安全周报-2010年7月第3期

安安全全周周报报——中国信息安全博士网 2010 年 7月·第 3期 ·1· 安安全全周周报报——中国信息安全博士网 2010 年 7月·第 3期 ·2· 安安全全周周报报——中国信息安全博士网 2010 年 7月·第 3期 ·3· 安安全全周周报报——中国信息安全博士网 2010 年 7月·第 3期 ·4· 安安全全周周报报——中国信息安全博士网 2010 年 7月·第 3期 ·5· 目录 学术会议 .......................................................................................................................................7 Noell 云计算大会 ....................................................................................................................7 政府之声 .......................................................................................................................................8 美、中、俄罗斯等 15 个国家签署网络行为合作意愿书.....................................................8 印媒又大放厥词污蔑我黑客疯狂窃取其情报 ...........................................................................8 李晓东当选全球互联网安全委员会委员 ..................................................................................9 简览美国《国家网络空间可信身份国家战略》草案 ............................................................... 10 西方国家对网络监管毫不手软 .............................................................................................. 12 病毒播报 ..................................................................................................................................... 15 流氓网站靠“隐身木马”谋暴利 ........................................................................................... 15 微软发布快捷方式自动执行”高危 0day 漏洞修复工具 .......................................................... 15 病毒预报 第三百八十九期（2010.7.17-2010.7.23） .............................................................. 16 Safari 新漏洞可导致个人数据被窃 ......................................................................................... 17 一种威胁很大的窃密病毒下周网上爆发 ................................................................................ 17 产业动态 ..................................................................................................................................... 18 微软明确 2011 年五大重点：虚拟化及云计算........................................................................ 18 未危害国家安全 工信部解读谷歌获 ICP 牌照理由 ................................................................. 18 使用复杂密码无益网络安全 .................................................................................................. 20 摩托罗拉在美起诉华为窃取商业机密 .................................................................................... 