游侠安全网

　　帖子是shiter兄弟在cisps发起的，正文如下：
　　
　　看多了大家对技术和管理的讨论，无论是“三七”还是“四六”，围绕的始终是单一产品、几种技术、某类认证等等。换句话说，讨论的始终是在一个点、几个点的层面上，当然，有些有深度的帖子回复可以达到“面”的程度！
　　
　　但我们知道，信息安全从来都是立体防御、纵深防御--貌似有点装专家的感觉了，大家明白我说的啥意思就行。
　　现在

游侠安全网（www.youxia.org）拿到了某厂商送来测试的Web Application Security Scanner，专门针对WEB应用安全的扫描器，该Scanner可以扫描SQL Injection、XSS/CSS等常见WEB漏洞，并且具备渗透测试功能。

　　2010年6月11日，商务部办公厅发布通知，根据《国家发展改革委、财政部关于加快推进国家电子政务外网建设工作的通知》（发改高技〔2009〕988号）的要求，商务部决定利用国家电子政务外网（以下简称政务外网），连接各省、自治区、直辖市、计划单列市及生产建设兵团商务主管部门（以下简称地方商务主管部门）和中国对外贸易中心（以下简称外贸中心），并依托政务外网建设商务系统视频会议系统。根据计划要求，2010年7月9日前地方商务主管部门和外贸中心接入政务外网。
　　
　　有关事项通知如下：
　　
　　一、接入工作目标
...

　　这篇文章给出了一个国外厂商调查分析出来的十大数据库安全漏洞：
　　1.默认、空白及弱用户名/密码
　　2.SQL注入
　　3.广泛的用户和组权限
　　4.启用不必要的数据库功能
　　5.失效的配置管理
　　6.缓冲区溢出
　　7.特权升级
　　8.拒绝服务攻击
　　9.数据库未打补丁
　　10.敏感数据未加密
　　
　　此前，另一个公司也给出过数据库安全十大威胁，两者基本一致。
　　威胁 1 - 滥用过高权限
　　威胁 2 - 滥用合法权
　　威胁 3 - 权限提升
　　威胁 4 - 平台漏洞
...

　　有一篇来自英国的IT自由撰稿人写的博文，对日志管理（Log Management，LM）这个技术进行了一番自己的分析。可以说，全世界IT人士对LM的认识基本上都是一致的，包括对LM的作用、意义、技术架构和难点等。英国和美国的LM驱动力是类似的，那就是内控与合规。Kevin将合规分为三种类型：
　　1）法律要求的合规，就像是美国的SOX，国内例如刑七
　　2）商业领域的合规要求：就是行业规范，例如PCI-DSS，国内例如金融行业的内控指引，《企业内部控制规范》等；
　　3）政府领域的合规要求：就是政府的行政机构必须要遵守的合规性条款。例如英国的CoCo，当然美国有FISMA，中国的政府领域不仅包括行政机构，还有行政事业性单位，甚至国有企业，那就是等级保护了。
...

　　这里有两篇文章介绍了日志审计的重要性以及作用。现转载如下：

　　[注]这应该是一个比较早（2006或2007）的文章了，因为Anton Chuvakin在08年就去了LogLogic，而现在他已经自己开咨询公司了。呵呵。不过此文作为SIEM/LM的普及文还是写的不错的。

　　日志数据可以是有价值的信息宝库，也可以是毫无价值的数据泥潭。要保护和提高你的网络安全，由各种操作系统、应用程序、设备和安全产品的日志数据能够帮助你提前发现和避开灾难，并且找到安全事件的根本原因。

　　当然，日志数据对于实现网络安全的价值有多大取决于两个因素：第一，你的系统和设备必须进行合适的设置以便记录你需要的数据。第二，你必须有合适的工具、培训和可用的资源来分析收集到的数据。
...

　　最近，赛迪网刊载了《中国信息安全产品市场研究年度报告2010》的部分内容摘要。摘要提到：

　　在政府和园区方面，赛迪顾问对北京、成都、南京、广州等信息安全产业集聚园区进行深入访谈研究；

　　对行业内厂商，赛迪顾问对包括天融信、启明星辰、卫士通、东软、浪潮、航天信息、绿盟、安氏领信、北信源、网御神州、蓝盾、H3C、网康、山石、联想网御、三零盛安、赛门铁克、IBM、HP、EMC、华为赛

　　引言

　　随着信息技术的不断发展，数字信息逐渐成为一种重要资产，尤其是在过去的20多年里，作为信息的主要载体——数据库，其相关应用在数量和重要性方面都取得了巨大的增长。包括政府机构、企事业单位、制造业、商业等在内的几乎每一种组织都使用它来存储、操纵和检索数据。随着人们对数据的依赖性越来越高，各种数据信息，尤其是一些财务数据、客户数据等成为了关系企业生存的重要资产。网络化时代的到来、互联网技术的普及更加深了数据保护的矛盾，网络技术使得数字信息的泄漏和篡改变得更加容易，而防范则更加困难。

　　更为严重的是，所有信息泄漏事件中，源自内部人员所为的占了绝大部分。根据FBI和CSI对484家公司进行的网络安全专项调查结果显示：超过85%的安全威胁来自公司内部，在损失金额上，由于内部人员泄密导致了6056.5万美元的损失，是黑客造成损失的16倍，是病毒造成损失的12倍。另据中国国家信息安全测评认证中心调查，信息安全的现实威胁也主要为内部信息泄露和内部人员犯罪，而非病毒和外来黑客引起。
...

