正在加载...
 
对手的默契  

前些时候,不经意间发现思科公司的图标换了,后来发现原来华为公司的Logo也和原来有了显著的区别,大家看:

  Cisco New Logo <- Cisco Old Logo

Huawei New Logo <-  Huawei Old Logo

后来看了看新闻, 思科公司大约在2006年十月份,悄然更改了logo,桥上的铁锁从22根变成了9根,为了贴近家庭市场,Logo显得很卡通感,很活泼。但是也失去了原有的严禁和肃穆。参看评论文章

华为Logo的更换则更早一步,发生在2006年5月8日,劳动节回来,辛苦了一假期制作的新logo就上线了:)。光线从原来的15根减少到了8根,更加丰满,亮丽,参看评论文章

阅读全文...
标签:安全,电信,新闻,3G,周末,道可道非常道 | 浏览数(3354) | 评论数(0) | 2006-12-31
美国电子证据修正案给审计和符合性市场带来新思考  

12月1日美国最高法院正式发布执行FRCP修正案(Federal Rules of Civil Procedure (FRCP) amendments ),即所谓e-discovery。它要求"U.S. companies to keep better track of their employees' e-mails, instant messages and other electronic documents in the event the companies are sued"legal experts say. 这个修正案好象REVIEW了5年,终于正式批准。在去年5月摩根斯坦利就因为电子证据问题被罚15亿美元。
 
e-discovery电子证据修正案对当前的审计和符合性市场提出了新思考和新需求。不仅仅是网络设备、服务器、应用系统上面的日志了,还要记操作过程,还要记电子邮件、即时消息、等等各种电子信息交互的日志。总之,企业为了符合性这样那样的法规,需要记录几乎所有企业信息系统中数据变化的整个过程和结果。并且,这样的符合性和审计要求有开始从上市公司扩展到所有公司的趋势。
 
符合性(合规性、Compliance)在IT领域越来越有成为一个独立的细分市场的趋势。它和安全、内控、IT Governance、收入保障、隐私保护、数据备份和归档等很多方面都有关系。

标签:安全,SOX,Cobit,BS7799,即时消息,Aud... | 浏览数(3575) | 评论数(7) | 2006-12-29
Vishing, Phishing, Sishing or xishing  

这两年使用短信欺骗的报导和宣传已经很多,我们不妨管它叫 Sishing, S 代表SMS。比它科技含量高些的是 Phishing, 发出一个群组邮件,然后静候某些邮件接收者点击其中的链接,在那个链接那里有一个提示界面,为了恢复您的信用卡,请输入您的卡号和密码,再往后面的步骤就很简单了。大家都知道这是Phishing攻击,现在有很多厂商已经提出了各种解决方案,已防止用户被欺骗。这里也包括IE7和Firefox2.0的努力奉献。这里,各种社会媒体和宣传力量也在贡献自己的力量来培养大众的自我保护意识,避免被轻易欺骗:

  • 不要轻易点击不明邮件中的链接
  • 任何银行、信用卡公司、电信公司都不会通过任何方式向用户索取密码
现在欺骗的技术又获得更新,在您收到的邮件中嵌入了一些电话号码,列出了各种原因请您拨打。通常,一般用户对电话电话号码的威胁的认识通常是话费欺骗,把号码转移呼叫到信息台等。但是,现在您听到的是一个 Call Center 的标准提示,请您输入您的号码以 # 结束,请您输入您的用户密码以 # 结束...这样的攻击叫 Vishing。这里的 V 代表 VoIP(Voice Over IP)。

当前,VoIP技术的快速发展,像 Skype 这样的 P2P 多媒体交流工具、以及 VoiceXML 这样的技术规范将“电话呼叫”和“超链接”混合了起来,点击一个号码和发起一个呼叫是同样的效果。比较通常的 Phishing, Vishing 更加隐蔽,更有欺骗性,值得引起大家的注意。

阅读全文...
标签:安全,P2P,新闻,Web2.0,Security2.0... | 浏览数(2755) | 评论数(0) | 2006-12-21
现实世界中的口令安全  

著名安全专家Bruce Schneier在其个人博客上介绍了对MySpace上面的用户口令的选择和安全性问题,包括一般用户口令长度的统计:

1-4    0.82 percent
5    1.1 percent
6    15 percent
7    23 percent
8    25 percent
9    17 percent
10    13 percent
11    2.7 percent
12    0.93 percent
13-32    0.93 percent
口令组成的统计:
numbers only    1.3 percent
letters only    9.6 percent
alphanumeric    81 percent
non-alphanumeric    8.3 percent
最为常用的口令包括:
The top 20 passwords are (in order): password1, abc123, myspace1, password, blink182, qwerty1, fuckyou, 123abc, baseball1, football1, 123456, soccer, monkey1, liverpool1, princess1, jordan23, slipknot1, superman1, iloveyou1 and monkey.
呵呵,外国人的口令选择的确和我们国人不一样

