/
部分互联网站存“登录漏洞” 成安全隐患
360安全中心发布安全警报称,目前有少量互联网站存在“登录漏洞”,会导致其用户的帐号和密码在登录网站时泄露在网址中,存在一定安全风险。360安全专家石晓虹博士表示,这些网站的“登录漏洞”是因为采用了Http Get的方式在用户登录时进行身份验证,只要关闭这项登录方式,改用安全性更高的Http Post方式,就能修复网站的“登录漏洞”。
法律条文下不断规范的云计算
笔者非常坚定的相信云计算有着一些破坏性的价值,尤其是具有长期破坏能力的“公有云”。这正如云在经济上的帮助非常引人瞩目,因此,围绕它的安全和法律相关问题也将会得到最终的解决。
云计算基地初成 上海发布“云海计划”
当身在深圳的腾讯CEO马化腾每天早上打开电脑,他可以通过一个在线的系统看到位于上海闸北区的一个大型数据中心的情况,在这上面,服务器的温度、湿度、电力使用情况一目了然,全国的腾讯用户,都可以在这个数据中心进行数据接入,享受云计算服务。
规划迁移到公共云时应考虑的成本和风险问题
亚马逊的弹性计算云现在能够以每小时5美分的价格提供小容量(2GB)的保留空间。与企业内部信息技术团队比起来,这样的价格是否具有竞争力?贵公司是怎么考虑的呢?
安全专家称利用廉价手机可破解GSM网络
据国外媒体报道,安全研究员称,在任何GSM网络上拨打的电话和发送的短信都能利用廉价的手机和开源软件进行窃听。在混沌计算机俱乐部(Chaos Computer Club)于柏林举行的大会上,卡尔斯滕-诺尔(Karsten Nohl)和西尔维恩-姆洛特(Sylvain Munaut)演示了他们的窃听工具包。这两个人花了一年时间才凑齐窃听工具包中的各个工具。
用户说:云供应商应尽到这些安全职责
我是一个年收入在10亿美元以上的公司的CIO或CSO。在将公司的IT基础设施放入云之前,哪些是我需要考虑的安全问题呢?让我们列出以下安全问题:有哪些设备需要放入云中?敏感数据如何保护?如何升级加密算法?如何限制对于敏感数据的访问?如何跟踪关键系统数据?
用户眼里的云供应商安全职责
我是一个年收入在10亿美元以上的公司的CIO或CSO。在将公司的IT基础设施放入云之前,哪些是我需要考虑的安全问题呢?让我们列出以下安全问题:有哪些设备需要放入云中?敏感数据如何保护?如何升级加密算法?如何限制对于敏感数据的访问?如何跟踪关键系统数据? 假定每个公司都有相应的防火墙和相关的网络设备放在云供应商的云环境中。每个部分都有他们支撑的不同应用。因为其他公司也可能在同时使用这个云,他们可能会和我们共同使用防火墙设备、网络设备、数据库、虚拟操作系统以及虚拟存储。 首先先看一下云服务供应商在现实中采用的安全限制。由于公司现有IT应用在标准化方面的欠缺,可能很难将所有公司的基础设施都部署到云中来。例如,我服务的一个客户有一个主机解决方案是与Web服务集成到一起的。Web服务是与一个POS(销售点)系统进行接口的,并且是利用一个基于TCP/IP的专有端口与主机进行通信。主机接收并存储敏感的信用信息。对于这个解决方案来说,所有的POS方案、Web服务和TCP/IP的通信渠道都可以放入云中。大型主机的应用程序、专有的存储基础设施,以及加密技术很难放入云中。大型主机应用程序也可以进行移植,但前提是需要一个艰难的重写。如果没有事先考虑到ROI(投资回报率),这样做是不明智的。 第二个问题是访问敏感数据。敏感数据是如何存储到云中的呢?SAN(存储区域网络)子系统将数据分条存储与不同的存储阵列驱动中。用户是否想要将敏感数据存储在整个磁盘阵列中呢?我担心的是一个数据库、文件系统、磁盘或固态硬盘驱动器的损坏可能会蔓延到处于同一个子系统中共享数据的其他应用程序。所以,我们需要想出一个办法来隔离数据库、文件系统或磁盘上的加密数据。数据之间的隔离将会减小数据损坏导致的恶果。 第三,针对存储数据的加密算法如何更新?存储在不同数据库、文件系统中的加密数据需要进行更新,因为随着处理器速度的不断增加,破解加密算法将变得更加容易。所以这类数据需要从一个旧的加密算法中破解出来,然后再用一个新的加密算法进行加密。因为比较新的算法,新加密的数据可能会需要占用数据库或文件系统更大的空间。