正在加载...
 
  • 共43文章
  • 1
  • 2
  • 3
  • >
请访问sbin.cn  

 

刚刚注意到,这个博客的访问量超过100万了,心里很惶恐,承蒙这么多同行关心,可是现在由于工作忙的要死,所以博客的更新的频率很慢很慢,维护两个博客就更加艰难了。所以,以后的更新我将主要放在http://sbin.cn/blog那里,并且中英文都放在一起。目的只有一个,减少维护成本,稍微省些时间在内容上。呵呵,希望大家就不要见怪了。

标签:安全,ITIL,电信,SOX,生活,我家有子,P2P,咨... | 浏览数(1554) | 评论数(3) | 2007-11-27
VoIP安全威胁总结  

想大家推荐一篇国外的文章,关于VoIP安全威胁的总结。相关内容参加我的英文博客

标签:安全,P2P,Web2.0,Security2.0,Vo... | 浏览数(3536) | 评论数(1) | 2007-05-05
2007.4.18 CCClub 中国信息安全专业人员高峰论坛(北京)  

今天2007.4.18 是CCClub 召集的中国信息安全专业人员高峰论坛(北京),地点在北京新世纪日航酒店。我有个简短的发言,发言使用的资料附上,大家如果感兴趣就下载看看,欢迎批评讨论。企业信息安全管理之细节决定成败#

Check out my post on this conference in my english blog#

标签:安全,新闻,Security2.0,道可道非常道 | 浏览数(3447) | 评论数(0) | 2007-04-18
你如何选择? 是BlueCoat还是ISA?  

我相信不少安全经理们都琢磨过如何使用安全代理来加强互联网出口的安全控制。总结来看,主要的安全威胁,我个人认为,是病毒及其衍生威胁,以及内部的滥用和误用。前者是从基础设施的角度来看,后者是从应用和数据的角度来看。那病毒的威胁又从哪里来呢?病从口入 ! 互联网绝对是一个不容忽视的威胁来源。控制用户下载文件、使用MSN/QQ/其它P2P/IM软件交换文件、被钓鱼等,更进一步安全经理还想将互联网的访问定位到每个用户,以便计费或者审计。这些都需要强有力的安全代理的支持。可是,代理如何选择呢? Jason向我推荐了一个网页,我觉得讨论的非常精彩。Thomas Shinder和网友AntiShinder各舒己见,分别为微软ISA软件方案和BlueCoat硬件方案进行了很有说服力的论证。

论战起源于BlueCoat的一个白皮书,总结了BlueCoat的5大优势:

  • The ISA firewall cannot be as secure as Blue Coat proxies because it runs on a general purpose server that has ongoing security vulnerabilities
  • The ISA firewall is unable to inspect traffic inside an SSL tunnel
  • The ISA firewall is unable to inspect and manage peer-to-peer, instant messaging and multimedia connections
  • The ISA firewall has limited support for granular access control
  • The ISA firewall’s network performance is inferior to Blue Coat’s proxy performance
Thomas按捺不住,针对每条进行坚决的反驳....

我个人还是认为两者从功能上看并没有绝对的好和坏,取决于用户的兴趣趋向问题。
  • 对于喜欢硬件方案的朋友来说,BlueCoat清一色的盒子,安装运行维护都简单,看着清爽,感觉上性能也不错。
  • 喜欢软件方案的朋友,觉得可以按照自己企业的Server标准进行按需升级,完全纳入企业的Server运行维护,成本较低,性能可控。
看清楚了,后者的前提是企业中的Server运行维护水平达到相当的成熟度。不知您同意不同意?

标签:安全,P2P,Cobit,即时消息,Audit,Secu... | 浏览数(4220) | 评论数(0) | 2007-03-07
My blog at Sbin.cn  

Due to the publicly known reasons, this blog at wordpress.com has been not accessible at China for a long time till last Spring festival (Feb.2006). It’s very difficult for me to update and manage that blog, while most of my readers from China mainland can not read it since then. So I decide to move it to a new site with good performance at China.

Hope you guys can change your bookmark and RSS feeds. I am sorry for the unconvenience for this move. Thanks for the great pleasure that WP community gave me.

标签:Blog,新闻,Web2.0,Security2.0 | 浏览数(4475) | 评论数(2) | 2007-01-30
这就是安全吗?安全能否成为大众消费品?  

