安全

用户眼里的云供应商安全职责 [ZT]

  我是一个年收入在10亿美元以上的公司的CIO或CSO。在将公司的IT基础设施放入云之前,哪些是我需要考虑的安全问题呢?让我们列出以下安全问题:有哪些设备需要放入云中?敏感数据如何保护?如何升级加密算法?如何限制对于敏感数据的访问?如何跟踪关键系统数据?

  假定每个公司都有相应的防火墙和相关的网络设备放在云供应商的云环境中。每个部分都有他们支撑的不同应用。因为其他公司也可能在同时使用这个

网路游侠 3 分钟阅读 0
安全

DB-SES数据库安全访问中间件

  随着计算机技术的飞速发展,数据库的应用十分广泛,深入到各个领域。但随之而来产生了数据的安全问题。数据库系统作为信息的聚集体,是计算机信息系统的核心部件,其安全性至关重要。小则关系到企业兴衰、大则关系到国家安全。

  在涉密单位或者大型企业中,广泛的实施了安全防护措施,包括机房安全、物理隔离、防火墙、入侵检测、加密传输身份认证系统等等。但是数据库的安全问题却一直得不到应有的重视。同时,之前

网路游侠 2 分钟阅读 0
业界

游侠原创:2011年网络与信息安全行业10大预测

  2010年已经过去,在过去的1年中,我们经历了很多……百度被黑、谷歌被X、360和QQ大战……甚至在2010年12月31日,最后一天的时候,下午4点都有公司召开发布会:金山和360互掐。

  2010年是混乱的,2011年呢?游侠安全网作出如下预测:

  1、腾讯、金山、360混战继续,前2者联盟胜利,后者失败,但腾讯会自己开发和金山类似的安全产品线,下一步开始变成腾讯和金山的PK

网路游侠 2 分钟阅读 0
业界

[转载]一双暖眼看华为--陈怀临日记

飞熊摘要:

以锐捷首席安全架构师的身份撰写一篇文章在弯曲评论上引来57位业内人士的褒贬,堪为热闹。本来是没有路的,走的人多了,也就有了。锐捷在安全领域将有大动作,2011年,请拭目以待。

在褒贬声中,认识了不少人,比如zeroflag、老韩、陈首席。

陈首席是我的偶像,值得敬仰和学习。

特转载华为内部人士的一篇帖子,请围观。

网路游侠 5 分钟阅读 0
安全

Web应用层防火墙真的像宣传的那般好用吗?

  几个月以前我决定去探查一下Web应用层防火墙(WAF)是否真正有用,或者它仅仅是一个花费巨大的披着华丽外衣的废物,只是使得审计人员用来逃脱职责。

  当然,WAF的卖家总是一成不变的告诉我们他们的产品是如何如何的好,有多少多少的客户在使用他们的产品,但是,这不是最好的方式来了解真实的情况。我也在与一些最终用户的谈论中获知了一些真实的情况,甚至这种方式也不是一个发现安全工具价值的最好方式。并不是所有的使用者有很好的观察法和内部控制方式去测试这些工具的效用,而且由于一些政治和技术方面的原因,很多人并不能够以最优的方式去部署这些工具。
...

网路游侠 2 分钟阅读 0
业界

2011十大安全威胁 国家资助黑客攻击居首

  全球着名应用程序和数据安全解决方案厂商Imperva公布了2011年十大安全威胁趋势的预测,将有助于IT安全专业人员帮助组织抵御下一波网络安全攻击。

  1、国家资助的黑客攻击:APT趋向产业化

  国家赞助的黑客通常会实施有针对性的网络攻击,混合了商业黑客行业的观念和技术,这种攻击和传统的以金钱利益为目的的攻击有所不同,但使用的技术都差不多,这些高级持续性威胁(Advanced Persistent Threat[APT])攻击会使用诸如自动化和病毒传播技术,使它们更加强大,攻击成功的可能性更大,大家还记得Stuxnet吧,它就是这样的例子,Stuxnet不是为了获得你的银行卡密码,相反它是为了获得你基础设施的控制权。
...

