据资讯网站Computerworld报道,本周,进行的一项测试显示中有1800处需要重新编写代码。
据公司安全测试部门主管汤姆·加拉格尔透露,微软此次采用的测试方式是建立一个类似于僵尸网络的庞大测试体系,大约有1200万台测试主机。研究人员只需将测试代码输入其中的一部电脑后,无需太多操作,即可搜集到海量反馈信息。由于可以节省大量人力,所以被用作分析软件安全性的重要测试手段。
该方法需要软件开发人员和安全研究人员共同配合,在软件的被测部分植入格式分析器查看程序的运行情况。
值得注意的是,加拉格尔强调,虽然在测试中发现并修补了1800个Bugs,但这并不能代表Office 2010存在相同的安全问题。他坚持不应该使用“vulnerabilities”来形容上述缺陷,因为Bugs中很大一部分与安全问题无关且危害性很小,微软将通过服务包Server Package或升级补丁完成修复工作。
在上周进行的Pwn2Own大赛中,三届MacOS终结者查理·米勒正是通过五部电脑和一些常见的Fuzzer发现了Safari中的数十个安全漏洞。
新版Office 2010中添加的安全功能包括更加灵活的文件拦截机制(曾在Office 2007中出现)、独立沙盒系统用于测试可疑文档等,目前Office 2010已经开放给公众下载使用。
fuzzing是一种高度软件检测技术。提供受测试软对于许多人而言,加密一词会让人到间谍,暗中操作和二次世界大战中的情报破译者。事实上,加密是任何都可以用来保护敏感信息的无价之宝。
遗憾的是,许多企业都没能有效地利用加密技术,害怕这一技术太复杂以至于不能在日常操作中对其加以使用。其实,加密重要数据并不比扫描,数据备份等程序难多少。下面我们就对此进行介绍。
基本原理
有两种基本方法可用来加密数据。一种是使用不对称PKI(公共密钥架构)加密。PKI密码术基于一对密钥:其中一个仅供私人使用,且只有用户知道;另一个是公共密钥,是交易中供对方使用的。
PKI技术为隐私,访问控制,文件传输证明以及文件存档和检索等提供了支持。虽然目前大多数安全厂商都将某些PKI技术融入到自己的软件中,但是其设计与部署上的差异有碍于产品间实现互用性。
其他加密数据的方法有对称密钥保护法,也可称之为密钥加密。通常,这种方法操作起来比PKI的速度要快,但是其安全性却逊色一筹。对称加密在加密和解密信息时使用相同的密钥。当密钥分布被严格控制在受信任用户的有限数字之内时,对称加密最有效。由于对称加密非常容易被破译,因此,基本上,此技术主要用于保护相对而言不重要,且只需保存较短时间的信息或材料。
、
应用加密
使用加密技术最简单的方法是购买融合了某些加密形式的商业应用或是硬件产品。以微软 Outlook Express邮件客户端为例,该应用提供了嵌入式加密支持。同时,希捷和日立等供应商已开始将加密技术整合到硬驱上。
由于大多数软件应用和硬件产品没有在其内部添加加密技术,所以公司的管理人员要寻求单独的加密产品。这样一来,加密过程就显得有些令人费解,因为要按照商业安全需求确定的寻找符合要求的加密产品。
微软Vista企业版和旗舰版用户可以使用BitLocker驱动加密。这是一个能提供1024位加密的工具。另一个Windows产品是EFS(加密文件系统),该产品试用对称PKI技术提供文件加密。
其他领先的加密技术厂商和产品包括:PGP, 开源TrueCrypt,DESlock+,Namo FileLock和T3 Basic Security。
为哪些数据加密?
要为哪些数据进行加密呢?请看下列建议:
硬驱:公司或许会选择加密整个硬驱并将其作为一种减少或消除数据泄漏的方式。
个别用户的文件:在某些案例中,满磁盘加密的性能过于强大,文件到文件的加密为我们提供了按需加密的便利。许多领先的加密产品都提供拖拽加密功能。
笔记本:和办公室系统不同,笔记本很容易丢失,而且容易被盗取信息。通过确保系统数据的内容无法被读取,公司能防止从笔记本这一途径丢失信息。越来越多的政府管理者和保险公司都要求公司对所有数据都加密。
便携式设备:记忆棒,拇指驱动和类似的便携式存储技术可能为数据丢失或盗窃提供便利。和笔记本一样,加密可以保护企业的数据,防止器从设备本身泄漏出去。许多的便携式存储设备都带有内置加密支持。
文件转换器:通过不安全的有线或链接发送文件可能将敏感信息暴露给数据盗窃者。数据加密为这些数据提供了额外的安全层,即便用户使用的是安全网络。
邮件:加密的邮件在传输过程中是安全的。
即时通信:越来越多的企业都在使用即时通信应用交换企业的机密信息。加密有助于保护这些关键数据的传输。
加密的局限性
和其他技术一样,加密软件并非完美无缺。即便是最好的加密产品,同样要消耗速度和存储空间。用户也可能丢失或遗忘密码,从而造成系统永久性地锁死。
在购买加密工具前,仔细研究该产品。确保它能满足你的需求,能与系统兼容,并且确保它在可靠性和支持性能等方面具备良好的记录。有可能的话,与你的朋友或同事一起进行检查,在挑选工具的过程中可听取他们的建议。
件随机产生的资料,借此观察软件是否因此发生故障(如当机),可以提供全面性的检测;缺点是智能化程度不够,效率偏低。