【摘要】在近幾年的信息安全領(lǐng)域，以基礎(chǔ)設(shè)施的漏洞安全、云安全、社交網(wǎng)絡(luò)的信息泄露、移動智能終端的安全為代表的安全領(lǐng)域得到了研究人員的關(guān)注。這些安全領(lǐng)域體現(xiàn)出了以下幾個特點：以微軟為代表的操作系統(tǒng)和瀏覽器等基礎(chǔ)設(shè)施的安全漏洞仍然占據(jù)了首要地位；移動智能終端面臨的安全漏洞風(fēng)險急劇增加，尤其是Android系統(tǒng)平臺；大型社交類網(wǎng)站或社區(qū)的用戶信息日益頻繁的出現(xiàn)泄露事件；云計算領(lǐng)域的安全漏洞開始逐步顯現(xiàn)，本文是對以上安全領(lǐng)域問題的研究。

【關(guān)鍵詞】安全漏洞；信息安全；安全領(lǐng)域；網(wǎng)絡(luò)安全

一、云計算領(lǐng)域的安全漏洞開始逐步顯現(xiàn)

云計算是近些年來快速發(fā)展的信息化潮流，其各種解決方案和產(chǎn)品一直以來受到各個廠商的關(guān)注。但隨著云計算在各個領(lǐng)域和行業(yè)的實施，其安全漏洞也開始顯現(xiàn)。主要的問題來自于三個方面：虛擬化軟件本身的漏洞、虛擬機應(yīng)用程序的漏洞以及云計算用戶身份認(rèn)證的安全漏洞。

在虛擬化軟件發(fā)布的早期，虛擬化軟件產(chǎn)品的安全漏洞較多，但是隨著云計算這些年的快速發(fā)展，虛擬化軟件產(chǎn)品的安全漏洞已經(jīng)比較少見。而云計算虛擬機應(yīng)用程序如中間件和應(yīng)用程序虛擬化版本的安全漏洞出現(xiàn)頻率有所增加，如Oracle在3年前針對Oracle Fusion Middleware中間件和Oracle Virtualization Product Suite發(fā)布了約幾十個安全漏洞。尤其是隨著以SaaS云為代表的計算模式和以微軟為代表的PaaS云計算平臺的建設(shè)，這些中間件軟件產(chǎn)品的安全和應(yīng)用程序的安全漏洞等級會逐漸增加。同時，在這種SaaS和PaaS的公有云建設(shè)模型中，云計算用戶的身份驗證和對關(guān)鍵數(shù)據(jù)的訪問許可顯得尤為重要，認(rèn)證管理程序或系統(tǒng)本身存在的軟件漏洞，必將嚴(yán)重影響到云計算的安全，特別是BYOD概念的引入更增加了系統(tǒng)識別的復(fù)雜度。而黑客在假冒身份入侵云計算主機獲取管理權(quán)限后，可能利用云計算的高帶寬發(fā)起較大規(guī)模的DDoS安全攻擊。預(yù)計這些細分領(lǐng)域?qū)⒊蔀槲磥碓朴嬎惆踩芯康闹攸c。

二、以Android系統(tǒng)平臺為代表的移動智能終端所面臨的安全漏洞

隨著移動互聯(lián)網(wǎng)的盛行，手機瀏覽器的安全漏洞問題也變得更加突出，手機惡意軟件數(shù)量呈現(xiàn)爆炸式增長。針對蘋果IOS操作系統(tǒng)、Android系統(tǒng)陸續(xù)出現(xiàn)過“熱插拔 SIM 卡繞過密碼鎖定”、“無需解鎖訪問相機膠卷”、“Safari移動瀏覽器異常代碼導(dǎo)致黑客可以通過特殊通道訪問IOS設(shè)備的內(nèi)存運行惡意代碼并竊取用戶內(nèi)容”、“應(yīng)用開發(fā)者通過要求獲取用戶當(dāng)前地理位置的對話框來讀取用戶設(shè)備的照片庫信息”等安全漏洞。黑客利用其中的安全漏洞可以登錄智能終端并隨意竊取用戶的照片、視頻等個人隱私。Android智能終端相比蘋果遭受的安全漏洞風(fēng)險更加嚴(yán)重：一方面是因為作為開放性平臺Android發(fā)展非?？?，應(yīng)用相當(dāng)廣泛；另一方面開源平臺本身的安全程序管理相對比較寬松，開發(fā)者人數(shù)眾多且水平參差不齊，更容易在軟件中存有漏洞。在近年來國內(nèi)移動智能終端共發(fā)現(xiàn)了接近幾萬個帶有后門漏洞的惡意軟件，其中Android占據(jù)了超過75%的比例。

預(yù)計隨著移動智能終端處理器性能的快速提升、用戶互聯(lián)網(wǎng)行為的增加，以及多媒體存儲播放平臺的功能定位，移動智能終端的安全漏洞風(fēng)險將繼續(xù)存在。

