【IT168 资讯】之前有一些安全研究机构指出Windows 7并没有Vista安全，虽然微软痛斥了这种说法，但是权威安全机构Trend Micro近日表示，无论微软是什么说法，Windows 7的默认配置确实不如Vista安全。另外，从11月末开始出现的一种新的和非常复杂的SQL注入攻击已经感染了12.5万过个网站。感染网站的木马程序将收集用户的信用卡号码和其它银行信息。

　　1、全球网络安全不能用一个标准衡量

　　中宣部副部长、中国互联网协会顾问蔡名照十日在旧金山说，世界各国国情千差万别，全球的网络安全，不可能用一个标准来衡量，用一个法律来规范，用一个模式来治理。应充分理解和尊重各国国情的差异性、网络文化的差异性和网络安全关切的差异性，在多样中求共识，在差异中求和谐，共同推动互联网的繁荣和发展。

　　蔡名照是在第三届中美互联网论坛上发表题为“保障网络信息的安全流动”的主题演讲中作上述表述的。美副国务卿罗伯特•赫麦斯、商务部副部长大卫•卡波斯也出席论坛并发表演讲。中美两国知名互联网企业、行业组织、学术机构和政府相关部门一百三十余参加了论坛。

　　第三届中美互联网论坛十二月九日至十日在美国旧金山举办，论坛的主题是“交流合作，应对挑战” 。

　　蔡名照强调，青少年已经成为上网的最大群体，互联网对他们成长的影响越来越大。目前，互联网上充斥着大量淫秽色情、暴力、欺诈等有害信息，严重危害青少年身心健康。保障网络安全，要把保护青少年放在突出位置。互联网业界应切实加强自律，采取必要的管理措施和技术措施，防范淫秽色情等有害信息传播，并自觉接受社会监督，努力为青少年健康成长提供更加安全的网络环境。

　　蔡名照表示，在当前网络淫秽色情、网络欺诈、垃圾邮件、网络病毒日益肆虐的情况下，必须把网络信息的安全流动放在更加突出的位置。如果网络信息安全得不到保障，所谓的信息自由流动就是无序的流动;如果网上流动的信息不是合法的、有益的，而任凭垃圾信息的泛滥，就会对现实社会造成严重危害。

　　美副国务卿罗伯特•赫麦斯在演讲中表示，中美互联网论坛为两国互联网业界建立了有利于坦诚交流、增进互信的沟通渠道。互联网的发展为经济社会发展提供了机遇，但也给网络安全带来了巨大挑战，希望中美双方加强合作，共同应对网络安全风险。

　　此次论坛会期一天半，中美双方代表围绕“互联网在经济复苏中的作用”、“儿童在线保护”、“在线知识产权保护”、“互联网新技术新理念”等议题进行了广泛深入的交流。特别是有关青少年在线保护话题，引起双方代表强烈共鸣。双方代表一致认为，保护青少年免受淫秽色情等有害信息的侵害，是互联网各有关方面的共同责任。中方近一个时期针对网络淫秽色情采取的一系列坚决举措，对世界各国具有示范意义。中美作为互联网大国，应加强法律和技术合作，共同为青少年创造一个家长放心、社会满意的网络环境。

　　中美互联网论坛由中国互联网协会和美国微软公司联合举办，二00七年以来已先后在美国西雅图和中国上海成功举办了两届，不仅在两国互联网业界产生了良好影响，也引起国际社会的广泛关注。

　　2、手机黄祸”转战互联网 九成以上不良网站捆绑病毒

　　11月起，随着不少手机色情网站被媒体陆续曝光，净化网络又一次成为近日热点。然而，相关执法部门对“涉黄”手机网站严打，专家担心可能有相当数量的手机网站站长会转战互联网。金山毒霸云安全中心专家认为，这可能会使安全形势已经很严峻的互联网充满更多的威胁。

　　随着近期国家相关部门对手机上的不良WAP网站的打击，不良WAP网站的站长纷纷关闭站点、落荒而逃。但金山毒霸安全专家分析后认为，涉黄网站站长不会轻易放弃已经驾轻就熟的盈利手段，由于设备、技术的共通性，他们中的相当部分很可能转战互联网，继续做搭建不良网站的勾当。

