本报讯 昨日三审的保守国家秘密法修订草案拟规定网络运营商配合泄密案件调查的义务。
全国人大法律委员会副主任委员孙安民表示,审议中,有常委会委员、部门提出,公安机关、国家安全机关对泄密案件进行调查,需要互联网及其他公共信息网络运营商、服务商的配合和支持,建议明确。
对此,全国人大法律委建议增加规定,互联网及其他公共信息网络运营商、服务商“应当配合公安机关、国家安全机关对泄密案件进行调查”。
保密法修订草案二审稿上收了定密权,最低的“秘密级”也要由设区的市、自治州一级机关及其授权的机关、单位才能定密。三审草案对定密权有适当放宽,规定公安、国家安全机关在其工作范围内按照规定的权限确定国家秘密的密级。并没有规定什么级别的公安、国家安全机关可以定密。
...
23日下午,我和重庆联想网御、华夏创新的哥哥弟弟们还在赛博楼下转悠,摆重庆IT武器装备行业的事。唐总指点江山,就差没激扬文字了。
回成都睡了一觉,小陈QQ上给我说:赛博烧了,你知道么?我说昨天不还好好的么?怎么就烧了?上网一看,果然! 赛博大火
赛博是重庆IT的标志性建筑之一,被烧之后据说损失惨重,某商家报损失1个亿左右,我姑且不说这个损失大与小,关键这个数目是如何统计出来的,商家的账目恐怕都在大火中付之一炬了吧。
当然这只是我的猜测,但是我估计大部分的商家,会将自己的库存、财务数据、合同、客户资料存在电脑上放在办公室,这火一烧,损失的恐怕完全不仅仅是那一堆货。货是有形的损失,数据呢?财务、客户这些损失又如何统计?
...
随着中国移动河北有限公司通信网、业务网及各支撑系统的不断发展,由于内控措施不力造成的安全问题时有发生。依赖各通信网、业务网和各支撑系统中设备自身的日志功能进行审计的做法已经无法满足河北移动目前和未来业务发展的要求。
央视一套30集热播电视连续剧《密战》推出之后,获得了较高的收视率。《密战》中运用了当前主流的技术和设备。不论是服务器、笔记本电脑、移动硬盘等大众所常见的设备,还是相当专业的微波发射中继器、手机窃听器、安防监控系统解读器,都是泄密和窃密的重要途径。
为了让广大观众更为了解《密战》剧集中所涉及到的种种窃密与反窃密途径,本文将剧情中种种窃密途径进行解析,并提出相应的技术、产品或者是防范手段
1、引言
跨站点请求伪造(Cross—Site Request Forgery)。以下简称CSRF。是一种广泛存在的网站漏洞。Gmail、YouTube等着名网站都有过CSRF漏洞。甚至包括“ING DIRECT”这样的荚国第四大储蓄银行的金融机构网站。2009年3月着名网络安全机构SANS与MITRE结合来自全球超过30个软件工作者及安全专家,将CSRF列为最危险的25个编程错误之一。
2、现有的Web安全缺陷
2.1 Web安全策略
与CSRF有关的主要有三个Web安全策略:同源策略、Cookie安全策略和Flash安全策略。
...
周五的时候看文章看到说在U盘上安装Linux,当然这样看上去是比较拉风的……于是网路游侠也准备搞一个,128M的一个老U盘装了个WinPE上去,很方便,还有个4G的U盘,不妨装上个Linux玩玩!
把合适的人员吸引到自己的信息安全职业关系网中并不是一件容易的事情,你需要付出很多努力,而且需要另辟蹊径。
你越是努力地为你的关系网选择合适的成员,你的关系网就能越有效地帮助你实现自己的最终目标,即实现你的信息安全职业目标。比如,吸引一个从事相同信息安全工作的同事要比寻找一个能够促进你职业发展的CIO或者CISO容易得多。而在这篇文章中,我们将提供一些关于接近这几种人的方法。
在过去的18个月中,信息安全职业人员没能幸免于经济衰退所带来的影响。预算收紧以及裁员迫使许多信息安全职业人员积极展示自己的重要性,并为他们的职业生存而奋斗。
不幸的是,即使努力并且展示了重要性也不一定能保住自己的工作。这个月的职业技巧将介绍一些职业生存的关键技巧,希望能够使您的信息安全工作更加稳妥。
技巧一:了解你能够给老板提供的价值
信息安全职业人员必须清楚地了解他们能给老板提供什么样的特殊价值。如果可能的话,请你展示出那些直接与成本节省有关的技术(比如说,不必外聘安全服务公司)。
...
