远望信息与网络安全管理平台是一个融业务管理(规范、组织、服务、培训)、工作流程和应急响应(预警、查处、通报、报告)与安全技术应用(监测、发现、处置)为一体的信息与网络安全管理平台。
远望信息与网络安全管理平台,集成了各类信息安全监管、分析技术,实现对网络边界安全、保密安全、网站安全、主机基础安全,以及各类威胁信息安全的违规行为、资源占用行为的全面,有效地监测、处置和管理。同时结合工作流技术,实现了“监测、警示、处置、反馈、考核”五位一体的信息安全管理工作的信息化、网络化、日常化、常态化和长效化。
...
2011年9月互联网安全第一品牌360与上网行为管理第一品牌网康科技“联姻”,在京联合发布首个桌面+网关立体安全解决方案。
达尔文的进化论到现代的考古发现,大多数生物都是以群居生活为主,由于群居动物的社交性的缘故,在群居动物中间会有明确的社会分工产生,而动物进化的首要条件就是社会分工,所以很多动物都采用群居合作的方式生活。对于现今的网络安全市场来说,协同解决方案已成大势所趋。
传统安全环境下,病毒、木马、恶意软件、钓鱼网站等威胁着内网安全,一旦入侵内网,将会为用户和企业带来很大的损失;重复访问相同的网络资源,如观看相同的在线视频、下载相同的软件补丁包等,不仅浪费了出口带宽资源,还影响用户访问速度;内网用户外发敏感信息、访问不良网站、使用无关的应用等不当行为,可能造成内部信息外泄、违反法律法规等不良影响,同时还会造成工作效率下降、带宽资源利用率低等问题。
...
纸质病历需要有医护人员签名,电子病历同样需要可靠的电子签名来确保该电子病历符合法律规范,如何选择合适的电子签名来满足对电子病历的认证呢?
我国卫生系统应该在电子病历推广和建设起步之初,及时配套推广应用可靠电子签名及认证服务,从而确保电子病历的法律效力,推动电子病历的健康顺利发展。
采用可靠的电子签名确保电子病历的法律效力
电子病历是利国利民的基础性工作。 2009年4月,新的医改方案发布。《中共中央国务院关于深化医药卫生体制改革的意见》明确提出,以医院管理和电子病历推动医院信息化建设。
2009年12月,卫生部、国家中医药管理局印发《电子病历基本架构与数据标准(试行)》; 2010年2月,卫生部发布了《电子病历基本规范(试行)》。这些标准和规范为电子病历推广奠定了很好的基础,推广电子病历已经有了一个良好的开端。
...
近日从湖南省卫生厅获悉,8月11日以来,湖南省健康档案录入系统运行受到人为因素干扰,先后发生4次黑客入侵事件,导致该省的健康档案录入工作难以进行,影响医改工作进展。这一事件敲响警钟:卫生信息化进程中,网络安全不容忽视。
据介绍,今年8月1日到8月5日,该省长沙、株洲、湘潭、永州4个地市共35个区、县完成健康档案录入人员培训,并于8月10日全面展开档案录入。但从8月11日下午3时,黑客入侵主机,在服务器上挂载JSP木马,并且关闭服务器,导致30个区、县不能录入健康档案,运营公司重启服务器,一个半小时左右后恢复。8月13日下午3时20分,黑客入侵主机,远程关机导致30个区、县不能录入健康档案,该公司重启服务器,发现被建立了一个未知系统账号,10分钟后恢复。8月13日下午4时20分,黑客入侵主机,删除引导文件,并远程关机,导致30个区、县不能录入健康档案,该公司重新启动服务器,检查木马,打上补丁,2个小时左右后恢复。8月15日早上8时,黑客入侵主机,植入远程操控JSP页面,删除引导文件,并远程关机导致30个区、县不能录入健康档案,该公司重新启动服务器,检查日志掌握了入侵者的证据,并向公司所在的长沙市公安局麓谷派出所报案,10个小时左右后恢复。
...