21 北京打造世界级云计算基地 .................................................................................................. 22 信息保护是中小企业 IT 建设重中之重 ................................................................................... 22 美法院判定百度可向 Register.com 提出索赔 .......................................................................... 24 技术前沿 ..................................................................................................................................... 25 互联网上如何为自己的私人资料加上“保鲜期” .................................................................. 25 微软向国际刑警组织免费提供的取证软件泄露 ...................................................................... 25 Adobe Reader 10 将融入“沙箱”技术 ................................................................................... 26 黑客攻防 ..................................................................................................................................... 27 黑客与搜索引擎算法斗法传播恶意文件 ................................................................................ 27 西子门工业控制系统受到黑客病毒攻击 ................................................................................ 28 黑客竟利用 Google Talk 发动钓鱼攻击 ................................................................................... 28 湖南首例黑客案主犯获刑 11 年............................................................................................. 29 Twitter 不设防？ 成为黑客最爱的恶意攻击平台.................................................................... 29 海外来风 ..................................................................................................................................... 30 安安全全周周报报——中国信息安全博士网 2010 年 7月·第 3期 ·6· Ministry of Defence loses 1200 pieces of data storage equipment ................................................ 30 企业推荐 ..................................................................................................................................... 32 北京谷安天下科技有限公司 .................................................................................................. 32 安安全全周周报报——中国信息安全博士网 2010 年 7月·第 3期 ·7· 学术会议 Noell 云计算大会 来源：中国信息安全博士网 2010 年 Novell 云计算大会于 7 月 20 日在京嘉里中心大酒店隆重召开。在下午的“云计算安全 与管理”分论坛上，Novell 高级技术顾问沈志刚做了主题为“下一代业务服务管理战略和路线图” 的演讲，在他的演讲中，讲述了云计算时代数据中心管理面临的三大挑战，并介绍了 Novell 针对这 三大挑战的相应解决和产品。 云计算环境下数据中心管理面临三大挑战 挑战一：资源配置如何管理? 