返回
云计算下的信息安全(含事例分析)

云计算下的信息安全(含事例分析)

ID:42968312

大小:47.00 KB

页数:9页

时间:2019-09-23

云计算下的信息安全(含事例分析)_第1页
云计算下的信息安全(含事例分析)_第2页
云计算下的信息安全(含事例分析)_第3页
云计算下的信息安全(含事例分析)_第4页
云计算下的信息安全(含事例分析)_第5页
资源描述:

《云计算下的信息安全(含事例分析)》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、从信息安全大事件分析云计算下信息安全影响本文从Stuxnet蠕虫病毒、CSDN网站用户数据泄露心脏滴血J个事件分析当今信息安全面临的-些问题。因笔者才疏学浅,仅从云计算一个角度,管中窥豹地分析了网络安全对世界的影响。一.事件之Stuxnet蠕虫病毒Stuxnet及其变种是一种利用最新的WindowsShell漏洞传播恶意文件的蠕虫,被多国安全专家形容为全球首个“超级工厂病毒”,又名“震网”,主要针对微软件系统以及西门了工业系统。造成这个漏洞的原因是Windows错误地分析快捷方式,当用户单击特制快捷方式的显示图标时可能执行恶意代码(文件带有・LNK扩

2、展名)。伊朗第一座核电厂“不什尔电厂”已成为其攻击目标。Stuxnet蠕虫病毒最人的特点是打破恶意程序只攻击用户电脑的“惯例”,将攻击目标偏向于用户的生活与生存环境上來。一旦用户的电脑不幸遭受Stuxnet蠕虫病毒入侵,不但会使用户电脑变成任由其摆布的“肉鸡”,而且还会引发“多米诺骨牌效应”,导致与受害用户联网的人群遭受同样攻击,显然大数据和云计算的策略加剧了它的效果。该病毒可通过伪装RealTek与JMicron两大公司的数字签名,从而顺利绕过安全产品的检测。从编写手法上看,该病毒将来很叮能出现同样原理的复杂病毒。Stuxnet病毒还会不断的变种,

3、其隐蔽性、攻击力度和破坏程度会越来越强,易于修改以产生新的变种,从而逃避反病毒软件的搜索。另外,新病毒利用Java、ActiveX.VBScript等技术,可以潜伏在HTML页面里,在上网浏览时触发。与黑客技术相结合,潜在的威胁和损失更大。将此事件联系到我国的核电站建设中,可分析得以下几点存在安全隐患:物理隔离存在风险,工业控制系统固有缺陷,专业性攻击的日益简单化,核电站工业控制系统的标准。考虑到云计算和大数据的来临,更对于Stuxnet病毒的传播带来了更大的方便,也对每一个网络节点的抗毒带来了丨[大的压力。一.事件之CSDN网站用户数据泄露2011

4、年,CSDN网站用户数据库被黑客在网上公开,大约600余万注册邮箱账号和与之对应明文密码泄露。黑客很有可能是通过CSDN的某项应用服务器为通道实施的入侵。但CSDN网站的相关人员可以肯定的是,CSDN云平台确实存在不能够及吋发现的安全漏洞以至于才让黑客利用这个漏洞找到了入侵的机会。和中国已列出的云计算安全七宗罪来看,其中“共享技术漏洞”和“不安全的应用程序接口”最有可能是出现此次CSDN泄密事件的罪魁祸首之一。从密码安全的角度去分析这个问题,我们可以看到:CSDN被泄露的数据库中包含了642万多个用户的帐号、密码等信息,严重威胁了相关用户的信息安全。

5、此次事件之后,人人网、猫扑、嘟嘟牛、178游戏网等多家网站的部分用户数据库也纷纷被传到网上并提供下载,甚至有媒体曝光国内十几家大型门户级网站的数据库也已经被黑客“拖库”,因此将2011年末的密码危机推向了高潮。“拖库”一词本来是数据库领域的专业术语,通常泛指从数据库中导出数据。黑客如果通过某种非正常途径入侵网站后,就可以窃取其中的数据库,下载所有信息。从目前网站系统来看,在密码保存上,使用最多的算法就是国际通用的标准算法MD5HASH算法。但实际上,HASH算法本身设计的初衷并不是用来加密,而是用来消息验证的。网站开发人员一般都是因为HASH算法具有

6、不可逆的特性所以用其来保存密码的。可是,HASH算法的不可逆是有一个前提假设的,那就是明文集合是无限大的。但平时设置的口令并不一样,口令的长度一般都比较短,同时可使用的字符也非常有限,这样HASH算法的单向性已经失去了它原有的意义,黑客已经可以通过一个完整的明文和密文的对照表(彩虹表)中找到口令明文的还原。因此,应想一些策略来应对,如采用“一粒盐”的做法。就是在MD5生成的HASH值后增加一个扰动,使得HASH值与标准的HASH结果不同,这样就可以抵抗通过查找彩虹表来查找明文了。一.事件之0penSSL心脏滴血2014年4月7日OpenSSL发布了安

7、全公告,在OpenSSLl.O.l版本中存在严重漏洞(CVE-2014-0160)oOpenSSLHeartbleed模块存在一个BUG,问题存在于ssl/dl_both.c文件中的心跳部分,当攻击者构造…个特殊的数据包,满足用户心跳包中无法提供足够多的数据会导致merrKpy函数把SSLv3记录之后的数据直接输出,该漏洞导致攻击者可以远程读取存在漏洞版本的OpenSSL服务器内存中多达64K的数据,这段内存数据可能包含证书私钥、用户名与密码、聊天信息、电子邮件、重要的商业文档、通信等数据。SSL协议是指安全套接字层(SecureSocketLaye

8、r)协议⑴,Netscape公司于1996年推出的安全协议,它由3个阶段组成』卩初始握手阶段、应用之间对话阶

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。