标签:安全,Blog,新闻,Cobit,BS7799,即时消息... | 浏览数(2888) | 评论数(4) | 2006-12-17
eWeek Labs列举2006十大愚蠢技术骗局  

eWeek列举了2006年十大愚蠢技术骗局(Stupid Technology Tricks of 2006),其中Google Mail的电子邮件病毒事件上榜,影响了数万名邮件用户。事后,Google修改了自己的发布流程,以避免类似事件再次发生。被影响的用户数量说实在的不算多,但是可以想象一下本来可能就是几千万用户,Google可以让几千万用户的邮箱打上可以定制的标记...

阅读全文...
标签:安全,新闻,Web2.0,Security2.0,道可道... | 浏览数(2580) | 评论数(0) | 2006-12-16
人是业务连续性管理中的最重要因素  

2003年春天爆发的SARS想必大家还记忆尤新,后来听到不少朋友介绍如何应对SARS、进行人员调整保证业务连续性的经验。后面的禽流感在我们中国并没有引起太大的反响,尤其是在IT圈子里。但是下面的文章就提出了面临禽流感威胁时,制定业务连续性计划时的一些最佳实践,...

阅读全文...
标签:安全,咨询,新闻,Audit,Security2.0,道... | 浏览数(3045) | 评论数(2) | 2006-12-06
花100美元攻破BlackBerry  

前两天的帖子希望和大家多讨论一下关于Blackberry的安全考虑,下面的这篇文章来自EWeek的SecurityWatch,里面列举了许多进入Blackberry的办法,就是获取那些VIP机密、隐私信息的办法了。虽然大多都是需要欺骗用户接受一些假冒的恶意代码,但是还是有非常大的安全隐患。供大家参考。

阅读全文...
标签:安全,新闻,即时消息,Web2.0,Security2.... | 浏览数(2853) | 评论数(0) | 2006-12-06
Acrobat Reader + IE 出现重大安全漏洞  

参见下面的报道,AcrobatReader+IE 出现导致远程控制的重大安全漏洞,影响Acrobat Reader 7.x版本,但是限于IE浏览器。报道中介绍了推荐临时解决方案,就是将出现漏洞的那个ActiveX删除。当然还有另外一个解决方案就是使用Firefox...

阅读全文...
标签:安全,新闻,Web2.0 | 浏览数(2618) | 评论数(0) | 2006-12-04
Blackberry的安全考虑  

Blackberry可以为用户带来全球范围的移动服务,随时随地地接受邮件、检查自己的日历和安排。在国内中国移动和中国联通当前也已经开始提供相关服务。
下面的两附图来自Dan Baker的一个PPT:

阅读全文...
标签:安全,电信,咨询,Web2.0,Security2.0 | 浏览数(3573) | 评论数(5) | 2006-11-30
电信网络安全的价值 - 电信网络安全峰会2006  

2006年11月22日到23日,在北京西直门边上的国二招召开了2006年的电信网络安全峰会,我有幸被邀请作为特约独立顾问参会,并做了一个“电信网络安全的价值”的报告。传上来交流,欢迎批评讨论。

标签:安全,ITIL,电信,P2P,新闻,BS7799,AAA... | 浏览数(2901) | 评论数(5) | 2006-11-24
电信网络安全的价值 - 电信网络安全峰会 2006  

2006年11月22日到23日,在北京西直门边上的国二招召开了2006年的电信网络安全峰会,我有幸被邀请作为特约独立顾问参会,并做了一个“电信网络安全的价值”的报告。传上来交流,欢迎批评讨论。

标签:安全,ITIL,电信,新闻,BS7799,Audit,A... | 浏览数(2305) | 评论数(0) | 2006-11-24
VoIP被SANS列入TOP 20  

在最新的SANS TOP20发布中,VoIP首次被列入重要攻击目标,标号是N1。表明VoIP的安全问题正在受到越来越多的关注,SANS的这一动作也有助于提高厂商和用户、管理员和经理等对于VoIP安全问题的重视,从而改善VoIP的安全状况:

Operating Systems
    W1. Internet Explorer
    W2. Windows Libraries
    W3. Microsoft Office
    W4. Windows Services
    W5. Windows Configuration Weaknesses
    M1. Mac OS X
    U1. UNIX Configuration Weaknesses
Cross-Platform Applications
    C1 Web Applications
    C2. Database Software
    C3. P2P File Sharing Applications
    C4 Instant Messaging
    C5. Media Players
    C6. DNS Servers
    C7. Backup Software
    C8. Security, Enterprise, and Directory Management Servers
Network Devices
    N1. VoIP Servers and Phones
    N2. Network and Other Devices Common Configuration Weaknesses
Security Policy and Personnel
    H1. Excessive User Rights and Unauthorized Devices
    H2. Users (Phishing/Spear Phishing)
Special Section
    Z1. Zero Day Attacks and Prevention Strategies