沈志刚指出，云计算环境下数据中心的 IT 资源是高度虚拟化的，需要对资源进行动态部署，因 此也就面临着资源配置如何管理的问题。 针对资源配置的管理问题，沈志刚介绍了 Novell BSM 配置管理数据库。据介绍，Novell BSM 配置管理数据库能够实时、动态地跟踪记录构建云服务的各项 IT 资源及其配置，并自动描绘各资源 对象间关联关系，同时联邦数据集成技术，收集各配置项的信息，以可视化的方式描述资源配置组 织结构。 挑战二：问题故障如何定位? 在云计算环境下，资源高度的虚拟化，应用程序与组件是多对多的依赖关系，一个应用程序出 了故障，很难很快地准确地定位是哪一个组件出现了问题，因此，问题故障的定位是云计算环境下 数据中心管理的又一大挑战。针对这一挑战，Novell 提供了很好的解决方法。实现对业务服务问题 自动进行根源定位。 挑战三：服务质量如何评估? 云计算时代的 IT 资源一般是以服务的形式提供给用户的，而客户最关心的就是服务质量，因此， 如何对服务质量进行评估是云计算时代数据中心管理的重要方面。沈志刚说，“评估服务质量当然 不能简单地用“好”或“坏”来评估，必须要用“量化”的方式进行评估”，也就是要有一个服务 水平评估的。 编者注：大会还讲到了云服务的缺点及 Novell 是怎样解决的。如何保证 Linux 的安全。总而言 之，网络的飞速发展，信息的安全也越来越重要。信息安全方面的信息也越来越受人们的关注，关 注信息安全就是关注自身、关注自身的企业、关注自身国家的安全。 安安全全周周报报——中国信息安全博士网 2010 年 7月·第 3期 ·8· 政府之声 美、中、俄罗斯等 15 个国家签署规范网络行为合作意愿书 来源：中国计算机安全 据美国《华盛顿邮报》7 月 18 日报道，包括美国、中国以及俄罗斯在内的 15 个国家，日前在 联合国签署了一份合作意愿书，同意降低网络攻击的威胁，并提请联合国出台规范网络行为的准则。 这份协议是由美国、中国、俄罗斯、英国、法国、德国、意大利、以色列、爱沙尼亚、白俄罗 斯、巴 西、印度、卡塔尔、韩国以及南非等 15 国签署的。美国外交关系委员会网络战专家罗伯特·奈 克表示，尽管这份协议还只是意愿书，但代表着美国姿态已经发生重 大改变，这也是奥巴马政府“接 触外交”战略的一部分。 此外，15 国还提议，联合国应该出台规范网络空间行为的准则，对国家立法 和网络安全战略 交换信息，并且帮助不发达国家增强计算机体系的保护能力。 2005 年，上述 15 国曾召开网络安全会议，但未能达 成一致。此次，通过出台简短的文字，搁 置有争议的因素，15 国达成了一致。熟悉这协议的奥巴马政府官员表示：“这是国际关系向前迈进 一大步的标志。在应对 共同危险的时候，需要增加国际间的相互理解。” 在过去 10 年间，美国始终在网络安全方面与国际伙伴合作，包括打击网络犯罪。此 次撇开国 家间的敏感分歧，同意对关键的网络系统出台规范准则。俄罗斯 1999 年曾提议签署一个条约，禁止 将网络应用于军事目的，但是美国不愿意支持这个协议。 印媒又大放厥词污蔑我黑客疯狂窃取其情报 来源：环球网 印度军队正在增强网络战能力警惕中巴黑客窃取军事情报 据《印度时报》7 月 19 日报道，印度军事官员称，虚拟战争的复杂性和频率已经大幅提高，不 过印度军队的电子战能力已经达到最高水平，正在网络世界中应对黑客的挑战。 印度一名高级军事官员说：“印度军队已经认识到网络攻击的威胁性。这些网络攻击部分来自外 国政府，部分来自非政府机构。不过，印度网络系统使用了最高级别的网络安全标准，非常稳定和 安全。印度军队已经针对自身的需求专门建立了安全和难以渗透的广域网。” 这名官员承认，在外界报道中国和巴基斯坦黑客试图通过网络获取印度军事情报的情况下，印 度军队正面临新一代的威胁，非常担心复杂的网络战争。 安安全全周周报报——中国信息安全博士网 2010 年 7月·第 3期 ·9· 虽然瞄向印度的黑客可能来自全世界，但中国和巴基斯坦黑客攻击印度网络的行为更加频繁。 根据报道，两国黑客正在窃取印度敏感的商业、外交和战略情报。 据报告披露，中国和巴基斯坦黑客每天窃取的情报数量将近 600 万份。根据美国《防务系统》 杂志发布的报告，2009 年全世界一共出现了 2500 万个新型恶意软件，相当于每 0.79 秒出现一种新 恶意软件。报告重点强调了目前的网络威胁一直在发生巨大的变化，威胁性不断增大，而且这种改 变的速度非常快。 然而，印度军队对防御网络攻击充满信心。印度军事官员称，在大量电脑病毒、恶意软件出现 以后，印度军方已经在秘密信息上添加电子密码，使用加密控制系统，不会被黑客破解，提高了安 全性。 除普通黑客以外，恐怖组织也在培训成员的网络攻击能力。印度官员称，为了提高防御能力， 印度军方经常更新综合网络安全策略，主动应对网络威胁，并提前做出预测。 印度军方已经建立了计算机紧急响应小组(Computer Emergency Response Team , CERT)，应对外界 对印度关键军事系统和基地的网络攻击。另外一名印度军事官员也称，印度军队拥有自己的网络检 查程序，目前网络安全人员负责这一工作。他说：“检查工作遵循 IS0 27001 等安全标准，持续进行， 帮助寻找安全系统存在的弱点，并加以解决，从而应对最新的网络威胁。” 不过，印度官员承认，在网络技术日新月异的情况下，印度军方不能因为自己的防御能力产生 自满情绪。他说：“在网络世界，黑客与守护者的斗争会一直存在。由于网络威胁存在动态性，印度 军方一直在更新安全系统。