㈠ 360發現了區塊鏈哪些史詩級漏洞
5月29日消息,近日,360公司Vulcan(伏爾甘)團隊發現了區塊鏈平台EOS的一系列高危安全漏洞。經驗證,其中部分漏洞可以在EOS節點上遠程執行任意代碼,即可以通過遠程攻擊,直接控制和接管EOS上運行的所有節點。
區塊鏈網路安全隱患亟待關注
EOS是被稱為「區塊鏈3.0」的新型區塊鏈平台,目前其代幣市值高達690億人民幣,在全球市值排名第五。
在區塊鏈網路和數字貨幣體系中,節點、錢包、礦池、交易所、智能合約等都存在很多的攻擊面,360安全團隊此前已經發現和揭露了多個針對數字貨幣節點、錢包、礦池和智能合約的嚴重安全漏洞。
此次360安全團隊在EOS平台的智能合約虛擬機中發現的一系列新型安全漏洞,是一系列前所未有的安全風險,此前尚未有安全研究人員發現這類問題。這類型的安全問題不僅僅影響EOS,也可能影響其他類型的區塊鏈平台與虛擬貨幣應用。
360表示,希望通過這一漏洞的發現和披露,引起區塊鏈業界和安全同行在這類問題的安全性上更多的重視和關注,共同增強區塊鏈網路的安全。
內容來源 澎湃新聞
㈡ 大數據時代信息安全隱患
大數據時代信息安全隱患
近年來,隨著信息數據的爆炸式增長,數據的財富轉換率也出現了大幅度的增長。這就造成了一個大數據時代的背景。很多人都把數據的增長看做了未來最重要的財富。但是數據的大幅增長,給越來越多的人敲響了警鍾:大數據時代的數據安全十分的脆弱!沒有安全的數據是缺乏足夠財富支撐的,因此很多企業開始著手建立自己的新型數據安全模式,雖然這個過程顯得是十分的殘酷艱難,但是一切都勢在必行,刻不容緩。 2012年很多國際IT巨頭都推出了自己的雲服務,許多企業都購買了公有雲,或是建立了私有雲。
雲計算時代的到來促進了網路數據的高速發展,在過去的三年裡增長的數據甚至超越了人類幾百年的數據增長。這些數據的出現意味著巨大的財富,但是數據的非結構化和安全隱患不斷增加,讓這些數據的價值沒能夠得到充分的發掘。一方面由於現有技術對於信息開發的成本過大,限制了數據的價值,另一方面由於數據安全得不到足夠的保證,也阻礙了數據財富化的進程。數據開發成本的優化是一個緩慢的過程,人們更希望能夠得到安全保護的同時,緩慢的去開發數據價值,這也把大數據時代的數據安全問題推到了風頭浪尖,這是對於數據安全開發者的一次嚴峻考驗。 大數據時代的數據安全怎麼做?對於這個問題有著不同的理解。有的人認為需要在原有安全的基礎上加入新的的網路元素,繼續沿用既有的數據安全思路,穩中求進;有的人認為需要重新構建全新的數據安全模式,打破原有的桎梏,重組現有技術構成,建立全新的數據安全模式。
這兩種看法都可以看做一種對於大數據時代特性的適應,很難說孰優孰劣,只能說大家的發展路線不同,思路不同。 主張在原有安全基礎上發展的人們認為,原有的端點數據安全模式十分的穩定,具有較長的運用經驗,安全可靠高效。現在的雲端技術對於數據安全的要求主要體現在網路安全的應對上。對於傳統的端點安全技術來說,有多種方式可以實現最終的安全。面對現有的大數據特性,需要在一些方面做出調整。一般來說有以下的幾個方面需要改進。
第一,大數據時代的數據結構化。數據結構化對於數據安全和開發有著非常重要的作用。大數據時代的數據非常的繁雜,其數量非常的驚人,對於很多企業來說,怎樣保證這些信息數據在有效利用之前的安全是一個十分嚴肅的問題。結構化的數據便於管理和加密,更便於處理和分類,能夠有效的智能分辨非法入侵數據,保證數據的安全。數據結構化雖然不能夠徹底改變數據安全的格局,但是能夠加快數據安全系統的處理效率。未來數據標准化,結構化是一個大趨勢,不管是怎樣的數據安全模式都希望自己的數據更加的標准。
第二,網路層的安全策略是端點數據安全的重點加固對象。常規的數據安全模式往往喜歡分層構建。這也是數據安全的常規做法。現有的端點安全方式對於網路層的安全防護並不完美。一方面是大數據時代的信息爆炸,導致網端的非法入侵次數急劇增長,這對於網路層的考驗十分的嚴峻,另一方面由於雲計算的大趨勢,現在的網路數據威脅方式和方法越來越難以預測辨識,這給現有的端點數據安全模式造成了巨大的壓力。在未來,網路層安全應當作為重點發展的一個層面。在加強網路層數據辨識智能化,結構化的基礎上加上於本地系統的相互監控協調,同時杜絕非常態數據的運行,這樣就能夠在網路層構築屬於大數據時代的全面安全堡壘,完善自身的缺陷。
