游侠安全网

　　金山软件今日正式宣布，将安全业务分拆，正式成立北京金山安全软件有限公司。

　　金山安全公布了未来的两大核心战略：全面互联网化、可信云安全体系。金山安全CEO王欣表示，金山安全将以“专业”品质应对全新的互联网安全挑战。同时， 金山安全推出了历时四年研发的“金山可信云安全”平台，并称这是第一个真正投入实用的“云安全”平台，其最新产品“金山毒霸2011”是第一款云杀毒软 件。与传统杀毒软件相比

　　一个多功能全自动编码转换工具，很好用，这里分享下：

　　点击这里下载：多功能全自动编码转换工具.rar

　　昨天游侠要发一份传真，结果突然发现公司传真出问题了，而对方又不能上网，所以就在想办法用电脑网络发传真。其实手头是有一个发传真的软件+硬件的，但是：
　　1、需要安装驱动、控制台、控制界面，不方便
　　2、安装后有N个进程，甚至有MySQL，严重占用资源
　　所以，还是考虑直接用Windows发传真了。我的操作系统是Windows XP with Sp3，装有Microsoft Office 2007办公软件，其实这样就足够了，相信大家的配置也都满足，当然，还有很重要的一点：我的笔记本电脑是有Modem的，这个是发传真必须的设备哦。
...

在国内一些网站上经常看到文章说某某WEB应用安全评估工具排名，但是很可惜，绝大多数都是国外人搞的，界面是英文，操作也不方便，那游侠就在这里综合下，列举下国内WEB安全评估人员常用的一些工具。

　　在2010 RSA安全大会上，全球信息安全业界一致看好全新的安全理念——集成安全（Integrated Security）。根据着名市场分析公司Frost & Sullivan的报告，集成安全解决方案将成为网络安全设备的发展方向，并极有可能在2010年产生一轮全球范围内的井喷行情。

　　安全分析师们的看法很直接，他们认为凡具备四种以上安全功能的设备均可称为集成安全设备，像着名的Web安全网关和UTM都属于集成安全设备。Web安全网关弥补了UTM的薄弱环节，即通过基于内容（大部分基于Web流量）而不是单纯数据包的检测技术，将安全保护扩展到了网络应用层。
...

　　在最近召开的国家信息安全等级保护安全建设指导专家委员会成立大会上，绿盟科技孙铁成为国家信息安全等级保护安全建设指导专委会成员，这是专家委员会中为数不多的企业代表之一。

　　专家委员会成员分别来自中国工程院、公安部、证监会、人民银行、工信部、发改委、国资委、海关总署、税务总局、审计署、国土资源部、国家电网、军队测评中心、国家测评中心等国家部委、科研院所、大型企业主管信息化建设的领导，委员会主任为沈昌祥院士、副主任是方滨兴院士。新组建的专委会将承担起指导等级保护贯彻实施和建设规划、推动等级保护行业应用与标准建立、参与相关单位等级保护整改方案评审等工作。
...

　　几乎每个参加RSA大会的人都有这样一个目的：从展览或会议中了解未来信息安全的发展趋势，但想要完成这个目标难度却很大，面对海量信息无异于大海捞针。实际上，参展商或会议发言人大都有背后的商业利益推动，所展示的内容大都是为了推广自己的产品或理念而服务，完全公正客观的很少。更何况大家面对的用户和政策环境很不一样，只有透过现象看本质，才能得到自己想要的东西。

　　在美国旧金山召开的RSA 2010

　　1 背景知识
　　
　　1.1 什么是XSS攻击
　　
　　XSS攻击：跨站脚本攻击（Cross Site Scripting），为不和层叠样式表（Cascading Style Sheets, CSS）的缩写混淆。故将跨站脚本攻击缩写为XSS。XSS是一种经常出现在web应用中的计算机安全漏洞，它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如同源策略（same origin policy）。这种类型的漏洞由于被骇客用来编写危害性更大的phishing攻击而变得广为人知。对于跨站脚本攻击，黑客界共识是：跨站脚本攻击是新型的“缓冲区溢出攻击”，而JavaScript是新型的“ShellCode”。
...