网路游侠 6 分钟阅读 0
业界

趋势科技发布2011年信息安全威胁预测

  随着企业终端操作系统多样性的不断增加,以及移动设备的日益普及,2011年很可能将成为对于网络犯罪者获取更大收益的一年。他们将对互联网用户发动一次次电子邮件轰炸,利用社会工程学诱骗受害者下载恶意软件,藉以进行窃取个人资料等不法行为。根据TrendLabs 2010年最新的统计资料,趋势科技威胁研究专家已经发现,排名最高的恶意程序中有超过80%都是通过网页入侵用户的操作系统。

  操作系统多样性让网络犯罪者拥有更多机会

  2011年将是非主流操作系统、程序与浏览器的漏洞遭受更多攻击的一年,而针对应用程序漏洞的攻击也将大幅增长。云端计算和虚拟化虽然能为企业带来大量的投资回报且节省成本,但也将服务器置于传统的安全边界之外,因此反而让网络犯罪者拥有更大的发挥空间,同时也会加重云端服务供应商的信息安全责任。
...

网路游侠 3 分钟阅读 0
安全

法规遵从成为部署加密技术的首要原因

  随着移动设备技术的日益精进以及一些移动平台对市场的垄断,攻击者们在2011年不可避免地将攻击重点放在移动设备上,而移动设备即将成为机密数据丢失的主要源头。根据移动专家Mocana公司的研究,参与调查的企业中,65%的IT从业人员已经或将要定期关注针对智能移动设备的攻击。

  IDC还预测,截止2011年底,10亿工作人员将会在部分时间处于移动状态,或者在离开公司所在地的地点办公。 随着这一情况的发生,企业将不得不采用新模式来应对由此产生的一系列挑战,如云安全,进而实现在多平台和设备之间工作的无缝链接。预计IT管理人员由于业务需要也会执行更加精细的网络安全策略。
...

网路游侠 2 分钟阅读 0
业界

回顾2010年十大安全事件

  即将结束的2010年里,IT安全领域可以用“混乱”一词来形容。在此我们为大家列出了十大安全事件,谷歌、思科、迈克菲和美国政府都榜上有名。谷歌、思科、迈克菲、AT&T等科技巨头上榜一点也不奇怪。因为树大招风,他们一直都是黑客攻击的目标,同时任何时候他们只要在安全方面出现失误都是重大新闻。

  “极光”漏洞导致谷歌受攻击

  所谓极光攻击事件指,谷歌在一月份承认他们的许多重要知识财产在去年十二月份被网络非常入侵所窃取。与此同时,另外还有十二家高科技和业内公司受到了同样的攻击。

  中国ISP劫持互联网
...

网路游侠 4 分钟阅读 0
安全

19个不应犯的网络安全错误

  管理资讯保安服务领导供应商Verizon Business对过去几年里危害程度比较深的90个安全漏洞进行了一次系统分析,发现与这90个安全漏洞相关的“犯案”记录竟然高达2.85亿条,惊人的数字,不是吗?其中大多数重头案件都涉及有组织犯罪,比如非法登录一个未加保护网络,并窃取信用卡资料、社会安全号码或其他个人身份信息等等。

  而令人惊讶地是,这些安全漏洞大多是由于网络管理员没有对自己负责的网络系统,尤其是非关键服务器采取明显的防护措施造成而造成的。

  “根本原因就在于网络管理员没有做好最基本的工作,就这么简单。” Verizon Business技术创新部副总裁Peter Tippett说,Tippett是安全领域的权威人士,从事安全漏洞审计工作长达18年之久。
...

网路游侠 5 分钟阅读 0
安全

技术分析:仅靠双因素认证保安全并不够

  客户是银行业的基石。当我们到当地银行分支机构来办理日常银行业务或者享受其他银行服务,我们首先必须向银行人员验证自己的身份,并且通常需要通过多种识别条件。我们有这样的意识,坦率地说,我们希望在进行任何业务操作之前,银行机构会对我们的身份进行核实。

  那么,为什么作为网上银行客户,我们却无法容忍这种身份验证带来的麻烦?并且不愿进行足够的网上身份验证以阻止犯罪分子企图窃取我们的网上银行证书或者影响我们的网上银行操作。

  随着犯罪分子逐渐将目光转向银行客户,他们使用先进的技术(网络钓鱼、恶意软件、键盘记录器和木马等等)来窃取网上银行证书,银行业也开始部署同样先进、更强大的多因素身份验证技术来应对这些犯罪分子。虽然这些解决方案提供了强大的安全保护,但同时也给客户的用户体验带来明显的复杂性,这从市场营销和客户关系的角度来看并不理想。因此,处理用户体验和安全之间的关系成为网上银行的关键成功因素。
...

网路游侠 6 分钟阅读 0