点击看SANS的正式新闻发布。点击看VoIPsa博客的报道

标签:安全,电信,P2P,BS7799,Security2.0... | 浏览数(2422) | 评论数(1) | 2006-11-16
正在逐渐成为主流的笔记本电脑安全技术  

前些时候在制定企业桌面计算机安全标准时,讨论了到底要不要硬盘加密的问题。硬盘加密能够带来很多好处,其中主要是信息安全,甚至还有听说有人偷到这样的笔记本电脑后,无法打开,去专修店维修而不抓住,从而帮助主人找回笔记本的故事。但是硬盘加密如果没有企业级的管理手段和集中备份手段配合,带来的技术支持负担和成本、以及信息丢失风险都是不容忽视的。

看下面的新闻评论,Seagate推出了硬盘级的加密技术DriveTrust,广告上说“007和Q的配合都难以破解”。微软在Vista中推出系统级加密技术BitLocker,可以集成在WMI和AD的环境中,集中管理,但是没有对全部数据提供加密保护。两者真是各有千秋,不容易判定胜负。或者其实两者就不在一个擂台上。不管怎样,在计算机中保存的信息越来越隐私、越来越值钱时,相应的安全保护技术也就有了大市场。

Next-Generation Notebook Security Rounding the Corner
By Larry Seltzer, November 9, 2006

阅读全文...
标签:安全,咨询,BS7799,IAM,Web2.0,Secu... | 浏览数(2776) | 评论数(6) | 2006-11-12
使用Google来寻找漏洞,不会吧?  

在各种程序和代码中寻找漏洞是个让人感觉很神秘和很技术的事情,但是如果可以使用Google这样的搜索引擎来搜索漏洞,会是什么感觉呢?下面的这篇博客文章和评论很有意思,值得一看。

Google VulnSearch?

Fall behind and someone will always beat you to the punch! Gadi Evron posted an entry over at Securiteam on the topic of using Google’s Codesearch to find vulns. Since he and others are writing about this, I don’t have to! However, i’ll post a few more thoughts before anyone else maybe!

阅读全文...
标签:安全,新闻,BS7799,Audit,Web2.0,Se... | 浏览数(2643) | 评论数(0) | 2006-11-11
补丁管理的两难选择  

补丁是安全管理中的大问题,也是最让人头疼的问题。如果您说不就是要经常Windows Update吗?那您肯定不是系统管理员。如果您说不是WSUS或者SMS吗?那您管理的环境肯定是简单了些。最复杂的部分应该是跨平台的生产环境中处理打补丁带来的变更兼容风险与不打补丁留下的安全风险,尤其是这个风险谁来承担。安全经理不愿承担后面的风险,生产经理不愿承担前面的风险。更为标准的做法是将服务器分成几类,比方说面向互联网还是内网等,也就是根据可能的安全威胁来分类,然后最威胁最大的那类特别处理,快一点打补丁,平衡点往前移一下。其它类服务器慢打一点,平衡点往后移。参考一下以前的一篇老文章。根据生产的重要性分类,最重要的级别对补丁的测试肯定要最严格,平衡点往后移。这是理论了,现实中的操作就不容易了。

还有一个话题就是对于没有补丁的漏洞怎么办?这些软件大厂把用户凉在高危漏洞下的做法虽然受到诟病多多,但这是现实。作为用户,我们怎么办?下面的文章提到了一个组织叫做ZERT (Zeroday Emergency Response Team)业务为大家提供第三方补丁。或许在面向互联网的、漏洞高危情况下,值得考虑一下这样的应急方案。

To patch or not to patch
Oct 30, 2006, By Roger A. Grimes, InfoWorld (US) - Issue #44

阅读全文...
标签:安全,SOX,咨询,BS7799,SOC,Securit... | 浏览数(3433) | 评论数(1) | 2006-11-04
在线电子商务的安全风险与损失  

网上交易、电子商务如火如荼,大家都知道其中的安全风险,前些天的CRI报道说英国很多人因为畏惧网络上面的Hackers和病毒,不敢上网。现在MarketWatch报道了两个实际的数字,对大家可能有所参考:
E-Trade报告说在其第三财季中由于网络欺诈引起的损失高达18M$,也就是单季度损失高达1亿5千万人民币。
TD Ameritrade报告说在其第四财季中由于网络欺诈引起的损失高达4M$,也就是大约3千万人民币,详细报道见:

阅读全文...
标签:安全,新闻,Web2.0,Security2.0,道可道... | 浏览数(3345) | 评论数(5) | 2006-10-28

Powered by Haiwit