不可忽视的信息安全

　　生活在信息社会，你是否想对信息安全有个全面的认识？你又是否想揭开愈来愈多发的信息安全事件的面纱？熟悉《骇客追缉令》和《疑犯追踪》的读者想必还会记得，电影中主人公是如何通过高超的技术入侵来控制计算机信息系统的。那么，在现实生活中，如何应对黑客的入侵，使得信息系统尽量安全可信？让我们从硬件终端安全、网络安全、软件定义安全三个方面去看看问题的究竟。

　　TIPS

　　信息技术安全评价通用准则

　　当前，越来越多的国家和组织认识到信息安全是关乎国民经济的支撑性关键技术，其重要性不言而喻。我们知道信息科学是用来支撑传统业务运行的一门科学，而信息安全是利用安全技术支撑信息流的安全流转。

　　为了应对层出不穷的信息安全问题，国内外都进行了有关的研究。1996年，美国、加拿大、英国、法国、德国、荷兰等国家共同提出了“信息技术安全评估通用准则”（The Common Criteria for Information Technology Security Evaluation，简称CC），目前CC已经被采纳为国际标准ISO15408，通过CC标准可以客观地评价信息系统的安全等级。我国也相应地提出了《计算机信息系统安全保护等级划分准则》，对国内的信息系统安全工作进行指导以及考核。

　　硬件终端安全

　　硬件终端安全涉及电磁辐射安全、系统硬件的安全等方面。这里举一个关于内存信息泄露方面的例子，早在2012年希腊学者就指出在电脑关机后，利用内存的工作方式可以获取用户的账号、密码以及一些敏感数据。该学者所在的团队对邮件、Skype等软件进行了测试，对已经关闭后的计算机内存进行处理。从中提取和分析数据碎片并应用专业的工具去修复，可以成功地恢复之前浏览器中登录过的邮件登录信息以及压缩文件的压缩数据。由此可见，即使关掉电源，关键的数据也是能被获取的。

　　网络安全

　　现在我们几乎每天都离不开网络，而黑客正是“游走”在网络中的一个特殊群体，他们用高超的技术威胁着网络安全。

　　黑客的常见攻击手段

　　黑客可以用这些方法来破解所有有漏洞的联网设备。

　　拒绝服务攻击，黑客通过控制很多僵尸机器对目标系统进行持续大量的访问，造成被访问系统因处理能力不足而导致系统瘫痪，触发防护系统的预警开关，中断服务。

　　手段1 扫描

　　对所有的能物理连接的设备进行漏洞扫描，对软件系统的弱口令进行破解，从而取得系统的控制权，成功入侵。

　　手段2 破解攻击

　　通过监听网络传输的数据包，对所监听的数据进行分析和解密，获得关键系统的用户名和口令，获得系统管理权限。也可以将修改过的文件传入信息系统，进行数据篡改，对服务提供者进行攻击。

　　手段3 窃取

　　利用系统的漏洞对数据库的资料进行窃取，或者直接窃取存放数据磁盘，将数据占为己有。

　　手段4 病毒

　　采用给指定的目标机器感染病毒的方法，使得目标系统因病毒传播而瘫痪，或者在软件中隐藏木马病毒，通过合法的软件安装隐蔽地进入目标系统，将系统的关键数据非法传送至指定的邮箱或者服务器上。

　　“无处不在”的黑客

　　下面的几个行业案例中均有黑客破解、入侵的身影。

　　黑客破解车联网

　　安全研究人员查理米勒（Charlie Miller）和劳埃德瓦尔塞克（Chris Valasek）针对智能汽车进行了试验性的攻击。结果表明，使用技术手段可以入侵汽车并且操纵方向盘、仪表盘以及安全传感器等设施。攻击者可以采用汽车电子系统的漏洞入侵综合控制中心，然后通过综合控制中心发布指令。若是此时车在高速路上行驶，攻击者远程关闭发动机，就会造成极大的安全隐患。

　　智能家居威胁

　　攻击者通过对智能家居系统的漏洞扫描，针对其弱口令、脆弱性以及针对安全规则进行试探，若是用户系统存在漏洞，攻击者就可以入侵智能家居系统，设定冰箱的温度、空调的温度，甚至打开房门。

　　智能医疗威胁

　　迈克菲公司（McAfee）的安全工程师杰伊拉德克利夫（Jay Radcliffe）做了一个实验，通过无线网络入侵已经联网的控制糖尿病患者的传感器，进而控制注射泵。拥有注射泵的控制权限即可控制胰岛素的供给量，可导致患者因为血糖低而昏迷甚至死亡。