不过，只依靠技术不能保证网络安全，印度军方把重心放在居民和程序 上，组织定期培训，增强电脑用户的意识，防止网络威胁。” 李晓东当选全球互联网安全委员会委员 来源：比特网 这是自我国 1994 年接入全球互联网以来，首位参与全球 Internet“命名和地址分配系统” （Internet＇s naming and address allocation systems）安全与整合咨询团队的中国互联网专家。 记者日前从中国互联网络信息中心(CNNIC)获悉，中国互联网络信息中心副主任李晓东博士，在 刚结束的互联网名称与数字地址分配机构(ICANN)布鲁塞尔会议上获选全球互联网安全与稳定咨询 委员会(Security and Stability Advisory Committee，简称 SSAC)委员。这是自我国 1994 年接入 全球互联网以来，首位参与全球 Internet“命名和地址分配系统” (Internet's naming and address allocation systems)安全与整合咨询团队的中国互联网专家。 业内人士指出，中国专家首次参与全球互联网域名系统安全管理政策制定实施表明，我国互联 网基础研究领域近年来的发展已经得到国际社会认同，尤其在域名安全运营和管理领域的相关实践 安安全全周周报报——中国信息安全博士网 2010 年 7月·第 3期 ·10· 经验将为国际互联网社群提供借鉴。中国正在国际互联网基础资源管理领域获得越来越多的话语权。 据了解，除了新近当选为 SSAC 委员职务外，李晓东博士还是互联网工程任务组(IETF)邮件地址 国际化标准工作组的联合主席，并且也是在该组织中任职的唯一中国人。2009 年，作为我国杰出青 年的代表，李晓东还获得由共青团中央、全国青联颁发的第十三届“中国青年五四奖章”。同时也成 为当年唯一一位获此殊荣的互联网技术领域的青年专家。由他以及 CNNIC 主任毛伟共同主导制定的 《中文域名注册和管理标准》(RFC4713)，成功解决了中文繁简体等效注册与使用问题，为“.中国” 域名成功入根打下了坚实的基础。 SSAC 是针对全球互联网根域系统(Root Name System)正确可信操作、互联网地址和号码分配 以及域名注册数据库(Whois 系统)管理向 ICANN 社群和理事会提供咨询的专业性技术团队。SSAC 内 部将选举各个不同项目负责人，他们将协助 ICANN 主席处理相关安全事宜，以保证全球互联网地址 资源的正常运行。 此次与李晓东博士共同当选为 SSAC 新任委员的还有来自于美国、巴西等国的其他三位互联网资 深专家，此前所有 SSAC 委员均由国外知名互联网技术专家担任。 简览美国《国家网络空间可信身份国家战略》草案 来源：中国计算机安全 网络已经成为所有美国人日常生活当中不可获缺的一部分。近年来，互联网技术的使用和应用， 都得到了惊人的指数级的发展速度。但网络技术的各个组成部分并不能完全均衡的发展，个人隐私 和信息安全面临着着更大的风险。因此，在个人隐私与信息安全之间取得平衡，成为美国整个网络 安全战略中的一大要务。-- 霍华德 A.施密特 6 月下旬，有着“网络沙皇”之称的美国网络安全协调官霍华德.施密特在白宫网站上宣布，发 布《国家网络安全网络空间可信身份国家战略》（ＮＳＴＩＣ）草案。 ＮＳＴＩＣ是为了响应奥巴马总统批准的《网络空间政策评估》中的提出的要求，综合了政府 关键部门，龙头企业和个人隐私等各方面的基础上，撰写而成。最终的目的是建立一个一个以用户 为中心的身份生态认证系统，让用户在身份认证时，能够更多的控制需要提供的个人信息。并且， 在通常情况下，无需提供不必要的个人隐私及相关信息。这个系统建成后，无论是个人还是组织都 能够在信任状态下进行在线业务，保证业务双方的身份认可，以及运行这些业务的基础设施的身份 认可。 施密特在其博客中写到：“个人用户无需再去记忆一个不断扩展的并带有安全风险的用户名和 口令列表以登录系统。通过此战略方案，我们将试图建立起一个安全环境，在这个环境里，个人用 户可以自行选择认证服务提供者（或私或公），以获得一个安全的、共用的、可加强隐私的身份证 安安全全周周报报——中国信息安全博士网 2010 年 7月·第 3期 ·11· 明（如，智能卡，手机的数字证书等等），来保证各种在线业务（如，网上银行，医疗保健记录， 发送电子邮件等）的身份认证安全。” ＮＳＴＩＣ草案的ＰＤＦ文件共 39 页，其核心内容为指导原则、前景构想、任务目标和行动保 障。 指导原则 ＮＳＴＩＣ提出了个四个基本指导原则，一是安全可靠，二是互通共用，三是隐私保护和自由 选择，四是成本效益和易于使用。这个四个指导原则，是本战略中一切任务、目标和行动的根本基 础，是身份认证方案必须符合的要求。 前景构想 为了构造一个安全、有效、易于共用的身份认证环境，促进创新、加强隐私保护、提升选择和 信任度，需要建立一个与自然生态环境类似的身份认证网络生态系统。这个系统由三个层面组成： 执行层保证个人或组织在系统中运行的业务与规则一致；管理层应用和实施环境规则；总控层建立 整个生态系统的基础运行环境规则。 任务目标 为了实施上一节中的前景构想，ＮＳＴＩＣ设定了四个主要的目标任务：一是开发一个综合的 身份认证生态系统框架；二是建立实施一个与身份认证生态系统结合的，互通共用的身份认证基础 设施；三是增强对身份认证生态系统的信任度和参与度；四是保证身份认证生态系统长期有效的运 行。 