其上的加密协议和具体实现都至关重要。无论是MD5/SHA、DES/AES、还是RSA等非对称加密,都被发现在不正确的使用下,可以非常迅速的获得明文。
建议:注意保护自己隐私信息,非必须尽量不要暴露给联网软件(无论是安全软件还是云存储软件),特别是他们宣称“用了加密,于是安全”。
3. 物理隔离的内部/专用网络,不会有安全问题。
真相:攻击者在受害者完全不知情的条件下通过受害者的U盘实施“摆渡”攻击等众多手段,都能对物理隔离的内网实施有效攻击。实际发生的案例如stuxnet(震网)蠕虫对伊朗核设施的攻击。越大规模的内部网络,越容易出此类问题。传统的专用网络(比如老的电力控制网)由于缺乏安全防护,一旦被攻击,其后果更加严重。
建议:对于大范围的内部/专用网络,安全要求和措施应等同联网环境。
4. 嵌入式设备软硬件一体化,不会有安全问题。
真相:近年来,无论是HP打印机、家庭宽带路由器,还是cisco/juniper等专用路由器,都被发现了有严重安全问题,可以被攻击者远程控制。特别是家庭宽带路由器,每次发现问题的设备都以数十万计,攻击者控制了它们以后,就获得了受害家庭的网络控制权。
建议:嵌入式设备的安全公告也要关注,及时更新。选择设备时,注意安全声誉。
5. 个人信息不值钱,泄漏就泄漏吧。
真相:在互联网上,犯罪分子可以大规模的搜集和筛选受害人的信息,对于信息掌握较为全面的受害人,他们可以进行各种实体攻击。其中又以有明显弱点(孩子、老人、女性)或有钱的人为首选目标。著名的案例是,某学校的学生家庭信息泄漏,攻击者骚扰学生使其无法接听电话后,利用对受害者信息的熟悉,冒充老师获取家长信任,对家长进行诈骗。类似的事情也发生在诈骗老人上。而你的身份证信息和信用卡信息更是可以直接用于消费和欺诈。
建议:自己注意,让家人知晓此类诈骗。
相关文章推荐
- 信息安全相关数学方法与技术
- 信息安全的技术研究相关站点
- 欢迎向本站投递计算机取证、信息安全相关技术文章、行业情报等信息。
- 信息安全是技术问题还是管理问题?
- 信息安全:相关参考
- XCon2010安全焦点信息安全技术峰会
- 关注并订阅Autodesk地理信息解决方案相关技术博客赢取Autodesk权威开发专家编写的官方推荐教材!!
- 信息安全管理(4):信息安全系统的技术规范模型
- 2007安全焦点信息安全技术峰会有感
- 信息安全等级保护相关标准体系(合集)
- 信息安全相关需求分析
- VC++信息安全编程(13)Windows2000/xp/vista/7磁盘扇区读写技术
- 诚邀信息安全爱好者加入我的技术圈:信息安全新势力
- 2010年国际信息安全技术(天津)大会-----所见,所闻,所思
- CSDN技术主题月:移动信息安全技术的挑战与创新
- PHP安全编程:不要让不相关的人看到报错信息
- 【软考之路】信息安全相关知识总结