三、大型社交網(wǎng)站用戶信息的泄露

盡管2011年SONY的密碼信息泄露和CSDN社區(qū)近700萬用戶的明文密碼泄露給IT業(yè)界敲響了警鐘，但是由于資金和技術(shù)等各種原因?qū)е潞芏嗟纳缃痪W(wǎng)絡(luò)仍然難以在安全方面領(lǐng)域方面進行徹底的改造，從而導(dǎo)致該類事件層出不窮。

2012年Yahoo旗下子網(wǎng)站Yahoo Voice的幾十萬個用戶名和非加密密碼被公開泄露。黑客通過常規(guī)的SQL注入技術(shù)得以入侵該網(wǎng)站關(guān)鍵服務(wù)器。更為讓人震驚的是Yahoo旗下的這些用戶名和密碼，竟然仍然是以明文的方式進行保存，其給用戶帶來的損失難以估量。

同年作為擁有超過上億用戶的社交網(wǎng)站Linkedin發(fā)生了用戶信息泄露事件。黑客通過網(wǎng)站安全漏洞竊取了Linkedin近7百萬名用戶的密碼，并把它們公布到俄羅斯InsidePro網(wǎng)站上，盡管這些用戶資料采取了SHA-1的加密存儲，但是仍然有超過30萬的用戶因為采取較弱的密碼被破解。LinkedIn官方確認(rèn)了這件事情并發(fā)布緊急通知建議用戶在網(wǎng)站登錄界面修改密碼，并提醒用戶不要點擊注冊郵箱中的未知銜接、定期更改密碼等。軟件服務(wù)商本身對安全漏洞有一個不斷總結(jié)和優(yōu)化的過程，但是特性不斷豐富的應(yīng)用程序也可能帶來新的安全漏洞風(fēng)險.

四、以微軟為代表的操作系統(tǒng)和瀏覽器等基礎(chǔ)設(shè)施的安全漏洞

因為操作系統(tǒng)和瀏覽器在IT系統(tǒng)中的支撐地位，導(dǎo)致了對其安全漏洞的挖掘一直是黑客關(guān)注的重點。其中微軟因為其產(chǎn)品的廣泛市場份額和認(rèn)知度，一直是黑客的興趣所在，近幾年來微軟的操作系統(tǒng)和IE瀏覽器等主要軟件的安全漏洞數(shù)目每年保持在100個以上，漏洞涉及到Microsoft Windows、Internet Explorer、Office、LYNC、NET框架、開發(fā)工具軟件和服務(wù)器軟件等多個產(chǎn)品。預(yù)計未來幾年該類操作系統(tǒng)和瀏覽器漏洞仍然是安全研究的重點。

相比于微軟安全漏洞發(fā)布的波瀾不驚，蘋果操作系統(tǒng)和瀏覽器等軟件則成為了近年來的漏洞發(fā)布大戶。蘋果的生態(tài)系統(tǒng)相對安全的觀點受到了挑戰(zhàn)。統(tǒng)計數(shù)據(jù)表明，在蘋果發(fā)布了的安全漏洞中，其中有30%的漏洞都被視為重要的安全漏洞，而其每年發(fā)布的安全漏洞數(shù)目也達到了近百個。尤其是2012年的Flashbox木馬攻擊事件，對互聯(lián)網(wǎng)的用戶安全造成了嚴(yán)重的影響。

展望近些年來的信息系統(tǒng)的安全研究工作，我們認(rèn)為常規(guī)的操作系統(tǒng)瀏覽器類的安全漏洞、大型社交類網(wǎng)站或社區(qū)的用戶信息泄露風(fēng)險、第三方應(yīng)用程序安全漏洞是未來研究的重點方向。軟件服務(wù)商本身對安全漏洞有一個不斷總結(jié)和優(yōu)化的過程，但是特性不斷豐富的應(yīng)用程序也可能帶來新的安全漏洞風(fēng)險，預(yù)計近幾年這些領(lǐng)域的安全漏洞數(shù)目仍然將維持在一個相對較高的水平。同時，在安全領(lǐng)域研究的工作也會出現(xiàn)新的特征，主要體現(xiàn)在兩個方面：一方面是針對移動智能終端的漏洞安全形勢會更加嚴(yán)峻。隨著移動智能終端性能和功能的進一步提升，移動互聯(lián)網(wǎng)應(yīng)用會更加普及，基于智能終端的互聯(lián)網(wǎng)行為也會更加豐富，由此將導(dǎo)致更多的針對智能終端的安全攻擊。另一方面，國內(nèi)的云計算市場目前還處在初級階段，用戶對于云計算安全的擔(dān)憂導(dǎo)致了很多企業(yè)或個人的關(guān)鍵數(shù)據(jù)并沒有真正放到云端。在云計算服務(wù)器的推動下，個人用戶會更多的利用互聯(lián)網(wǎng)的云端資源，來存儲自身的音樂、視頻、照片等隱私內(nèi)容，而企業(yè)用戶為了節(jié)約成本也會逐步將非關(guān)鍵數(shù)據(jù)轉(zhuǎn)移到云端，這也對云計算的安全提出了挑戰(zhàn)，預(yù)計在未來幾年針對云計算的安全攻擊會更加明顯。