　　金山毒霸反病毒专家李铁军表示，今年3月份以后，互联网中的病毒传播，就已经由传统的挂马逐渐向捆绑型传播。“不良网站由于安全机制普遍存在漏洞，或者根本就是由黑客团伙精心制作的陷阱，网站所提供下载的各种视频、图片、播放器程序的染毒率非常高。根据金山毒霸云安全系统的监测数据，98%以上不良网站，都存在提供染毒文件下载，或者挂有钓鱼诈骗广告。”李铁军介绍说。

　　专家指出，互联网上的不良网站的收入来源，与手机WAP网相比，除了诈骗广告外，还多了一个病毒传播的渠道。因此，互联网中不良网站的数量在短期内很有可能增加，并进而拉高病毒的传播量。金山毒霸安全专家建议广大网友下载使用完全免费的金山网盾，可准确警告包含诈骗钓鱼、网页挂马等恶意内容的网页，同时对搜索结果中包含不良信息的网站进行提示，充分保障用户的上网浏览安全。一旦无法从用户身上获取暴利，不良网站的数量也将大幅减少，这对净化网络环境有着非常积极的作用。

　　3、新SQL注入攻击已经感染12.5万个网站

　　据互联网安全和监视公司ScanSaf说，从11月末开始出现的一种新的和非常复杂的SQL注入攻击已经感染了12.5万过个网站。感染网站的木马程序将收集用户的信用卡号码和其它银行信息。

　　据介绍，注入的iframe装载来自318x.com网站的第一阶段的恶意代码。然后，用户看不见的一系列iframe和代码重新定向将悄悄地在用户系统中安装来自windowssp.7766.org网站的攻击代码Backdoor.Win32.Buzus.croo。

　　ScanSafe高级安全研究员Mary Landesman在本周发表的博客中称，这种公司似乎正在研究之中。正如我们在监视在攻击的最后阶段使用的恶意脚本时看到的那样，一些脚本正在修改，有些脚本撤销了并且还增加了新的脚本。

　　Landesman说，许多文件都有。jpg的扩展名。但是真正的文件只有。js文件。她补充说，ScanSafe到目前为止还没有发现任何证据表明有利用这个安全漏洞代码的PDF文件。这种文件目前在黑客和恶意专家中是很流行的。

　　ScanSafe称，攻击者目前正在把重点放在利用多种安全漏洞方面，包括Adobe Flash播放器中的整数溢出安全漏洞、微软Office网络组件中的安全漏洞和IE浏览器未初始化的内存损害漏洞等等。

　　SQL注入攻击是IT管理员的一个噩梦，因为这种攻击在实际的生产环境中是很防御的，通常需要需要对安装的数据库软件使用多个补丁。

　　4、权威机构称Win7默认安全性不如Vista

　　之前有一些安全研究机构指出Windows 7并没有Vista安全，虽然微软痛斥了这种说法，但是权威安全机构Trend Micro近日表示，无论微软是什么说法，Windows 7的默认配置确实不如Vista安全。Trend Micro首席技术官Raimund Genes表示，Windows 7以安全性作为牺牲来换取实用性方面的成绩，至少在默认配置下是这种情况。Genes在接受采访时说：“我并不是说Windows 7不安全，但是在初始状态下Vista在安全性上更佳。”

　　问题再次转到用户账户控制(UAC，User Account Control )上，这个在Vista中首次引入的功能是一个安全屏障，在程序执行前会需要用户的许可。然而这个谨慎的技术让许多用户深恶痛绝，它总是弹出大量无意义的提醒，大多数用户都选择了跳过提醒或是干脆关闭UAC功能。

　　在这个问题上微软自己的安全专家也持有相同的态度，近期微软英国安全顾问Ed Gibson曾以轻蔑的口气形容UAC为“User Annoyance Control”用户讨厌的控制。在Windows 7中微软减少了需要使用用户权限的应用软件的数目，降低了UAC的版本。

　　Genes认为这些更改实际上是一种倒退，“在第一次使用Windows 7时我感到失望，安装杀毒软件前系统并没有任何警告提示，也没有任何文件扩展名隐藏提醒，不像Vista那样。此外，安装杀毒软件后UAC也不会给出任何关于版本过旧需要升级的提醒。”

　　Genes指出：“Windows 7或许在实用性方面有了很大提升，但是在安全性方面却犯了一个错误，虽然这个错误并不让人感到意外。当微软开发人员在实用性和安全性之间进行选择时，他们总是选择前者。”