7月第3周安全回顾 Oracle发布补丁合集 通讯安全受忽视

  1. 云栖社区>
  2. 博客>
  3. 正文

7月第3周安全回顾 Oracle发布补丁合集 通讯安全受忽视

技术小美 2017-11-01 14:45:00 浏览1032
展开阅读全文
本文同时发表在[url]http://netsecurity.51cto.com/art/200807/82095.htm[/url]
 
本周(080714至080720)的信息安全威胁程度为低。
推荐阅读:
 
1)美国政府发布针对IT经理的信息安全指导,推荐指数:高
美国政府下属的国家标准和技术委员会(NIST)发布了一个指导文档,这份名为《特别文档: SP800-53A,联邦信息系统安全控制评估指导》的指导文档旨在帮助企业和组织的IT经理更有效的评估信息系统安全控制是否恰当,它的组织和内容也相当有价值。推荐目前从事企业IT经理、部门主管或有兴趣的朋友仔细了解一下,这个文档可在如下链接中找到:
[url]http://csrc.nist.gov/publications/nistpubs/800-53-Rev2/sp800-53-rev2-final.pdf[/url]
2)Gartner报告称,基于云的安全服务将成为新热点,推荐指数:中
17日,市场研究机构Gartner发表报告称,基于云计算技术的安全服务将会在未来五年内有长足的发展,相对于现在为信息通讯提供支持的安全软件即服务(SAAS)模式每年20%的增长率,基于云计算技术的安全服务将在未来五年内以每年60%到80%的速度增长。目前云计算技术越来越热,许多大厂商纷纷按照自己的理解推出云计算产品,安全厂商如何适应这一潮流? 这个文章或许能够提供一点启示。
3)八千万Facebook用户面临身份识别窃贼的威胁;推荐指数:高
在知名交友网站Facebook意外的将所有用户的私人保密信息设置成公众可以访问之后,超过8000万的Facebook用户面临身份识别窃贼的威胁。Facebook的安全问题在近两年不断暴露出来,作为国内众多交友网站模仿的对象,在借鉴的过程中如何防止同时复制Facebook层出不穷的安全问题,将是这些国内交友网站的管理层最需要关注的问题。关于隐私保护的更深入讨论,请关注笔者的另外一个系列文章《51CTO隐私保护技术探讨》
 
要闻回顾:
 
媒体方面,本周值得关注的新闻集中在漏洞补丁、消息安全领域
 
漏洞补丁:Oracle发布补丁合集;关注指数:高
新闻:7月17日,来自Darkreading.com的消息。数据库厂商Oracle发布新的补丁合集,该补丁合集包含45个独立的补丁程序,共修补了23个Oracle产品,包括Oracle的数据库产品、应用服务器,以及Oracle最近收购的BEA产品等中存在的不同威胁等级的漏洞。
笔者观点:不久前安全业界进行的一次数据库安全调查表明,数据库应用因为在企业业务系统中的重要地位,管理人员往往不敢随意对其实施补丁升级操作,从而导致企业数据库应用往往存在轻重不等的安全漏洞,这种情况在Oracle等大型数据库产品上尤其严重。由于这次Oracle发布的补丁升级中再次包括十多个针对Oracle数据库的补丁,修补的漏洞大多是入侵者或者蠕虫可能用于侵入数据库系统的严重漏洞,因此,建议企业用户尽快应用这些补丁升级,如果用户对实施补丁升级可能造成业务中断或数据丢失有顾虑的话,可以采取对数据库系统边界进行安全加固的方式,来降低外界利用这些漏洞对数据库发起攻击的风险。

消息安全:企业忽视统一通讯安全;关注指数:高
新闻:7月17日,来自ITnews.com.au的消息,知名安全评论媒体Light Reading最近发表一个关于企业统一通讯的安全报告称,大多数的企业忽视了当前使用的统一通讯方案的安全,没有实施恰当的安全控制,从而使得外界的恶意入侵者能够轻易的进入或破坏企业的统一通讯系统。该报告还显示,目前提供统一通讯的厂商已经认识到安全的重要性,有的厂商已经开始协同第三方的安全专家对自己的产品进行安全功能方面的升级,但作为使用者的企业安全意识仍非常薄弱。
分析:统一通讯是指克服计算机网络和电信网络之间的障碍,并投送实时的信息、语音和视频信号到桌面环境的一系列技术,VoIP技术、视频会议技术和即时通讯技术都属于这个范畴。许多厂商的统一通讯产品,大都以VoIP解决方案为主导,同时添加视频会议和即时通讯功能,随着近两年安全业界对VoIP安全的日益重视,目前许多厂商的统一通讯解决方案也增加了加密通信、安全传输、使用审计等高级的安全功能。但和电子邮件服务最开始在企业领域应用的情况类似,企业的IT管理员往往不熟悉如何加固和维护统一通讯服务,而大多数的用户也都只会使用统一通讯服务所提供的通讯功能,却不会正确使用统一通信服务提供的安全服务来对自己的信息进行保护。
笔者观点:随着统一通讯服务在企业领域的日益扩散,攻击者对缺乏保护的企业统一通讯服务的攻击行为将会有大幅度的增加,并有可能出现针对企业高价值信息或服务滥用的针对攻击行为。此外,因为统一通讯服务在企业IT架构中的重要度上升,意外或攻击原因的服务品质下降或停止,也会对企业业务的进行产生严重影响,因此,保护企业统一通讯服务的安全及提供相关的产品、服务,将可能成为安全市场上的一个新热点。






本文转自J0ker51CTO博客,原文链接:http://blog.51cto.com/J0ker/88842,如需转载请自行联系原作者

网友评论

登录后评论
0/500
评论
技术小美
+ 关注