媒體方面：本周值得關注的新聞集中在漏洞攻擊、威脅趨勢和電子商務安全領域。

漏洞攻擊：Microsoft警告IIS服務器中存在嚴重漏洞；關注指數：高

新聞：周二，來自ITnews的消息，Microsoft當天發布安全公告稱，旗下產品IIS Web服務器和MS SQL數據庫服務器中存在一個嚴重的代碼處理漏洞，如果黑客成功利用該漏洞，將可以在運行該這兩種產品的服務器上得到系統權限。目前Microsoft已經確認，該漏洞影響的操作系統范圍包括Windows XP SP2、Windows Server 2003、Windows Vista和Windows Server 2008。Microsoft還稱，目前尚未接到有針對該漏洞的攻擊報告，因此正在考慮是盡快還是等到稍晚一點的5月例行補丁升級周期，再發布針對該漏洞的補丁程序。

筆者觀點：根據Microsoft在周四對該漏洞發布的補充公告稱，該漏洞主要影響IIS Web服務器，尤其是當IIS Web服務器將ASP.NET代碼的執行信任級別設置為完全信任時。而MS SQL數據庫服務器所受的影響較小，因為MS SQL服務器上很少有將執行權限授予所有用戶的情況。Microsoft還在補充公告中提供了解決這個漏洞的臨時設置建議，用戶可以在以下鏈接： http://www.microsoft.com/technet/security/advisory/951306.mspx中找到進一步的消息。

筆者建議：雖然這個漏洞對默認安裝的IIS Web服務器和MS SQL數據庫服務器的影響不大，對提供基于Windows ASP.net技術的網頁空間提供商，或是對內部部門提供共享Web服務器的企業來說，卻是一個嚴重的安全隱患，黑客在成功入侵并上傳Webshell之后，將能夠通過這個漏洞達到控制服務器的目的，并進一步進行惡意代碼注入、敏感信息盜取等攻擊。建議采用上述代碼信息級別配置的相關用戶，盡快根據Microsoft補充公告中的配置建議進行修改，并隨時關注Microsoft的補丁公告，及時進行軟件版本的升級。如果在配置調整過程中出現原有網站代碼無法正確執行的情況，可通過修改代碼或暫時禁用受影響功能來解決。

威脅趨勢：新SQL Injection技術威脅Oracle數據庫；關注指數：高

新聞：周四，來自TechTarget的消息，數據庫安全專家David Litchfield日前公開了一種針對Oracle數據庫的新SQL Injection技術，這種稱為旁路注入（Lateral Injection）的技術的攻擊手法，使用的是以往被認為安全的DATE和NUMBER兩種數據類型。黑客能夠借助這種新的技術，在Oracle數據庫上執行其精心構造的數據庫命令。

筆者觀點：由于Oracle數據庫的性能及安全性領先于其他數據庫廠商的產品，因此Oracle數據庫在大型企業應用的應用十分廣泛，這也決定了Oracle數據庫安全領域的敏感性。David Litchfield日前所公開的新Oracle攻擊方法，其值得關注的地方在于，這種SQL注入新方法針對的是以往被認為是安全的數據類型（DATE和NUMBER），此外，它也沒有像其他的SQL注入攻擊那樣，直接使用用戶的輸入數據，而是通過Web應用程序的缺陷將精心構造的SQL語句注入到Oracle的安全數據類型中，從而繞過了Oracle數據庫對常規數據庫攻擊方法的安全防御措施。這也顯示，雖然Oracle數據庫對常見數據庫漏洞的安全防御措施做得好，但也不意味著它是無懈可擊的，去年中開始的Oracle漏洞公開活動也陸續挖掘出相當多的Oracle漏洞，如去年底出現的Oracle空指針等漏洞，而稍早一些時候進行的針對Oracle用戶的調查也顯示，超過三分之一的Oracle用戶并沒有對部署的Oracle數據庫進行過補丁升級的操作。

筆者建議，由于安全業界對數據庫安全的日益重視，對Oracle等企業中常用的數據庫產品的漏洞挖掘和公開還將進一步繼續，相應的，針對企業數據庫產品的攻擊手法和數量也會有相當大幅度的上升，企業的數據庫應用將面臨前所未有的威脅。因此，建議企業重視數據庫安全并提高現有數據庫部署的安全級別，根據應用需要和數據敏感程度，制定符合企業安全策略的數據庫安全管理及響應策略，企業用戶也可以適當關注目前市場上已經推出的諸多數據庫安全產品，選擇最適合自己的產品。

電子商務安全：匯豐銀行丟失37萬客戶敏感數據顯示銀行內部的數據安全仍存在嚴重缺陷；關注指數：高

新聞：周四，來自金融媒體FTAdviser.com的消息，英國最大的銀行匯豐銀行（HSBC）當天承認，在一次郵件丟失中損失了37萬客戶詳細資料。包含有這些敏感數據的磁盤是匯豐銀行2月份從英國南安普敦寄到瑞士的過程中丟失的，目前仍沒有找回。匯豐銀行的發言人辯解稱，當時是由于兩個地區之間的網絡通訊中斷，匯豐銀行出于業務處理速度的考慮才選擇使用郵件快遞的方式傳送這些敏感數據的，這些敏感數據有密碼保護，但沒有經過加密處理。

筆者觀點：匯豐銀行對客戶敏感數據丟失事件公開的技術細節，如包含大量敏感數據的光盤通過普通快遞服務進行投遞、只使用較弱的密碼方式而不是加密方式對敏感數據進行保護等，顯示匯豐銀行在內部敏感數據的傳輸上仍存在相當大的安全問題，對其各內部部門之間的敏感數據使用和包含也沒有一個安全的成型的管理流程，從而為這次敏感數據泄漏事件埋下了伏筆。盡管從當天的另外一個新聞：匯豐銀行在其在線銀行服務站點上使用VeriSign公司的EV SSL技術來看，匯豐銀行對保護在線業務和用戶權益也進行了相當大的投入，但還是遠遠不夠的。根據筆者以前的項目經驗，國內的許多銀行也存在類似的安全問題，而且在線業務的安全程度和國外大型銀行比起來也有相當大的差距。

筆者建議：匯豐銀行的敏感數據丟失事件可說是為國內銀行業敲響了警鐘，國內銀行業應提高對內部部門之間的敏感數據傳輸安全性的重視，同時制定對應的安全管理規范。同時，匯豐銀行事件也再次顯示了一個企業級的數據加密安全方案對銀行業的重要性，無論敏感數據是在銀行內部各部門之間進行交換，還是在銀行與用戶之間進行傳輸，都應該經過高強度的加密保護，這樣，即使發生敏感數據載體丟失或失密的極端情況，也能最大限度保護銀行及用戶的財產和合法權益。