中科院揭露360伪安全面个具 信息安全风雨飘摇.docVIP

中科院揭露360伪安全面具 信息安全风雨飘摇 360浏览器侵犯用户隐私话题再次引人关注。据《上海青年报》11月23日报道，中国科学院信息工程研究所主办的“隐私保护”学术研讨会在京召开。会上一份由中科院保密技术攻防重点实验室研究撰写的《个人隐私泄露风险的技术研究报告》报告揭示：一直以安全为名的360浏览器在架构设计、运作原理方面竟然存在着三大隐私安全问题，将会给用户安全带来严重危害。 中科院针对当前互联网常用产品及服务的隐私保护问题进行了整体研究，涉及浏览器、即时通讯、电子商务、社区网站等多个类别。在浏览器隐私保护情况的研究章节里，中科院信息工程研究所研究人员对360安全浏览器进行了详细的研究和分析，并归纳列举出360安全浏览器存在的三大安全问题，其中包括： 收集用户所打开过的浏览页面地址、收集用户在浏览器地址栏输入的信息以及预留后台端口，在用户不知情的情况利用云端指令，在后台执行《安装许可协议》规定内容之外的功能等。 调查中，研究人员通过专业技术手段对整个软件运行过程及环境进行了综合测试，证实了360确实存在安全问题，并在实验室进行了多次复现。研究人员在报告中举例称，当用户在360安全浏览器地址栏中输入一个完整的网址时，360浏览器会向360公司的特定服务器依次发送用户的每一次输入数据直至输入完成，发送的信息包含了能够确定用户唯一性的ID，这可能会导致特定用户的地址栏输入以及浏览记录容易被跟踪和泄漏。另有分析显示，“这些组件或以欺骗的方式被下载到电脑以实现360安全浏览器的某些未明示的功能，也可能造成用户的电脑被恶意侵入”。 下图所示为当用户在360安全浏览器5.0的地址栏中输入“”的过程中，每输入一个字符，浏览器就会向发送当前浏览器地址栏中的内容(即“w”、“we”、“wei”、“weib”、“weibo”、“weibo。”、“weibo.c”、“weibo.co”、“”)。 面对沸沸扬扬的“360隐私泄露门”， 10月25日，工信部新闻发言人、通信发展司司长张峰表示，工信部已经介入调查方舟子指控的奇虎360浏览器窃取用户隐私一事，“如果查实确有违法违规行为，将依法予以严肃处理”。360方面随即宣布将主动将产品送至国家质检总局和工信部检验。 致力于建设数据防泄漏事业的安全厂商——山丽网安安全专家认为，作为安全软件不遵守软件安全机制设计的重要原则最小特权原则，而是利用特殊权限，进行非功能实现所必须的操作，360这种伪安全行为对系统权限的滥用将影响到用户系统的信息安全。 根据此次中科院的研究报告，和之前社会各界对360软件安全性的质疑，360公司以安全为名、行盗取泄漏用户隐私之实的一系列行为，已经严重违反了工信部2011年第20号令颁布并于2012年3月15日实施的《规范互联网信息服务市场秩序若干规定》中的相应条款。 计算机网络用户的隐私如果不妥善的保护，与用户相关的图片、个人信息和网银密码等信息将会被各种攻击者获取。到时，用户面临的将是形象与经济的双重损失。因此，山丽网安安全专家将给出一些可以用来保护计算机网络用户隐私信息安全的方法，帮助广大网络用户知道使用什么样的安全防范去保护自身隐私的安全。 使用操作系统文件及文件夹权限管理保护隐私信息的机密性 在操作系统下，文件许可权限主要有写(w)、读(r)和执行(x)这三种权限。对文件来说，写权限就是指文件可以被指定的用户或组修改和删除，读权限就是指指定的用户或组只可以读取文件内容，执行权限就是指可执行文件可以被指定的用户或组运行。对于文件夹来说，写权限就是指指定的用户或组可以列出文件夹内容和删除目录，读权限就是指文件夹只可以被指定的用户或组列出内容，执行权限就是指文件夹下的可执行文件可以被指定的用户或组所运行。 在操作系统下对隐私文件或文件夹设置完文件许可权限后，我们还应该再设置它们的文件属性，来进一步保证这些隐私文件的安全。我们可以通过使用lsattr命令来显示文件或文件夹的属性，也可以使用chattr命令来修改文件或文件夹的属性。Chattr命令有一些非常有用的选项，来保护文件和文件夹的安全。例如，“-i”选项用来指定文件或文件夹不能被任何用户删除、修改、重命名，以及进行硬连接。其它一些能保护文件或文件夹安全的 　　选项如下所示： 　　(1)、-a选项表示此文件只能以追加的方式打开; 　　(2)、-d选项表示文件不能被转储; 　　(3)、 -s选项表示在删除文件时完全删除而不能被恢复。 　　Chattr命令的格式如下所示： 　　chattr [+ -] [a i s d …] 文件名 　　在上述命令格式中，“+”号表示增加某个文件属性，“-”号表示除去某个文件属性。这个命令其它的选项说明，可通过使用“-?”选项得到。 　　在这里要注意的是，在LINUX系统中，是区分大