第三,本地策略的升級。對於端點數據安全來說已經具備了成熟的本地安全防護系統,但是由於思路的轉化,現有的端點數據安全系統有一定認識上的偏差,需要進行及時的調整。由於大數據時代的數據財富化導致了大量的信息泄露事件,而這些泄露事件中,來自內部的威脅更大。所以在本地策略的構建上需要加入對於內部管理的監控,監管手段。用純數據的模式來避免由於人為原因造成的數據流失,信息泄露。由這一點出發我們可以預想到在未來的數據安全模式中,管理者的角色權重逐漸分化,數據本身的自我監控和智能管理將代替一大部分人為的操作。這對於大部分企業來說都是能夠減少損失和成本的大事情,值得引起大家的關注和思考。
在本地安全策略的構建過程中還要加強與各個環節的協調。由於現在的數據處理方式往往會依託與網路,所以在數據的處理過程中會出現大量的數據調用,在調用過程中就容易出現很大的安全威脅。這個時候如果能夠把本地和網路的鏈接做的更細膩,完善緩存機制和儲存規則,就能夠有效保證數據源的純潔,從根本上杜絕數據的安全威脅。本地數據安全策略還有很多需要注意的問題,也有很多還沒有發現的隱患,這些都需要在完善自有系統的基礎上,繼續開發。
第四,數據存儲的問題。在傳統端點的數據安全中,數據存儲作為非法入侵的最後一站,被業界人士高度的重視,對於數據存儲建立了全面完善的防護措施,這些非常值得借鑒,但是還要有進一步的完善。這里的完善主要是數據存儲隔離與調用之間的數據邏輯關系策劃。這同樣是為了適應現在的數據模式。 經過上面幾個問題的針對性完善,就能夠開發出相對更加適應現在大數據時代應用的數據安全模式。只是在開發力度上的不同導致了現有的端點安全專家們很難深入的調整自己的方法,導致現在市場上存在一批似是而非的數據安全方案,這應該是發展的一個過程吧! 對於想要重新建立數據大時代數據安全的人們來說,他們面對的不是細節的問題,而是整體布局的問題。
想要針對現有的大數據背景,開發出屬於下一代的虛擬數據安全方案,絕對是一種創新性的變革,對於未來數據安全的發展具有革命性的作用。因為,針對大數據時代設計的安全方案應該是在虛擬化、移動化的基礎上進行的深入開發,而虛擬化安全和移動化網路是未來發展的方向,這樣以來,從方向上擺正了自己的位置,具有更快的發展速度和更遠的發展空間。但是想要做到這一步需要花費的精力也不是每個團隊都能夠付出的。以泰然神州為代表的一些具有前瞻性的企業已經開始了這方面的嘗試,並取得了不錯的成果。泰然神州在虛擬化、移動化和信息安全上做出了傑出的貢獻。他們在考慮到虛擬化數據安全問題的時候,就是從整體入手,解決現有的痼疾,打造出全新一代數據安全方案。 在未來的虛擬化數據安全方案中,需要從全面的數據安全系統入手,建立合理的邏輯監管程序,全面數據處理模型,標准化信息配置,同時加強數據的監管,人員監管與外部智能辨識,做好各個環節的相互支撐與防禦。虛擬化數據安全的核心是一條貫穿整個安全體系的數據通道,這條渠道需要通過分層管理,交叉監控,實現絕對的隱蔽和安全,同時合理的邏輯關系讓整條數據通道變得更加合理和快捷。虛擬化數據安全更加註重客觀的數據邏輯,盡量避免由於人為操作造成的數據安全隱患,杜絕數據泄露。
在大部分人的眼中數據泄露一直是個非常難纏的項目,但是在泰然神州新開發的產品中就重點針對了這個項目。他們通過建立監控網路完成對數據流的監控和控制,更多的避免了由於內部和外部原因造成的數據泄露,同時加強了對於既定存儲數據的保護措施,很好的避免了數據的泄露。 虛擬化數據安全更加註重對於智能的運用。數據智能處理一直是安全領域最鍾愛的一門技術,能夠強化各個環節數據智能化,加強數據的辨識智能,處理智能對於數據安全的發展具有很強的促進作用。虛擬化數據安全未來發展的核心要素就是實現純數據監控的完美形態,讓數據管理數據安全,同時為所有用戶提供可靠的數據埠,實現最終的數據轉換目標。結合端點數據安全發展的歷程,我們看得出數據本身具有很強的適應性,如果善加疏導,就能夠整合出意想不到的效果。
智能數據一直是泰然神州研發的一個重要目標,為了能夠在大數據時代發揮自己的智能數據優勢,泰然神州在自己的產品中加入了智能數據的元素,讓泰然神州新一代數據堡機完美的呈現了各個層面的技術高度和安全高度。 不管是傳統的改進,還是重新建立,對於大數據時代的數據安全發展都具有一定的促進意義,只要進一步發展下去,就能夠實現預想的目標。大數據時代已經到來,數據安全行業是所有行業最先起飛的一個,對於業內人士來說,這不僅僅是一次機會,更是一次挑戰。只有堅持走在最前列的人,才能夠最終獲得勝利。
同時,整個世界環境內都開始針對網路信息數據做出適當的調整規范,這必然使得未來的數據安全發展得到極大的支持和鼓勵,這對於所有從業人士來說都是一個展示自己團隊才華的舞台,一個大數據時代的舞台!