平时在路边经常能够看到下面这两幅广告,很少见的和网络安全有关的路边、大众媒体广告。今天周末碰巧带着照相机,就把他给拍了下来。
“这就是安全 - 电子信息安全防护系统”   --- “这就是安全 - 电子信息保密系统”, --- “诚招代理商”, 边上留着风语者公司的联系电话。
我总觉得这两幅广告像是一个探路者,网络安全能否成为大众消费品?反病毒有点像,个人防火墙已经被微软消灭了。这两幅广告或许在告诉我们风语者在探索大众认证和加密产品的接受度。我没有和风语者公司打过交道,也不认识朋友在哪里。不知他们现在的生意如何?
之前,不管是安氏、天融信、启明星辰、绿盟,还是华为、联想网御、东软、亿阳等等都还在企业市场中拼杀,瑞星、江民、金山、冠群金辰等在渠道和联邦店里出活。

风语者,你想作什么?
这就是安全

阅读全文...
标签:安全,咨询,新闻,Audit,IAM,Security2... | 浏览数(4062) | 评论数(2) | 2007-01-21
北京天文馆高科技背后的尴尬 - 病毒  

这个周末,光彩照人的阳光把小朋友们都吸引出家门。在我们家的小朋友的强烈要求下,我们带着小朋友来到北京天文馆,漂亮、充满高科技的外观令人赞叹,各式各样的显示、投影设备放映着太阳、地球、金星、火星、海王星。。。各种主题的资料片。从远处看,每个屏幕上都有各白色的弹出Windows窗口,职业的本能过去仔细一看:

原来是每个屏幕上面都有一个病毒警告,天文馆使用了Symantec的防病毒系统,今天刚刚发现了病毒,这似乎还没有太让人恼火,至少证明天文馆的显示系统服务器上面还是安装了反病毒软件。可是再仔细看,感染的文件名是C:\GameSetup.exe,哦,这看起来怎么是各游戏安装软件呢? 都是使用的Administrator帐号,并且这个告警出现在了从MTBFQ01 - MTBFQ20+很多显示控制服务器上,这就让人感到有点失望、甚至恼火了。

小朋友们从这个屏幕上能够领会到的意思不会有这么多,但是至少这些警告窗口很是影响资料片的观看,影响北京天文馆的高科技形象。不直接认识天文馆IT系统的管理人员,如果哪位有朋友在哪里,不妨帮助提个醒。

标签:安全,我家有子,新闻,周末,Security2.0 | 浏览数(3298) | 评论数(2) | 2007-01-21
神奇的“口令恢复服务”  

Password Recovery Service

原文

标签:安全,咨询,新闻,周末,IAM,Security2.0,... | 浏览数(3157) | 评论数(0) | 2007-01-18
你肯定是个顾问  

下面这则短文很多朋友可能都看过了,还是很有趣的。牧羊人总结了顾问的三个特征:

  • 其一是不请自来;
  • 其二是告诉人家已经知道的事情,却还要人家付费;
  • 其三是根本不懂人家的业务(business)。
呵呵,这个故事里的顾问对比《咨询的奥秘》温伯格大师,出入很大啊。

阅读全文...
标签:咨询,周末,Web2.0,Security2.0,道可道... | 浏览数(2904) | 评论数(0) | 2007-01-18
2007年的5大安全技术  

ComputerWorld的Mary K. Pratt发表了其关于2007年安全技术走向的分析,列举了其看好的五大安全技术。它们是:

1. Identity management systems.
2. Smart cards used to provide secure access to networks.
3. Content and e-mail filtering software.
4. Transparent encryption.
5. Voice-over-IP technology.

看完Mary的分析后,我倒是觉得XML的安全技术实在是比上述五种安全技术的更为基本的技术。XML的分析与控制、基于SAML的认证鉴别、VoiceXML的安全控制等与上述五大安全技术息息相关。

阅读全文...
标签:安全,新闻,即时消息,IAM,AAA,Web2.0,Se... | 浏览数(3336) | 评论数(3) | 2007-01-01
美国电子证据修正案给审计和符合性市场带来新思考  

12月1日美国最高法院正式发布执行FRCP修正案(Federal Rules of Civil Procedure (FRCP) amendments ),即所谓e-discovery。它要求"U.S. companies to keep better track of their employees' e-mails, instant messages and other electronic documents in the event the companies are sued"legal experts say. 这个修正案好象REVIEW了5年,终于正式批准。在去年5月摩根斯坦利就因为电子证据问题被罚15亿美元。
 
e-discovery电子证据修正案对当前的审计和符合性市场提出了新思考和新需求。不仅仅是网络设备、服务器、应用系统上面的日志了,还要记操作过程,还要记电子邮件、即时消息、等等各种电子信息交互的日志。总之,企业为了符合性这样那样的法规,需要记录几乎所有企业信息系统中数据变化的整个过程和结果。并且,这样的符合性和审计要求有开始从上市公司扩展到所有公司的趋势。
 
符合性(合规性、Compliance)在IT领域越来越有成为一个独立的细分市场的趋势。它和安全、内控、IT Governance、收入保障、隐私保护、数据备份和归档等很多方面都有关系。

标签:安全,SOX,Cobit,BS7799,即时消息,Aud... | 浏览数(3630) | 评论数(7) | 2006-12-29
Vishing, Phishing, Sishing or xishing  