应用背景
电子病历是相对于传统纸质病历而言,利用信息技术所形成的病历,是医院信息化较高阶段所要执行的功能,是医院医疗系统的核心,能记录病人的全部资料,符合病案的管理要求;实现远程医疗咨询,诊疗信息广域联网,方便传输、存储及显示。
电子病历通过电子设备(计算机、网络、数据库、健康卡等)保存、管理、传输和重现的数字化的病人的医疗记录,它反映了患者整个医疗过程,储存了患者全部的医疗信息,包括患者纸张病历的医嘱、病程记录、各种检查结果、影像资料、手术记录、护理信息等内容,对于患者来说,电子病历省时、省心、省钱。
...
游侠语:好久之前就想过写这样一篇文章,但是一直没有成文。今天刚好在网上看到,就转发过来,推荐给大家。网上看到的地方也没有写作者,如果作者看到,劳烦和游侠说一下!
【IT168 专稿】随着美国金融危机爆发引发的全球经济危机,让我们越来越深刻地认识到违规操作、疏于监管带来的危害,于是审计作为现在监管比较普遍、实用且成熟的专业迎来了又一次事业的高峰。
经历了几十年的传统审计,虽然
Safe3WAF是国内第一款免费的Linux轻量级的反向代理Web安全网关,采用类似nginx的占有内存少、高并发架构。作为网页服务器的前置,不但可以抵御各种黑客攻击,还可以高速内存cache服务器缓存相关请求来提高Web服务器的速度,并且具备网站集群负载均衡等功能。目前中国大陆使用Safe3WAF网站用户有搜狐、国防科技大学招生网等。
主要功能:
1.拦截GET sql注入
2.拦截POST sql注入
3.拦截Cookie sql注入
4.拦截XSS跨站攻击
...
新浪财经讯 10月9日消息,被誉为中国黑客教父的绿色兵团创始人GOODWELL在与新浪财经独家对话时表示,COG根据专业技能将黑客分为六级,这是国内首度提出这一概念。据悉,实力顶尖的高级黑客不足百名,目前大多已进入信息安全领域。
COG,信息安全专业委员会(Chown Owner Group)是一个由民间自发组织成立的非营利性的研究机构,以网络信息安全领域为焦点,致力于提高中国网络安全水
详细介绍请查看:http://www.owasp.org.cn/OWASP_Conference/AppSec_2011/training
1. 如何使用OWASP项目和工具提升企业安全(针对人群:CISO, 高级信息安全经理)语言:英文,视情况确定是否需要同传。
内容:
Setting up and improving your global security organisation using mature OWASP projects and tools. Achieving cost-effective application security and bringing it all together on the management level. How to use and leverage OWASP and other common best practices to improve your security programs and organization. The workshop will also discuss a number of quick wins and how to use OWASP tools inside your organisation. The author has extensive experience of managing his own secure development organization as well as advising to improve a number of global secure development organisations and processes.
...
近日,游侠安全网(www.youxia.org)与知名技术网站51CTO、e-works制造业信息化门户网合办了“内网安全,十年之辩”专题。站长张百川(网路游侠)作为资深安全专家参与专题,对内网安全相关问题发表了看法。
专题地址:
http://netsecurity.51cto.com/secu/ethernet10/
http://www.e-works.net.cn/report/infosec/infosec.htm
相关文章:
[内网安全,十年之辩:7、信息防泄漏 如何慧眼识良方]
[内网安全,十年之辩:6、信息防泄漏,如何用好行为审计?]
[内网安全,十年之辩:5、怎样打出信息防泄漏的“组合拳”?]
[内网安全,十年之辩:4、信息防泄漏=全加密?]
[内网安全,十年之辩:3、内网安全,“花钱”OR“挣钱”?]
[内网安全,十年之辩:2、内网安全,何马当先?]
[内网安全,十年之辩:1、内网安全,心在何处?]
现如今的信息防泄漏解决方案不胜枚举,宣传带有防泄漏功能的产品比比皆是,然而企业在面对众多方案时却常常眼花缭乱、无所适从。什么样的系统才是好系统?什么样的方案能帮助企业切实提高信息安全防护水平?应该以怎样的标准来判断不同方案的优劣?对此,e-works采访了知名业界专家、企业代表、厂商专家,集结三方专家与您一起探讨“信息防泄漏方案,如何慧眼识英?”
我国古代行医讲究的是保障人体的安康,信息防泄漏方案是为了企业信息的安全。对防泄漏方案进行选择,就好比面对病人时医生要找出合适的“处方”才能对症下药。以此为基,在对防泄漏标准进行选择时,亦逃不出“望、闻、问、切”的手法。
...