　　公司简介：北京瑞达时代科技有限公司
　　北京瑞达时代科技有限公司是一家专注于“网络应用安全与管理”领域的高新技术企业，公司注册资金1200万，是北京市软件企业，中关村最具发展潜力十佳中小高新技术企业。
　　通过不懈的技术创新与实践探索，我们业已成为国内技术领先的“网络应用安全与管理”解决方案、产品与服务的提供商。在国家科技创新基金的支持下，率先开发出国内第一个智能化的互联网内容安全监管系统

　　近日，根据赛迪顾问2010年3月发布的《2009-2010中国信息安全产品市场研究年度报告》显示，国内领先的终端安全厂商北京北信源软件股份有限公司，在终端安全产品领域，其市场份额高居中国终端安全管理厂商之首，继续保持市场占有率第一的地位，也实现了连续四年蝉联市场占有率第一的盛举。

　　作为研究报告的发布机构赛迪顾问，是直属于中华人民共和国工业和信息化部中国电子信息产业发展研究院（赛迪集团，CCID）的大型现代咨询企业，也是国内最早在IT行业开展信息咨询服务的大型资讯机构之一。其发布的行业研究报告通过精准的数据和专业的深度研究分析，基于深入、翔实的市场研究数据和重点厂商重点产品的深度研究，以行业分析、厂商点评、政策解读等为主线，并与相关产业环节进行关联分析，依托对市场的深刻理解，给出产业发展特点的深度剖析，掌控行业与市场发展趋势，为业内公认最具权威性的研究报告。
...

西安市工商局网站上出现淫秽信息

从2005年到现在的5年里，这个页面只更新了一条淫秽信息

　　华龙网3月30日报道 3月30日上午，西部网

　　在公司写的个PPT，时间比较紧，所以做的也不那么精细。发上来供大家参考，如果有建议请直接联系张百川（网路游侠），或到信息与网络安全从业者QQ群讨论。
　　我的联系方式：baichuan.zhang@gmail.com

　　点击这里下载：
　　中国电信一站式安全服务-张百川.pdf
　　如果您在陕西省，并且有类似需求，欢迎与我联系。

　　摘要：
　　
　　IPS（入侵防护系统）和WAF（Web应用防护系统）两款产品有不同的使用场景，随着Web应用发展带来的复杂度，对安全性要求也日趋增高，Waf的出现是顺应了市场和技术的需要，本文从对比角度来分析，是为了从差异中让读者更清晰的理解Web安全防护产品的技术特征。
　　
　　关键词：WAF IPS WEB应用防护 绿盟科技
　　
　　谁是最佳选择？
　　
　　Web应用防护无疑是一个热门话题。由于技术的发展成熟和人们对便利性的期望越来越高，Web应用成为主流的业务系统载体。在Web上“安家”的关键业务系统中蕴藏的数据价值引起攻击者的青睐，网上流传的Web漏洞挖掘和攻击工具让攻击的门槛降低，也使得很多攻击带有盲目和随机性。比如利用GoogleHacking原理的批量查找具有已知漏洞的应用程序，还有SQL批量注入和挂马等。但对于重要的Web应用（比如运营商或金融），始终有受利益驱动的黑客进行持续的跟踪。
...

　　近来在网络游侠的blog是看到一篇文章：《[网路游侠：WEB应用安全扫描产品概述] 》列举了一些国内外商业的免费的web扫描器及其的一些特点… 他这个问题是在产品推荐的角度上的，可以看的出来web扫描平台的市场竞争还是非常大。

　　在实现的技术是来说，他们都是基于url爬行的基础上的，对于基本上很多都是通过正则提取url及参数，只是有的提取url和参数不太一样，很少直接提取，一般都是通过本地代理[类似于代理中间人攻击]来提取。这样的爬行对于web2.0的时代来说，已经有那么点落后了，如复杂的ajax,flash应用，以及js混淆等…
...

一、企业信息安全现状 ......... 1
1、企业信息安全威胁现状 .................. 1
1）企业外部信息安全威胁 ................. 1
2）企业内部信息安全威胁 ................. 3
3）信息安全威胁给企业带来的损失 ......... 4
2、企业信息安全投资现状 .................. 6
3、企业现有安全产品分类 .................. 7
1）防火墙 ................................. 8
...