订阅数:79048http://www.informationweek.com.cn/iarticle/34347.html
由于网站申明不许转载,因此在此给出链接。下面是我的看法:
“深度防御”对中小规模的单位(500信息点以下)来说,过于复杂和昂贵;
数据的安全远没有得到足够的重视;
用户需要养成好习惯,因此我们要提供能让用户养成好习惯的服务。
今天在中国信息安全产品测评认证中心的网站上看到的。文章不长,就全文贴过来了。
http://www.itsec.gov.cn/webportal/portal.po?UID=DWV1_WOUID_URL_180332&TOC=COLUMN_180332&OBJ=458852
华为称华赛正招募大批黑客 为后续工作做准备(2007-06-22)
通信世界网6月21日消息,今日在某公开场合,华为存储与网络安全产品线营销工程部部长郑志彬博士表示,华赛正在招募大批黑客,为日后的发展做准备。
华为技术有限公司和赛门铁克公司于今年5月21日联合宣布,双方成立合资公司,分别持股51%和49%,共同致力于网络安全与存储产品的研发、销售和服务,为全球的运营商以及企业客户提供网络安全与存储产品和解决方案。
在人员配置方面,目前合资公司运营伊始就拥有750名以上员工,基本来自华为现有的安全和存储设备运营业务部门,而新公司的管理团队将由华为和赛门铁克双方共同指派。
今天在给客户设计解决方案。在此过程中,重温了一下IATF 3.1。
正所谓“温故而知新”,还是很有道理的。
第一章里有一句话,摘录如下:
Essentially, organizations address IA needs with people executing operations supported by technology.
其实,把上面这一句话中的"IA needs"换成"business needs"也可以,换成其它的"needs"也多半可以。
接着就指出:
Of the three principal aspects of this strategy, the IATF focuses on technology and on providing a framework for providing overlapping layers of protection against cyber threats.
很多事情都是这样,比如说NOKIA经典的slogan:Technology Connect People.
人才是主角。
因此,这个解决方案围绕人——而不是技术——来展开。
看来网银的易用性与安全性很难兼得。
摘对话如下:
*sierra 说:
你们在哪个银行开户?
w 说:
农行
*sierra 说:
看来农行的网银还不错
w 说:
不好
w 说:
但,连我这样的用户都用农行网银用得很不顺手的话,我估计,坏人要偷钱会比较不容易。
*sierra 说:
哈哈
*sierra 说:
有道理
IE的欺骗性
今天我在测试snort inline的时候,发现IE对用户的欺骗事实如下:
snort
inline在中间,192.168.1.175在内部,192.168.1.100在外部。其中,192.168.1.100上运行着Apache。IE版本:6.0,操作系统:Windows
XP Prof简体中文版 SP2。
场景一:snort inline未加入下面这条规则:
drop tcp any any -> any 80 (classtype:attempted-user; msg:"Port
80 connection initiated"; sid:91328;)
此时在192.168.1.175上用IE访问http://192.168.1.100,正常显示出该页面。
同时,我用xplorer(FireFox)也试了一下,同样正常。
场景二:snort inline加入并启用了下面这条规则:
drop tcp any any -> any 80 (classtype:attempted-user; msg:"Port
80 connection initiated"; sid:91328;)
此时在192.168.1.175上用IE访问http://192.168.1.100(使用Ctrl+F5强制刷新)。这次等了较长时间,在snort
inline的输出上可以看到IE很努力地尝试了3次。正当我以为它会告诉我找不到网页的时候,“奇迹”出现了:页面http://192.168.1.100仍然被显示出来!
我又用xplorer(FireFox)也试了一下(使用Ctrl+F5强制刷新),页面无法显示。(看来FireFox在这点上比IE诚实,它没有拿缓存里的东西来糊弄我。)
此后,我把IE的缓存清空。再尝试访问http://192.168.1.100就不行了。:)
前段时间被招行害得我跑了一趟柜台(详见前文“招行网银不允许在虚拟机上运行”,后来用VirtualBox也不行,估计招行网银的开发团队很关注网上的言论),今天又无意在朋友的朋友的Blog上看到了这篇文章:http://linshuang.info/blog/2007-05-01/cmb-ebanking.html
于是,举两个例子继续声讨招行。
上周,房东的机器中毒了,不断提示他输入路由器的帐号与密码,我跑过去帮他看了一下,好家伙!招行网银专业版就在桌面上。这位老大喜欢BT下载,经常晚上不关机,我只好提醒他注意网银帐号的安全。
前天去一个客户单位,同样发现带毒的机器上招行网银专业版触手可及。没办法,又只好再唐僧一回。
我自己已经尽量少用网上银行,而且把它装在一个平常不用的硬盘里,只有在用的时候才挂上。每次都得开机箱,恨死我了。想起来上学时有那种抽屉式的硬盘盒卖,不知道现在还能不能买得到。
招行怎么就不能实事求是地做点真正有助于提高网银安全性的事情呢?比如说网友提到的LiveCD方式?
周日去电子市场,陪朋友看一款笔记本电脑。
看完之后,顺便到三楼逛逛,想买一个无线AP。从一个柜台上拿了一个D-Link的无线路由器。包装盒上的产品特点中有一条特别引起了我的注意:
*内置Firewall功能
其实这也不奇怪,CISCO早就推出SOHO/小型企业专用的防火墙。
让我受触动的是:我买的D-Link这款产品,成交价才255元(不含税)。
然后今天在公司,收到一个链接:网络安全市场遭遇下滑 未来竞争愈演愈烈。(原文附后)
我不禁又想到前两次和朋友聊起过的可以零售的IDS。现在防火墙做到了。3年后,这种255元的无线路由器里,会不会整合IDS,甚至是UTM或者UDS功能呢?
看来,信息安全的正在向两极发展:一极是高端市场,将被类似IBM这样真正有能力提供整体解决方案并把全线产品做好的公司占领。另一极则是零售市场,将被类似CISCO、华为这样的设备厂商占领。作为专业的信息安全公司,该何去何从?
Powered by Haiwit