㈢ 網路安全面臨的威脅主要有哪些
病毒 木馬 攻擊 漏洞 加密
1 竊聽 攻擊者通過監視網路數據獲得敏感信息,從而導致信息泄密。主要表現為網路上的信息被竊聽,這種僅竊聽而不破壞網路中傳輸信息的網路侵犯者被稱為消極侵犯者。惡意攻擊者往往以此為基礎,再利用其它工具進行更具破壞性的攻擊。
2 重傳 攻擊者事先獲得部分或全部信息,以後將此信息發送給接收者。
3 篡改 攻擊者對合法用戶之間的通訊信息進行修改、刪除、插入,再將偽造的信息發送給接收者,這就是純粹的信息破壞,這樣的網路侵犯者被稱為積極侵犯者。積極侵犯者截取網上的信息包,並對之進行更改使之失效,或者故意添加一些有利於自己的信息,起到信息誤導的作用。積極侵犯者的破壞作用最大。
4 拒絕服務攻擊 攻擊者通過某種方法使系統響應減慢甚至癱瘓,阻止合法用戶獲得服務。
5 行為否認 通訊實體否認已經發生的行為。
6 電子欺騙 通過假冒合法用戶的身份來進行網路攻擊,從而達到掩蓋攻擊者真實身份,嫁禍他人的目的.
7 非授權訪問 沒有預先經過同意,就使用網路或計算機資源被看作非授權訪問。它主要有以下幾種形式:假冒、身份攻擊、非法用戶進入網路系統進行違法操作、合法用戶以未授權方式進行操作等。
8 傳播病毒 通過網路傳播計算機病毒,其破壞性非常高,而且用戶很難防範。如眾所周知的CIH病毒、愛蟲病毒、紅色代碼、尼姆達病毒、求職信、歡樂時光病毒等都具有極大的破壞性,嚴重的可使整個網路陷入癱瘓。
㈣ 阿里雲未及時通報重大網路安全漏洞,會帶來什麼後果
【文/觀察者網 呂棟】
這事緣起於一個月前。當時,阿里雲團隊的一名成員發現阿帕奇(Apache)Log4j2組件嚴重安全漏洞後,隨即向位於美國的阿帕奇軟體基金會通報,但並沒有按照規定向中國工信部通報。事發半個月後,中國工信部收到網路安全專業機構的報告,才發現阿帕奇組件存在嚴重安全漏洞。
阿帕奇組件存在的到底是什麼漏洞?阿里雲沒有及時通報會造成什麼後果?國內企業在發現安全漏洞後應該走什麼程序通報?觀察者網帶著這些問題采訪了一些業內人士。
漏洞銀行聯合創始人、CTO張雪松向觀察者網指出,Log4j2組件應用極其廣泛,漏洞危害可以迅速傳播到各個領域。由於阿里雲未及時向中國主管部門報告相關漏洞,直接造成國內相關機構處於被動地位。
關於Log4j2組件在計算機網路領域的關鍵作用,有國外網友用漫畫形式做了形象說明。按這個圖片解讀,如果沒有Log4j2組件的支撐,所有現代數字基礎設施都存在倒塌的危險。
國外社交媒體用戶以漫畫的形式,說明Log4j2的重要性
觀察者網梳理此次阿帕奇嚴重安全漏洞的時間線如下:
根據公開資料,此次被阿里雲安全團隊發現漏洞的Apache Log4j2是一款開源的Java日誌記錄工具,控制Java類系統日誌信息生成、列印輸出、格式配置等,大量的業務框架都使用了該組件,因此被廣泛應用於各種應用程序和網路服務。
有資深業內人士告訴觀察者網,Log4j2組件出現安全漏洞主要有兩方面影響:一是Log4j2本身在java類系統中應用極其廣泛,全球Java框架幾乎都有使用。二是漏洞細節被公開,由於利用條件極低幾乎沒有技術門檻。因適用范圍廣和漏洞利用難度低,所以影響立即擴散並迅速傳播到各個行業領域。
簡單來說,這一漏洞可以讓網路攻擊者無需密碼就能訪問網路伺服器。