内网安全中有一项非常重要,但是也存在着一定争议的工作,那就是——行为审计。行为审计可以发现不少内网安全的“内鬼”,但“行为审计是否侵犯个人隐私”一直存在争论,如何用好审计功能也是企业和厂商都极为关注的一个课题。对此,e-works近期采访了知名业界专家、企业代表、厂商专家,集结三方专家与您一起探讨“信息防泄漏,如何用好行为审计?”。
审计,信息安全的晴雨表
把握住行为信息收集的度,控制好审计的范围和权限,便可以很大程度的避免一些审计带来的风险。审计只是一个工具,IT管理部门应该明确,审计的目的是为了安全,它让企业得以对内部的操作可视化,这样企业可以随时发现新的安全威胁、防护漏洞,不断调整防护策略,以应对不断涌现的技术所带来的威胁,实现最大限度的安全。三一重工股份有限公司研究总院信息化经理谭俊峰十分重视管理,这与三一重工研究院是三一内部核心数据部门有关。他们从企业审计系统的原则出发,制定了“把握全局、拿捏有度、主次分明、责任到位、统筹兼顾”的原则,并且在建立人力资源管理的制度时,就从宣贯公司的某些政策或制度出发,让员工知道信息保密性的要求,并且他们会经常对企业员工进行信息安全意识的培训。
...
信息防泄漏是包括加密、管理、审计、监控等多个方面的整体方案,信息防泄漏需要“组合拳”。但是,其中无论是加密、管理、审计还是监控,市场上都有单功能的产品。对此,企业是买多个单一功能的产品来组合成信息防泄漏体系,还是选用一个厂家提供的整合的信息防泄漏整合方案呢?本期e-works集结厂商、企业、专家三方共同探讨如何打好信息防泄漏的“组合拳”。
打好“组合拳”,首先需要组合里的每一“拳”都打的漂亮。选择整体方案,需要各个模块各自发挥所长,起到本身的功能作用,这需要模块间良好的配合。不同厂商的产品之间,产品理念和技术体系可能不完全相同,相互之间很可能会有兼容性的问题,一味的选择不同领域最好的产品,可能造成各自为政的局面,顾此失彼。并且,还可能存在单一产品间功能重复等问题,无疑造成了资本的浪费。所以,“即便选择是最好的A家厂商的产品A和最好的B家厂商的产品B组合,也不一定能打造最佳效果。” 溢信科技产品总监黄凯如是说。
...
信息防泄漏是指通过一定的技术手段,防止企业的指定(重要或者敏感的)数据或信息资产以违反安全策略规定的形式流出企业的一种策略。目前来说,国内信息防泄漏以文档加密技术为核心,结合安全审计机制、严格管控机制、内部文档操作控制机制,有效防止任何状态(使用、传输、存储)的内部资料和信息资产泄漏。然而,不少企业对于信息防泄漏只停留在文档加密的阶段。
从字面意思来看,信息防泄漏是防止信息的外泄。信息的生命周期包括创建、使用、存储、传递、消亡,信息的传递周期涉及到信息创建、终端、端口、移动存储介质、网络等方面,两个周期共涉及到企业的各个方面的,例如业务流、IT、管理、人员等。单纯的文档加密技术显然不能保证信息不外泄,这也是为何企业应用热潮从“透明加密”转向“信息泄露防护(DLP)”的所在。游侠安全网站长张百川提醒一些只依赖加密保证数据安全的企业,“加密算法并非牢不可破,一旦算法被攻破,企业就暴露在危险环境中而无招架之力。实施了加密,还是需要多种技术联合起来防泄漏。”郑州三全食品股份有限公司CIO周清湘对于加密技术也持谨慎观点:“ ‘加密’手段既是保险柜,也是死胡同。加密后,即使数据泄露出去,因为看不到原文企业也不会为此紧张;反之,若加密技术有问题,加密算法被破解那么企业就非常难过了。不可盲目轻信加密技术,所以也就要当心‘如何加密?’‘范围多大?’等问题。”
...
“50万的安全建设投入,和1000万的产品研发投入相比,谁更值得?”有人觉得当然是产品研发更值得,企业的核心资产就在产品研发上。那么,谁来保证这个核心资产的价值呢?