　　Gartner分析认为，出现在领导者象限中的厂商"展示出了对客户需求的深刻理解，并且能够直接或通过完善的合作伙伴关系及紧密集成提供涵盖网络、发现和终端三大功能领域的全面解决方案。居于领导者象限的厂商都有着明确而积极的发展计划，并且会切实执行，在发展中全面增强现有功能以满足日益变化的市场需求，从而保持领导者地位。"
　　这四个厂家是：Symantec、McAfee、WebSense和RSA。

JAVA开发工程师
工作地点：杭州
人数：7

工作摘要：
从事互联网安全产品的研发，如数字证书、支付盾、CTU（安全防护体系）
职位描述：
1、进行业务需求分析、系统设计和软件概要设计；
2、进行软件详细设计和编码实现，确保安全、质量和性能；
3、维护和升级现有软件产品，快速定位并修复现有软件缺陷；
4、负责相关产品的文档编写。

职位要求：
1、本科及以上学历，计算机软件或相关专业；
2、四年及以上J2EE项目开发经验；
3、熟练掌握J2EE，包括Spring、Spring mvc、iBatis、struts、ESB等框架；熟悉Linux、Cache、HTML、UML等相关技术；
...

　　2010年6月11日，业界领先的Web安全网关厂商Anchiva宣布，发布最新Web攻击防御产品线——Anchiva S系列Web应用安全网关（简称WAF）。Anchiva WAF通过对进出Web服务器的HTTP/HTTPS流量内容进行实时分析、检测与过滤，可精确判定并阻止各种Web应用入侵行为，阻断对Web服务器的恶意访问与非法操作。

　　近年来，Web攻击事件频频爆出，根据最近的CNCERT报告显示，仅5月10日至5月16日一周内，中国境内就有81个政府网站被篡改；截止5月24日，包括我国的2所一流大学与10多所重点大学在内的众多高校网站被挂马。企业传统的安全手段已经很难应对各种新型的Web攻击，而最新Anchiva WAF系列产品能够保护网页内容不被篡改，阻挡网站被挂马和植入病毒、后门、间谍软件等，同时还能保护Web数据库信息不被泄露，以及防护SQL注入、XSS攻击、命令行注入等威胁。
...

　　如今，网络已成为基层官兵学习交流的重要平台；同时，如何确保网络信息安全，也成为一个不容回避的话题。4月下旬，记者一行在沈阳军区某师采访，就遇到了一串关于安全保密工作检查的尴尬事。

　　尴尬事之一

　　为啥频频格式化？

　　【事件回放】今年3月10日，该师某团接到上级通知：“近日，将对安全保密工作进行全面检查……”消息传出，大家纷纷对自己的办公电脑“动手术”：删除资料，格式化硬盘，有的干脆更换一块新硬盘迎检。

　　正在这节骨眼儿上，该团李干事却接到上级业务部门的电话，要他上报前期整理的一份调查报告。“坏了，电脑刚被格式化，那份材料没拷贝……”他有苦难言，不得不重新整理。待他完稿时，已先后接到3个催促电话。
...

　　游侠朋友公司的WAF刚升级了，在面前显摆呢，嘿嘿。截几个图让大家看看。
　　下面是可以设置高速缓存，提高网站访问速度。设置一个值，这样客户端请求部分无需频繁更新的文件的时候就可以由WAF直接返回，增加了访问速度还减轻了WEB服务器的压力。

　　当然，数据压缩也是必须的，这样访问速度更快了。

　　时代周报记者 李瀛寰

　　马化腾终于决定出手了。

　　“腾讯收购康盛创想，已经谈成，不是传言中的入股、战略投资，而是通过现金加股权的方式达成收购，价格也比传言中的1000万美元高，大约在几千万美元，具体数额不方便透露。”6月14日，互联网业内知情人士对时代周报记者如此说道。

　　康盛创想(北京)科技有限公司(Comsenz Inc。)是社区平台与服务提供商，其最为业界熟悉的产品就是Discuz。大量的网站建站都使用康盛创想的Discuz，包括新浪论坛。

　　事实上，康盛创想的竞争对手—2008年底被阿里巴巴收购的杭州德天信息科技有限公司(以下简称“phpwind公司”)相关人士也在不经意中证实了“腾讯收购康盛创想”一事。
...

　　乔安娜·鲁特克丝卡，既是无影实验室的创始人和首席执行官，也是一名着名的安全研究人员。你可能还记得她，鲁特克丝卡女士是利用虚拟化技术导致无法被安全工具检测到的rootkit工具Blue Pill的共同开发者。

　　现在，鲁特克丝卡女士又开发出了一种可以颠覆现有规则的工具。亚历克斯·捷列什金，无影实验室的首席研究员和鲁特克丝卡女士改良了可以破解整个驱动器上的全局加密的恶意代码。他们将该恶意软