这同样需要进行监管。 接下来,我需要对存储在云供应商那里的应用数据进行非常细粒度的访问控制。我希望能够使用LDAP(轻量级目录访问协议)或者Active Directory来接口数据库、文件系统或驱动器,只有来自云端的特定的人才能够访问这些数据。同时,我还希望云供应商能够提供一个针对所有云客户的目录分区,按照云客户/细分部门/应用/用户这种顺序来说明哪些人可以访问不同的应用程序数据库、文件系统、磁盘或者固态硬盘驱动器。这种锁定的访问方式可以阻止未授权用户或者管理员不当的存取或访问数据。 最后,我正在寻找一个地方来保存数据分段和元数据。这样是为了让客户公司可以向云中存储或者摘录这些数据分段或应用程序。我建议使用LDAP目录或Active Directory来存储云中客户的元数据。云客户可以在某些原因下,利用这种灵活性来提取某些应用程序,并且改进这些数据。云客户也可以由于云供应商的不足将这些数据分片和应用程序从云中删除。这个目录元数据的层次结构有一个给定的网络分段,来定义虚拟防火墙、交换机、路由器和负载平衡器的元数据段。分段数据的子数据将成为每个数据段支撑的应用程序的元数据。 总结一下,云计算只能包含使用共同标准的外包企业的应用和基础设施。存储的敏感数据需要使用共同的加密算法、协议,并且他们的周围有一个加密的数据保护边界。对于存储在数据库或文件系统中的数据来说,加密算法需要有一个更新的途径。敏感数据同样也需要一个全局的云供应商LDAP目录或Active Directory目录,此目录定义了客户端/系统/应用/用户这四项内容,以此来定义谁可以访问存储在数据库、文件系统、磁盘或固态硬盘中的应用数据。最后,该目录还需涵盖包含云计算元数据的层次结构,使用户可以轻松的往云中添加应用数据或从云中删除数据。
网络战最常用的安全工具、标准和技巧
路由器、防火墙、入侵检测系统和类似mcafee Virusscan或symantec antiVirus这样的杀毒软件是当今网络战最常用的安全工具,特别是保护桌面电脑的安全。每种设备的能力和特点简要如下:
回顾信息安全职业道路 为新的一年作计划
随着十二月的逝去,对于许多信息安全专业人士来说工作量变少了。我们有额外的时间了,所以很多人在渡假,我们也可以给自己放个假。我们中很多人把这些额外的时间花在为准备圣诞节礼物在网上进行购物,不过现在应该是安全专业人士花上几个小时来完成他们自己的“年度回顾:职业版”的时候了。这个过程的目的是为了回顾那些美好的、糟糕的、甚至丑陋的事情,以便为来年的职业成功作准备。 尽管这听起来可能有点做作,但这样做真的能帮助你专注于重要的事情,更重要的是提醒你在过去的12个月中所取得的进步。 该信息安全职业道路规划回顾的关键步骤包括: 1. 重新定位自己的职业生涯规划 2. 审视过去的一年 3. 展望即将到来的一年 职业规划重新定位 首先,再次审视你的职业规划。很少有人在一年中放慢脚步来重新审查他或她的计划,即使他们已经安排计划展开。(你确实有职业规划,不是吗?如果你没有写出一个可靠的职业规划,现在是时候快速地写出一份了。职业规划不是必冗长和复杂,尽管这样的话通常会更好) 通过回顾下面的问题开始年度的审视过程: 1. 你最终的职业目标是什么?现在你认为什么是职业的顶峰? 2. 以后五年你的主要目标是什么? 3. 明年你的主要目标是什么? 4. 在最近12个月的时间里你的职业路线是否发生过根本的变化?如果一年前你已经回答了上述三个问题,你现在的答案与之前的一样么? 审视过去的一年 一旦你记起了自己目前所处的道路以及你计划结束职业生涯的地方,那么是时候开始认真地对过去一年进行评估了。目的是花些时间让你了解自己已经走过的并庆祝你现在所有的成功以使你牢记你所学到的经验教训。 为了完成好这个,第一步是考查一年中的每个月份。我们发现查看你的日程表和每个月发送的邮件,有助于你想起自己曾经做过什么事情。那么,针对每个月,回答以下问题: 我大部分时间都花在什么上面? 我主要的成就是什么? 主要的挫折或失望是什么? 我学到的最重要的是什么? 一旦你完成这些,接着再回答由企业家兼博主Rajesh Setty提出的一些问题: 今年我对世界做出重要的贡献是什么? 相比较去年我影响世界的能力增强了多少? 