行动保障 为了保障战略方案的顺利实施，ＮＳＴＩＣ定义了９项联邦政府的行动保障职能： １.指定一个联邦机构来领导公共部门和私人机构共同努力实现前景构想； ２.为公共部门和私人机构制订一个共有的、综合的的执行计划； ３.加速扩充身份认证生态系统中的政府服务、警力部门和龙头企业； ４.尽力实施和加强个人隐私保护； ５.协调风险模型和共用标准的开发和改良； ６.处理好服务提供商和个人之间的责任和利益； ７.普及利益相关者的权限意识和安全意识； ８.继续发展国际间的共同合作； ９.找到促使整个国家使用身份认证生态系统的其他方法。 美国国土安全部现正面向公众征集对草案的建议，ＮＳＴＩＣ的最终方案预计今年秋季定稿。 安安全全周周报报——中国信息安全博士网 2010 年 7月·第 3期 ·12· 西方国家对网络监管毫不手软 来源：互联网 北京 7 月 22 日消息 2008 年 11 月 5 日，也就是奥巴马赢得美国总统选举一天之后，一名叫内 森·瓦恩斯的美国男子向美国陆军征兵司令部发送恐吓奥巴马的邮件，威胁要刺杀奥巴马。不过很 快，他便被警方逮捕，面临最高 5 年的监禁刑罚。 许多西方国家都标榜言论自由，乍一看，它们对互联网似乎没什么管制。但实际上，随着互联 网的日益发展，网络犯罪和利用网络实施危害国家安全的行为日益猖獗，像美国一样，很多西方国 家政府和社会，都对互联网衍生出的问题深恶痛绝，对网络监管日益严密，对网络犯罪打击也绝不 手软。 网络安全危机四伏 德国联邦信息技术安全局 2009 年发布报告说，德国的互联网犯罪形势“极其严峻”，其中尤以 “传播和拥有儿童色情信息”的行为最为严重。在日本，未成年人因登录成人社交网站而受到伤害 的案件也屡屡发生，如一些色情网站以招募兼职为名诱骗女学生卖淫，一些少女与在网络相识的男 子见面后被迫拍下不雅照片并因此受到要挟等等。根据日本警视厅网站公布的数据，2009 年通过手 机上网遭遇伤害的未成年人达 176 人，大大高于 2008 年的 128 人。 澳大利亚最大的电讯公司“澳大利亚电讯”最近委托一家民调公司对 500 名年龄在 10 岁到 17 岁的在校学生的家长进行问询调查，发现 65%的家长都认为网络影响了孩子的学习，让他们难以专 心做家庭作业。这项于 7 月 19 日发表的网络安全研究报告显示，多数在校学生的家长都认为，像 Facebook 和 Twit-ter 这样的网络服务工具已经严重分散了学生的精力，影响了学生的学习。 在韩国，所谓“网络暴力”已引起了一系列悲剧事件。2005 年 6 月，一名女孩因未清除其宠物 狗留在地铁座位上的排泄物，被人用手机拍下后传至网上论坛，从而遭到网友的“人肉搜索”，最终 患上精神疾病。2007 年初，一名韩国当红女歌手(U Nee)也因不堪忍受网络恶毒言论而自杀身亡。2008 年 10 月，“崔真实放高利贷”的传言在网络上不胫而走，导致这位韩国影星备受困扰而自杀身亡。 2009 年 9 月，某医院医务人员因在网上散布竞争对手医院“耽误产妇”的谣言，给对方造成了重大 经济损失。 更有甚者，恐怖分子经常利用互联网传递情报、进行鼓动宣传，甚至组织实施犯罪活动。作为 恐怖主义的“重灾区”，美国的司法和情报机构这双“看不见的手”无时无刻不注视着互联网上的一 举一动，甚至私人电子邮件的内容都受到它们的监控，凡是含有涉及威胁国家安全关键词等敏感信 息的内容，都会引起情报部门的关注。美国的联邦调查局(FBI)专设网络安全局，负责在网络空间执 法。它们不仅打击网络“黑客”、性犯罪分子，还负责打击危害美国的知识产权、国家安全和竞争力 的行为，以及涉及网上欺诈的有组织犯罪行为。 明确规定法律责任 安安全全周周报报——中国信息安全博士网 2010 年 7月·第 3期 ·13· 严管互联网的不仅是美国政府，随着涉及网络的犯罪行为日益增多和多样化，各国政府对于网 络监管都不遗余力，依法对互联网进行监管成为国际通行做法。 1997 年 8 月，德国政府开始实施《信息与通讯服务法》，明确规定了互联网内容提供方、互联 网服务提供方和网络搜索服务提供方的法律责任。法律着重限制包含猥亵、色情、恶意言论、谣言、 种族主义的言论，尤其禁止与纳粹相关的思想言论与图片在互联网上传播。 德国对互联网的最高主管部门是内政部，其下属的联邦刑警局具体管辖。该局自称，“夜以继日 地、系统地、不需任何由头地分析对警方重要的内容，特别是儿童色情内容，同时视情取证、保留 证据、提供证据”。为此，德国联邦内政部和德国联邦警察局专门组织了色情犯罪专家和技术力量成 立了类似“网上巡警”的调查机构，24 小时跟踪分析网上出现的可疑情况。 德国政府还在 2009 年出台了一部反儿童色情法案———《阻碍网页登录法》。根据此法案，联 邦刑警局将建立封锁网站列表并每日更新，互联网服务供应商将根据这一列表，封锁相关的儿童色 情网页。该法案已经获得德国联邦议院和联邦参议院的批准。不仅如此，德国政府还在制定新的打 击互联网儿童色情犯罪法案，将由原来的“封锁”儿童色情网页改为“删除”网页。政府将在所有 法律草案基础上集中致力于删除网上儿童色情网页，并最终出台一部以“删除”为重点的反儿童色 情法。 为将互联网对未成年人的伤害降到最低程度，日本政府在《青少年网络环境整备法》中，对网 络运营商、监护人应承担的责任都做出了明确规定。