這並非危言聳聽。美聯社等外媒在獲取消息後評論稱,這一漏洞可能是近年來發現的最嚴重的計算機漏洞。Log4j2在全行業和政府使用的雲伺服器和企業軟體中「無處不在」,甚至犯罪分子、間諜乃至編程新手,都可以輕易使用這一漏洞進入內部網路,竊取信息、植入惡意軟體和刪除關鍵信息等。
阿里雲官網截圖
然而,阿里雲在發現這個「過去十年內最大也是最關鍵的單一漏洞」後,並沒有按照《網路產品安全漏洞管理規定》第七條要求,在2天內向工信部網路安全威脅和漏洞信息共享平台報送信息,而只是向阿帕奇軟體基金會通報了相關信息。
觀察者網查詢公開資料發現,阿帕奇軟體基金會(Apache)於1999年成立於美國,是專門為支持開源軟體項目而辦的一個非營利性組織。在它所支持的Apache項目與子項目中,所發行的軟體產品都遵循Apache許可證(Apache License)。
12月10日,在阿里雲向阿帕奇軟體基金會通報漏洞過去半個多月後,中國國家信息安全漏洞共享平台才獲得相關信息,並發布《關於Apache Log4j2存在遠程代碼執行漏洞的安全公告》,稱阿帕奇官方已發布補丁修復該漏洞,並建議受影響用戶立即更新至最新版本,同時採取防範性措施避免漏洞攻擊威脅。
中國國家信息安全漏洞共享平台官網截圖
事實上,國內網路漏洞報送存在清晰流程。業內人士向觀察者網介紹,業界通用的漏洞報送流程是,成員單位>工業和信息化部網路安全管理局 >國家信息安全漏洞共享平台(CNVD) CVE 中國信息安全測評中心 > 國家信息安全漏洞庫(CNNVD)> 國際非盈利組織CVE;非成員單位或個人注冊提交CNVD或CNNVD。
根據公開資料,CVE(通用漏洞共享披露)是國際非盈利組織,全球通用漏洞共享披露協調企業修復解決安全問題,由於最早由美國發起該漏洞技術委員會,所以組織管理機構主要在美國。而CNVD是中國的信息安全漏洞信息共享平台,由國內重要信息系統單位、基礎電信運營商、網路安全廠商、軟體廠商和互聯網企業建立的信息安全漏洞信息共享知識庫。
上述業內人士認為,阿里這次因為漏洞影響較大,所以被當做典型通報。在CNVD建立之前以及最近幾年,國內安全人員對CVE的共識、認可度和普及程度更高,發現漏洞安全研究人員慣性會提交CVE,雖然最近兩年國家建立了CNVD,但普及程度不夠,估計阿里安全研究員提交漏洞的時候,認為是個人技術成果的事情,上報國際組織協調修復即可。
但根據最新發布的《網路產品安全漏洞管理規定》,國內安全研究人員發現漏洞之後報送CNVD即可,CNVD會發起向CVE報送流程,協調廠商和企業修復安全漏洞,不允許直接向國外漏洞平台提交。
由於阿里雲這次的行為未有效支撐工信部開展網路安全威脅和漏洞管理,根據工信部最新通報,工信部網路安全管理局研究後,決定暫停阿里雲作為上述合作單位6個月。暫停期滿後,根據阿里雲整改情況,研究恢復其上述合作單位。
業內人士向觀察者網指出,工信部這次針對是阿里,其實也是向國內網路安全行業從業人員發出警示。從結果來看對阿里的處罰算輕的,一是沒有踢出成員單位,只是暫停6個月。二是工信部沒有對這次事件的安全研究人員進行個人行政處罰或警告,只是對直接向國外CVE報送的Log4j漏洞的那個安全專家點名批評。
本文系觀察者網獨家稿件,未經授權,不得轉載。