好几个朋友和我说过Safe3 Web Vul Scanner了,前一段时间作者也加了游侠的QQ,聊了下,并给我注册了个Safe3 WVS,看了下功能不错。
为了说明其功能,我在这里扫描个不大不小的站吧,设置参数,点菜单“Setting”:
·Scanning Threads:默认值是10。扫描的线程,值越大扫描速度越快,当然占用主机资源越多。不过以游侠自己的测试,即使是改成30,对资源的占用也完全可以接受
团队介绍:
由国内某知名前安全团队重新组成,团队成员95%具备CISSP、ISO27001 LA、CISA、CISP资格,是一支具备研发、漏洞挖掘、追踪取证以及管理流程分析、体系整合的高素质团队。
团队工作内容:
为大型企业等单位提供实时的安全监控并开发相关的产品系统,进行包括IC卡、无线以及各种系统的漏洞挖掘等工作。
具体要求:
1、C语言开发基础好
随着信息化建设的不断深入,企业的信息系统越来越多,有的数十个、甚至成百上千个应用,如:WEB应用、C/S架构应用、文件系统应用、UNIX应用、数据库查询应用等,如何将这些应用交给不同的用户,实现信息系统间的网上互联互通。加强办公资源的整合,建立起跨部门的、综合的业务应用系统,消除“条”与“块”之间的割裂状况,实现跨部门、跨用户群的信息交换和应用。根据应用数据结构和架构的模式,CYLAN从技术上实现了:平台化的应用发布,使用交付、应用间的交叉访问、应用的部属和维护、应用细粒度访问控制得以轻松实现。使企业的管理通过个信息化的虚拟平台得到加强,从而帮助实现信息化的最大使用效率,提高和优化管理能力,降低管理成本。
...
VCLMS针对目前主流信息系统基础平台的特点,通过采集各种网络设备、安全设备、操作系统及应用软件平台的安全事件日志及各种消息、主动探测运行状态等手段,为系统管理人员提供了一个监测面广、响应及时、具有强大分析能力的综合日志管理平台。
某安全公司招聘应用安全工程师,承担风险评估、渗透测试和应急响应工作
具体要求:
1 精通SQL注射、跨站脚本攻击等应用攻击手法;
2 熟悉常见脚本语言和数据库,能够进行WEB渗透测试,恶意代码检测和分析;
3 熟悉攻击的各类技术及方法,对各类操作系统、应用平台的弱点有较深入的理解;
4 分析问题和实际动手能力强,具有良好的团队合作精神;
5 具有良好的沟通能力和文档编写能力;
5 学历不限;
6 有相关工作经验者优先;
工作地点:杭州或上海
联系方式 QQ:19833355
3月19日,广西壮族自治区人力资源和社会保障厅发出公告,2010年广西公务员考试公共科目因为试题泄露笔试无效,定于4月25日另行组织考试。这场涉及近9万考生的泄题事件,是我国自公务员考试以来,影响人数最多的一桩泄题事件。
事件回放:
“广西公务员泄题案” 折射企业信息安全隐患
据调查结果显示,此次广西公务员考试泄题最终锁定在广西人事考试中心。由于考试中心工作人员黄某利用入闱参加命题的机会,私自夹带无线网卡和笔记本电脑将《行政职业能力测验》试题和答案、《申论》试题通过QQ发送给黄某等4人,并从中获利,造成试题和答案在考前被泄露的严重后果。
...
“航天蓝西电子信息深度取证工具”是针对国家保密单位进行安全保密检查、公检法针对电子信息司法取证、各级涉密单位进行安全保密自查与防范工作的计算机安全产品。使用“航天蓝西电子信息深度取证工具”对涉密信息系统进行例行或日常检查,可及时发现、解决违规问题,真正促进保密工作制度化、规范化、常态化管理作用。
航天蓝西电子信息深度取证工具功能