该法律要求，手机网络运营商在向未满 18 岁的 未成年人提供服务时，必须在手机中安装过滤有害网站的软件；电脑厂商在向未成年人用户出售产 品时，必须为其日后安装过滤软件提供便利；在客户提出要求时，运营商也有义务为顾客提供过滤 服务；监护人则有义务掌握未成年人的上网情况，并通过安装过滤软件等手段对未成年人上网进行 管理等。 “黑名单”联手“实名制” 韩国是世界上最早设立互联网审查机构的国家。早在 1995 年，韩国国会就修改通过了新的《电 气通信事业法》，将“危险通信信息”作为管制对象，并根据该法令组建了信息通信伦理委员会。该 委员会主要业务包括接受不良信息网上举报、对网络进行监察、为网络纠纷进行仲裁、关闭国内非 法或不健康网站、屏蔽国外不良网站等内容。2008 年，韩国政府新成立了“广播通信审议委员会”， 接手了上述职责。 2001 年，韩国先后颁布了《不当互联网站点鉴定标准》和《互联网内容过滤法令》，在法律框 架上确定了信息内容过滤的合法性。《互联网内容过滤法令》禁止互联网服务商接入所有被韩国政府 列入“黑名单”的网站，要求为保护未成年人，必须在网吧、公共图书馆和学校等场所安装过滤软 件，并引入内容分级。同年，信息通信伦理委员会经过审查鉴定，出台了一份包含 11.9 万 个网站地址的“黑名单”，要求互联网服务商加以屏蔽。 安安全全周周报报——中国信息安全博士网 2010 年 7月·第 3期 ·14· 此外，为健全网络管理法规，韩国政府近年来还陆续通过了《促进信息化基本法》、《信息通信 基本保护法》、《促进信息通信网络使用及保护信息法》等法案。这些法律规定，在网络上散布淫秽 色情信息、侮辱诽谤并损害他人名誉、反复发送可诱发恐怖或不安情绪的信息、网络赌博、被认定 为“对青少年有害内容”但却未遵照有关规定履行年龄认证并作出明显标识的，经由广播通信审议 委员会审议，可要求互联网服务商或网站“网管”进行删除或限制，情节严重者可受到两年以下有 期徒刑或罚金的惩处。对泄密和其他违反《国家保安法》的行为，以及教唆犯罪等触犯《刑法》的 行为，则将根据相关法律另行制裁。此外，韩国还开通了名为“违法和有害信息报告中心”的投诉 渠道来监督互联网上不良信息的传播，任何人都可以通过热线电话以及网络在线进行举报。 为规范网络行为、减少不良信息，韩国政府还逐步推动“网络实名制”的实施。2005 年 10 月， 在广泛征求社会各界意见后，韩国政府发布了实名制相关规定。根据规定，网民在网络留言、建立 和访问博客时，必须先登记真实姓名和身份证号，通过认证方可使用。2006 年底，韩国国会通过了 《促进信息通信网络使用及保护信息法》修正案，规定主要门户网站和公共机关网站在网民进行留 言、发布照片、视频等操作前，必须首先对留言者的真实姓名、身份证号码等信息进行记录和验证， 否则将对网站处以最高 3000 万韩元的罚款。由此，韩国成为世界上首个强行实施网络实名制的国家。 2007 年 6 月，韩国日访问量超过 30 万人的 35 家主要网站开始陆续实施实名制，而从 2009 年 4 月开始，实施实名制的范围扩大到日访问量超过 10 万人的 153 个网站。 网络监管全民动员 对于网络监管，动力不仅来自政府层面，现在整个西方社会都认识到了互联网犯罪的威胁，如 果网络管理不当，会给个人、家庭和整个社会带来危害，因此对网络安全齐抓共管，形成了全民动 员严管互联网的态势。 除了内政部外，在联邦政府层面，德国家庭部设立了青少年有害媒介联邦检验局；在州政府层 面设立了青少年媒介保护委员会，其下还设立了青少年保护网络有限公司。它们共同对德国媒体、 网络实施监管，判断其传播的信息是否违反相关法律法规。 其中，青少年保护网络有限公司是德国网络色情内容监管方面最活跃的机构，处理了德国超过 八成的网络色情信息传播事件。该公司要求各服务提供商遵守相关青少年保护规定，敦促网站删除 不符合要求的内容。如果要求没得到回应，公司将通报国家相关机构。与此同时，公司还通过广泛 的国际合作，尽最大可能对提供有害内容的国外服务提供商施加影响。 除了国家方面的管制，政府要求网站必须主动配合青少年保护工作。在德国，含有色情内容的 网站都必须应用“成人认证系统”，通过输入个人信用卡信息、身份证等不同方法来确认访问者的年 龄，否则将被视为违法。 针对互联网犯罪受害者多为青少年的特点，国营的澳大利亚通讯公司专门 推出了介绍网络安全的网站，其内容包括如何指导家长监督孩子们使用网络和通讯工具，像 Facebook、Tw itter、M SN 和聊天室等，以及如何指导高年级的孩子处理好玩与学的关系，寓教于乐， 实现玩耍和学习两不误。 安安全全周周报报——中国信息安全博士网 2010 年 7月·第 3期 ·15· 日本各大移动网络运营商也纷纷推出应对措施，保护未成年人上网安全。如 KDDI 公司曾推出面 向小学生的手机，用户仅可与已保存在电话本内的人通话，手机还配有定位功能和报警器。与以往 的儿童机型相比，这款手机完全删除了网络浏览和短信功能。 同时，各种民间组织也在为防止儿童接触网络有害信息而努力。如日本软银公司和 NPO 法人企 业教育研究会共同展开的“考虑手机———信息传播道德课程”项目，专门为未成年人设立了课程 网站。据 NPO 法人企业教育研究会的荒崎介绍，自去年 12 月开通以来，已经吸引了两万多用户。 在政府和社会各方的共同关注和努力下，日本未成年人网络环境已经出现改善，未成年人受害 者数量呈下降趋势。日本警视厅公布的数据表明，2009 年上半年，因上交友网站而受害的未成年人 为 265 人，比去年同期下降了 25.6%。 