　　智能手机威胁

　　近日，安卓（Android）系统漏洞又被披露出来，黑客可以通过篡改短信的收发状态监视信息以及将信息转发至高额的吸费号码上，从而让使用者遭受损失。由于Android平台的普及率比较高，针对该平台的恶意软件层出不穷。有数据表明，约500万的Android用户已经被感染。

　　如今很多人为了便利，使用手机充话费，有时候却忽略了辨认WIFI是否可靠。据报道，湖北的一位李女士在商场逛街时连接了一个免费WIFI，并在此环境下充话费，结果当她去银行取钱时发现银行卡内1万多元现金不翼而飞。事后李女士表示，自己的银行密码从未向他人透露过，在存款消失后也未收到余额变动提醒。后来公安机关和银行通过查询其账户的流水明细发现，自从她当天使用过不明WIFI充值后，其关联的银行卡内的余额就被分批多次地转走，就连李女士开通的余额变动短信提醒也被屏蔽掉了。

　　软件定义安全

　　软件定义安全来源于软件定义网络（英文缩写为SDN），随着信息技术的更新发展，信息安全也要与之同步并为其保驾护航。针对目前流行的大数据和云计算两个热点技术，对应的安全解读如下。

　　大数据安全

　　大数据的出现和应用给信息安全带来了新的挑战，大数据的安全需要用更多的软件定义的方法来实现。单靠之前部署的入侵检测系统（英文缩写为IDS）、入侵防御系统（英文缩写为IPS）、防火墙等设备已不能有效地分析和检测入侵行为，更加不能确切地知道网络是否被高级持续性威胁攻击（英文缩写为APT），大数据时代需要将所有安全设备的数据结合起来，挖掘出我们保护的核心区域的有效参数，并依据相应的参数范围判断整个网络安全的态势。

　　大数据的网络安全采用Hadoop架构，对大的数据进行分块，采用分布式的处理方法，加快关联日志的反应速度，同时，需要引入机器学习的方法去处理现有的庞大的日志信息，从而及时地发现攻击痕迹并及时阻断入侵，让损失降到最低。

　　云计算安全

　　云计算的用户数据隐私保护是云计算服务提供者必须解决的问题。云计算是依托相应的云操作系统实现虚拟化。若是操作系统出现漏洞且没有及时修复，将会导致所有的数据泄露。为了解决现有的问题，很多学者开始针对这样的应用环境进行研究，提出了可信计算的模型，其针对敏感数据进行多重加密来避免数据泄露。

　　信息安全防范措施

　　说了这么多信息安全的宏观概念和入侵案例，想必大家一定很期待知道，在日常生活中应该如何防范网络攻击，接下来，我们介绍信息安全的防范措施，以供大家参考。

　　哪些密码风险大？

　　●使用默认的账号和密码。比如一般的家用路由器的默认用户名和密码都是admin，若用户不更改的话，攻击者可以轻而易举地获取路由器的权限，做进一步的破坏工作。

　　●使用单一的数字或者字母作为密码，现在使用工具软件可以在几秒内破解该类密码。

　　●使用纪念日，比如生日、结婚日期作为密码，此类密码容易为社会工程学的方法所破解。

　　密码设置小技巧

　　个人社交账号的密码要尽量复杂，密码要包含数字、大小写字母、特殊符号三种要素，尽可能提高攻击者的破解难度。若大家认为这样的密码比较难记忆，可以尝试以下两个步骤：

　　第一步：设置基础密码

　　比如，唐诗大家都很熟悉，床前明月光，疑是地上霜。可以取首字母cqmygysdss作为密码的一部分。

　　再者，可以将自己的手机号码对应的13800138000 取拼音或者英文的首字母otezzotezzz作为密码的一部分。

　　最后，若是大家一定要设置纪念日密码，也需要转换，比如20100606这样的日期可以转换为wpqppypy，规则是键盘数字对应的下一行字母（1-q，2-w，3-e，4-r，5-t，6-y，7-u，8-i，9-o，0-p）。

　　第二步：组成个性密码

　　在之前已经设置好的基础密码XYZ上面添加特色字符，比如邮件的密码可以设置为 XYZyoujian20150801、QQ的密码可以设置为XYZqq20150801等，如此，就可以随心所欲地自行设置密码而不容易忘掉了。这样就满足大家密码不够复杂以及难以记忆的需求了。

　　信息安全的技术随时都在更新换代，唯有大家对整个信息安全知识有了全面了解，并应用特定的安全防范措施，才能最大限度地降低被攻击的概率。

　　撰文/杨德全

关注读览天下微信， 100万篇深度好文， 等你来看……