今年我完成的,除自己之外别人无法做到的事情有哪些? 今年我了解到的过去一年不知道、新的重大的事情是什么? 一旦你仔细回顾了所有这些问题,你会对你完成的事情以及你是如何真正地影响世界有个清晰的认识。虽然你的工作可能是充满压力的或是耗费时间的(或者甚至是枯燥的),像这样量化你是如何影响他人的有助于你全面地看待事物。你会更好地理解你已经学会的和你在什么上面花费的时间最多(你可能注意到一件事:你花费最多时间的事情很少会给你带来最大的成就、贡献或知识)。 计划来年 这个回顾练习最后的部分是展望即将到来的一年。这部分的问题是:根据你的职业规划,你应该为2011年准备什么?为了让你在回顾从现在起的12个月时感到欣慰,你需要完成、学习的事情是什么? 问了完成这个练习同时为新年定下目标,你最后需要回答的问题包括: 从现在起的一年我打算去哪里? 为了将我的规划进行到底,明年我需要完成什么? 为了实现我的规划,明年我需要学习什么? 明年将影响我的最重要的行业变化是什么(例如、新的技术、趋势、合规、认证等)? 明年我应该进行的最大变化是什么(例如工作改变、重要的教育里程碑等)? 回答这些问题会让你清楚地知道明年你想做什么。最起码,它能帮你建立起新年的决心。 随着新年的临近,现在是考虑过去的12个月里你的职业规划,以及在即将来临的一年你想完成什么的最佳时机。利用这个时间来思考你已经完成了什么事情,你已经走到那里并停下来庆祝2010年你成功的职业时刻显得尤为重要。这比起我们许多人来说(包括Mike和Lee)通常做的浏览网页和购物来说,在额外时间的利用率上更有效。
数据泄露防护(DLP)成信息安全界热点
随着企业上网的迅猛发展,网络安全问题变得尤为重要。因为网络安全直接关系到企业的生存与发展,确保企业信息安全、以便企业不受损失应该成为各级企业的共识。但是现在许多企业没有意识到互联网的易受攻击性,对于系统的访问权限和密钥缺乏有力度的管理。这样的系统一旦受到攻击将十分脆弱,其中的机密数据得不到应有的保护。
云计算安全企业应更看重什么
从云计算安全的战略发展角度看,目前主要的安全解决方案供应商都将云安全、云计算基础架构安全和安全即服务作为他们进军云计算的着陆点。企业可以从以下角度考量云计算安全解决方案和服务。
规划迁移到公共云时应考虑到的成本和风险问题
结合降低经营成本的策略,就可以让公司看起来已经采取措施建立属于自己的私有云了。尽管公司运行的实际成本可能有所差别,但我相信这一趋势是非常明显的:对于企业信息技术发展来说,对于公共云最好的回应是开始规划属于自己的私有云!
梭子鱼跻身全球云安全厂商TOP20
围绕上述选题,美国Everything Channel 的在线媒体 CRN近期发布了一个2010 年度云安全全球最酷的20家厂商和风云人物的排行榜。
用户眼里的云供应商安全职责
在将公司的IT基础设施放入云之前,哪些是我需要考虑的安全问题呢?让我们列出以下安全问题:有哪些设备需要放入云中?敏感数据如何保护?如何升级加密算法?如何限制对于敏感数据的访问?如何跟踪关键系统数据?
谈云色变 云服务或带来安全和隐私问题
专家们表示,现在越来越多的服务出现在云环境中,这是不可避免的,但是供应商仍然需要注重安全性,并且政府需要重新制定隐私法律以保护云服务客户。
19个不应犯的网络安全错误
管理资讯保安服务领导供应商Verizon Business对过去几年里危害程度比较深的90个安全漏洞进行了一次系统分析,发现与这90个安全漏洞相关的“犯案”记录竟然高达2.85亿条,惊人的数字,不是吗?其中大多数重头案件都涉及有组织犯罪,比如非法登录一个未加保护网络,并窃取信用卡资料、社会安全号码或其他个人身份信息等等。
“精致化”破解云时代安全谜题,共舞云端经济
2011年1月7日,趋势科技2011年渠道大会在广州隆重召开,超过三百家来自全国各地的渠道经销商的代表应邀出席了会议。
Sourcefire收购Immunet 为实现基于云的防病毒
网络安全厂商Sourcefire公司以2100万美元现金收购了云安全初创公司Immunet。本文介绍Sourcefire收购Immunet的原因以及影响。
京公网安备 11010802021500号