病毒播报 流氓网站靠“隐身木马”谋暴利 来源：互联网 本周关注病毒：“隐身脚本木马（Trojan.Script.JS.Quby.d）”警惕程度 ★★★。该病毒采用 JSE 加 密技术，并使用代码自变形手段试图进行隐身，以绕过杀毒软件的查杀。病毒运行后，会采取不同 方法“智能”绕过用户电脑中多种杀毒软件的主动防御，篡改主流浏览器首页地址为恶意导航网站， 修改电脑桌面和开始菜单中的所有快捷方式，并在桌面生成“淘宝网”和“小游戏”图标，用户点 击后会自动访问黑客指定网站，为黑客和恶意网站带来巨大流量。 微软发布快捷方式自动执行”高危 0day 漏洞修复工具 来源：互联网 微软近日刚曝出“快捷方式自动执行”高危 0day 漏洞，攻击代码很快就出现在国内外黑客论坛 中。安全专家警告说，该漏洞涉及 XP、Vista、Win7 等几乎所有 Windows 平台，U 盘、手机、数码 相机、iPod 等所有 USB 设备都将成为木马病毒的传播通道，该漏洞已因此成为 2010 年以来最为严 重的安全漏洞。而这一漏洞在曝光 5 天之后，微软终于发布了一个 FixIt 小工具以修复此漏洞。 该漏洞存在于“Windows Shell”组件中，当受影响系统用户点击或者 Windows Shell 试图加载经 过精心构造的恶意快捷方式图标时，由于 Windows Shell 没有验证指定的参数，可导致恶意代码在本 安安全全周周报报——中国信息安全博士网 2010 年 7月·第 3期 ·16· 地运行。 下载:Microsoft Fix it 50486(修复工具) 下载:Microsoft Fix it 50487（如果使用上述修复工具出现未知错误，请用此工具撤销修复） 注：微软称此为临时解决办法（workaround），微软之后应该还会发布正式补丁，受到影响的系 统有 Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7 以及 Windows Server R2。另外此工具有个 bug，会使任务栏以及开始菜单的图标变为白色，请酌情使用， 或者是等待微软发布正式补丁。 病毒预报 第三百八十九期（2010.7.17-2010.7.23） 来源：国家计算机病毒应急处理中心 国家计算机病毒应急处理中心通过对互联网的监测发现，近期“木马下载器”新变种 （Trojan_Downloader.SLJ)出现。目前,大部分上班族用户会在工作之余玩一些在线游戏、网页游戏等 小型游戏。由于这些 Web 网站提供的小游戏不用下载安装到计算机用户的操作系统中，操作方便轻 松，趣味十足，深受广大上班一族用户的青睐。但是，由于部分小型游戏 Web 网站缺乏安全管理, 同时 Web 网页存在诸多安全隐患（诸如：漏洞），因此恶意攻击者会将该变种植入 Web 网页中，进 行网页挂马攻击。 该变种运行后，会自我复制到受感染操作系统中指定的文件目录下，并将其重新命名后保存。 随之，变种会在受感染操作系统的后台检索系统相关注册表项，在计算机用户不知情的情况下，秘 密截获操作系统中各项资源信息，例如：防火墙、浏览器 IE 默认首页、防病毒软件、系统版本、网 卡物理地址（MAC 地址）、IP 地址和系统软件等。然后，变种会将截获到的系统信息利用加密方式 上传到互联网络中指定的服务器上。恶意攻击者一旦掌握到这些系统信息，就会利用其对操作系统 进行远程入侵攻击。 除此之外，变种会迫使受感染的操作系统主动连接访问互联网络中指定的 Web 服务器，下载其 他木马、病毒等恶意程序。 专家提醒： 针对新变种，国家计算机病毒应急处理中心建议广大计算机用户采取如下防范措施： （一）针对已经感染该变种的计算机用户，我们建议立即升级系统中的防病毒软件，进行全面 杀毒。 （二）针对未感染该变种的计算机用户，我们建议打开系统中防病毒软件的“系统监控”功能， 从注册表、系统进程、内存、网络等多方面对各种操作进行主动防御，这样可以第一时间监控未知 病毒的入侵活动，达到全方位保护计算机系统安全的目的。 安安全全周周报报——中国信息安全博士网 2010 年 7月·第 3期 ·17· Safari 新漏洞可导致个人数据被窃 来源：互联网 安全人员 Jeremiah Grossman 今天发表的 Safari 漏洞可以轻易地让黑客窃取您的通讯簿联系人。 问题发生在 Safari 浏览器的自动填充功能，本次出现的漏洞相当可怕，它可以让攻击者获取到 您所有联系人的工作、居住地址甚至是电子邮件地址。安全人员发布还发布了一个验证该漏洞的概 念代码网站，将您的联系人姓名，公司，城市，州，国家和电子邮件全部列在一个页面上。该漏洞 目前影响 Safari 4 和 5，主要影响 Mac 系统，不过 Windows 用户在攻击代码修改后也仍有可能受到 影响，您可以通过禁用自动填充功能来暂时修补该漏洞。 一种威胁很大的窃密病毒下周网上爆发 来源：新华网 上海计算机病毒防范服务中心２３日发出预警：一种威胁很大的窃密病毒下周将在网上爆发， 计算机用户须谨防个人信息泄露。 据介绍，这种名为“侵蚀者变种”的病毒是一个木马释放器，病毒运行后会在被感染系统释放 恶意驱动程序，并不断与控制端进行连接，如果连接成功，则被感染的计算机就会沦为傀儡主机。 黑客可以向被感染的计算机发送恶意指令，从而执行任意控制操作，其中包括：文件管理、进程控 制、注册表操作、服务管理、远程命令执行、屏幕监控、键盘监听、鼠标控制、音频监控、视频监 控等，会给用户的个人隐私构成严重的侵害。 