这两年使用短信欺骗的报导和宣传已经很多,我们不妨管它叫 Sishing, S 代表SMS。比它科技含量高些的是 Phishing, 发出一个群组邮件,然后静候某些邮件接收者点击其中的链接,在那个链接那里有一个提示界面,为了恢复您的信用卡,请输入您的卡号和密码,再往后面的步骤就很简单了。大家都知道这是Phishing攻击,现在有很多厂商已经提出了各种解决方案,已防止用户被欺骗。这里也包括IE7和Firefox2.0的努力奉献。这里,各种社会媒体和宣传力量也在贡献自己的力量来培养大众的自我保护意识,避免被轻易欺骗:

  • 不要轻易点击不明邮件中的链接
  • 任何银行、信用卡公司、电信公司都不会通过任何方式向用户索取密码
现在欺骗的技术又获得更新,在您收到的邮件中嵌入了一些电话号码,列出了各种原因请您拨打。通常,一般用户对电话电话号码的威胁的认识通常是话费欺骗,把号码转移呼叫到信息台等。但是,现在您听到的是一个 Call Center 的标准提示,请您输入您的号码以 # 结束,请您输入您的用户密码以 # 结束...这样的攻击叫 Vishing。这里的 V 代表 VoIP(Voice Over IP)。

当前,VoIP技术的快速发展,像 Skype 这样的 P2P 多媒体交流工具、以及 VoiceXML 这样的技术规范将“电话呼叫”和“超链接”混合了起来,点击一个号码和发起一个呼叫是同样的效果。比较通常的 Phishing, Vishing 更加隐蔽,更有欺骗性,值得引起大家的注意。

阅读全文...
标签:安全,P2P,新闻,Web2.0,Security2.0... | 浏览数(2804) | 评论数(0) | 2006-12-21
现实世界中的口令安全  

著名安全专家Bruce Schneier在其个人博客上介绍了对MySpace上面的用户口令的选择和安全性问题,包括一般用户口令长度的统计:

1-4    0.82 percent
5    1.1 percent
6    15 percent
7    23 percent
8    25 percent
9    17 percent
10    13 percent
11    2.7 percent
12    0.93 percent
13-32    0.93 percent
口令组成的统计:
numbers only    1.3 percent
letters only    9.6 percent
alphanumeric    81 percent
non-alphanumeric    8.3 percent
最为常用的口令包括:
The top 20 passwords are (in order): password1, abc123, myspace1, password, blink182, qwerty1, fuckyou, 123abc, baseball1, football1, 123456, soccer, monkey1, liverpool1, princess1, jordan23, slipknot1, superman1, iloveyou1 and monkey.
呵呵,外国人的口令选择的确和我们国人不一样

标签:安全,Blog,新闻,Cobit,BS7799,即时消息... | 浏览数(2942) | 评论数(4) | 2006-12-17
eWeek Labs评出2006年8大新产品  

前不久,eWeek Labs评出了2006年8大杰出新产品,它们是

  • Asterisk的VoIP产品,最有名的开放源代码VoIP开发平台
  • Apple的MacBook Pro, Steve Jobs的杰作
  • 咱们Lenovo联想的Thinkpad X60 Tablet,7小时续航时间、802.11n、Intel's Core Duo processors, EvDO (Evolution Data Optimized)...
  • Opera 9、
  • Splunk、
  • RiverBed公司的Steelhead,WAN优化、帮助IT经理省钱的利器
  • Vmware 1.0,大家都很熟悉了
详细内容参见...

阅读全文...
标签:新闻,即时消息,Web2.0,Security2.0,道... | 浏览数(2538) | 评论数(0) | 2006-12-16
eWeek Labs列举2006十大愚蠢技术骗局  

eWeek列举了2006年十大愚蠢技术骗局(Stupid Technology Tricks of 2006),其中Google Mail的电子邮件病毒事件上榜,影响了数万名邮件用户。事后,Google修改了自己的发布流程,以避免类似事件再次发生。被影响的用户数量说实在的不算多,但是可以想象一下本来可能就是几千万用户,Google可以让几千万用户的邮箱打上可以定制的标记...

阅读全文...
标签:安全,新闻,Web2.0,Security2.0,道可道... | 浏览数(2644) | 评论数(0) | 2006-12-16
人是业务连续性管理中的最重要因素  

2003年春天爆发的SARS想必大家还记忆尤新,后来听到不少朋友介绍如何应对SARS、进行人员调整保证业务连续性的经验。后面的禽流感在我们中国并没有引起太大的反响,尤其是在IT圈子里。但是下面的文章就提出了面临禽流感威胁时,制定业务连续性计划时的一些最佳实践,...

阅读全文...
标签:安全,咨询,新闻,Audit,Security2.0,道... | 浏览数(3104) | 评论数(2) | 2006-12-06
  • 共43文章
  • 1
  • 2
  • 3
  • >

Powered by Haiwit