反病毒专家建议，电脑用户应安装安全软件并及时升级，尤其注意不浏览不良网站，不随意下 载安装可疑插件，不接收ＱＱ、ＭＳＮ、Ｅｍａｉｌ等传来的可疑文件，良好的上网习惯是防范此 类病毒最有效的措施。 安安全全周周报报——中国信息安全博士网 2010 年 7月·第 3期 ·18· 产业动态 微软明确 2011 年五大重点：虚拟化及云计算 来源：比特网 据国外媒体报道，微软负责全球合作伙伴销售的副总裁 Ross Brown 提出了微软战略上要重视的 业务。他在对将近 400 名微软的合作伙伴发布了热情洋溢的演讲，并列出了合作伙伴当前的收入机 会。 1.Windows 优化的桌面：这个把 Windows 与全部的主要商务应用程序和系统中心捆绑在一起的 产品从今年 11 月开始将提供每个用户席位 3 至 5 美元的奖励。 2.虚拟化：Brown 宣传了微软虚拟化产品组合的广度并且从今年 10 月开始为新的虚拟化业务提 供 20%的交易注册奖励。 3.Windows Intune：这种新的多功能一体 PC 管理云计算服务将让许多合作伙伴对于集中管理和 管理的服务感到非常兴奋。 4.微软在线服务：使用微软历史上最广泛的具有云计算功能的应用程序和开发工具，微软显然 要让合作伙伴制作应用程序和服务，并且对早期应用这些工具的合作伙伴给予奖励。 5.Sharepoint：作为每年经营费用达 10 亿美元的微软历史上增长速度最快的服务器产品，这个 协作工具在整个会议期间都进行了报道。微软将推动合作伙伴像为 Azure 开发程序一样围绕 Sharepoint 开发应用程序和工作流。 Brown 还透露了微软在 2011 财年的目标。包括把微软变成一个低成本、高价值的平台;继续提高 做生意的方便性;帮助合作伙伴把自己的业务转向云计算服务;消除微软与合作伙伴投资回报的竞争; 奖励推动市场增长的合作伙伴等。 未危害国家安全 工信部解读谷歌获 ICP 牌照理由 来源：IT 商业新闻网 谷歌中国的 ICP 牌照日前已经通过工信部的年检。在此之前，中国政府将有可能不允许谷歌 ICP 许可证续期。这期间的疑问和矛盾一直存在，但业界始终没有得到官方对此解释的可靠消息。 2010 年 7 月 20 日上午，在国新办召开的介绍上半年我国工业通信业经济运行情况的新闻发布 会上，工信部通信发展司司长张峰首次对外以官方的身份给予了最新版本的解释。 在发布会上，张峰表示，“谷歌中国不存在危害国家安全、损害国家利益、煽动民族仇恨、宣传 安安全全周周报报——中国信息安全博士网 2010 年 7月·第 3期 ·19· 封建迷信、破坏社会稳定、散布淫秽色情暴力恐怖以及诽谤他人等相关内容，并接受主管部门的监 督检查。经审核，其年检整改事项基本符合规定。” 另据 IT 商业新闻网记者了解，当有人提及工信部为何允许谷歌提供未经审查的香港网页链接 时？张峰表示，那是企业本身经营者的自由。 张峰说，谷歌（中国）在中国注册的合资公司，也就是北京谷翔信息技术有限公司，已于 6 月 29 日向工业和信息化部提交了年检的整改措施。 张峰最后表示，“根据《电信业务经营许可》的规定，北京谷翔信息技术有限公司年检 结果为经整改后合格。 谷歌 CEO 对获取在华互联网经营许可证充满希望。 谷歌首席执行长施密特说，他预计中国政府将允许谷歌在华互联网许可证续期，点燃了在数月 的不确定之后保持连续运营的希望。 施密特是在投资公司 Allen & Co.在美国太阳谷(Sun Valley)举办的媒体大会上发表上述言论的，正 值谷歌将停止把中文搜索网站的搜索请求自动转至香港网站之际。在此之前，中国官员威胁将不允 许谷歌许可证续期。 施密特说，他对解决许可证的问题充满希望，进而让谷歌可以在大陆保持部分业务。他拒绝猜 测时间，只是说你“得问中国政府”。 谷歌公司向中国市场低头。 谷歌是否留在中国？业界争论很久。其中有评论分析人士认为，谷歌肯定愿意留在中国。否则， 它可以彻底废掉“google.cn”的网站，它在华的合资公司谷翔公司也大可不必再向中国政府申请 ICP 经营牌照。说到底，在中国法律面前，谷歌最终还是低下了傲慢的头。 不过，谷歌公司似乎并不善罢甘休。一面让代理商申请牌照，一面又让自己公司高层发博客文 章，宣称“要确保 Google.cn 不对搜索结果进行审查的承诺”。于是，全球网络史上从未出现过的奇 怪搜索现象出现了，点击“Google.cn”就会有“我们已移至 Google.hk.com”提示，再点一下就到了 “Google.hk.com”。 换句话说，谷歌想留在中国，保全所谓“Google.cn”的经济利益，又想用提示网址的方法，在 西方舆论继续得分，但是这种把戏看似取巧，实则拙劣。 过去几个月，谷歌是够能折腾的。在世界各地，谷歌公司虽标榜“不作恶”的商业原则，却到 处兴风作浪，受到了许多国家的谴责。在中国，谷歌公司的反反复复，牵涉了多少人的精力，干扰 了多少人的生活，现在，中国网民已对谷歌很不耐烦了。 早有调查显示，约 87%的受访网友对谷歌退出“无所谓”，只有约 13%的受访网友表示“很可惜”。 越来越多的中国老百姓看清了谷歌的两面手法。中国人真是希望谷歌能老老实实在中国做生意，如 果它真的愿意的话。 事实上，笔者获悉，谷歌还是真想留下来的。数周前，谷歌副总裁曾向中国政府做出承诺：作 安安全全周周报报——中国信息安全博士网 2010 年 7月·第 3期