游侠安全网

　　作为信息与网络安全行业的知名网站，张百川（网路游侠）博客 https://www.youxia.org 从 2009年06月15日 起，提供信息与网络安全产品的代购服务。现阶段涵盖的产品包括：
　　·桌面管理系统（主机审计）
　　·移动存储介质管理系统（U盘和移动硬盘管理）
　　·计算机安全保密检查工具
　　·数据库安全审计
　　·日志管理综合审计系统
　　·运维安全管理与审计系统（内控堡垒机）
　　·Unix/Linux服务器审计
　　·数据库漏洞扫描
　　·网络漏洞扫描系统
　　·网站防篡改系统
　　·数据彻底擦除工具（数据销毁软件、介质清除产品）
　　·WEB应用防火墙（WAF）
　　·网站漏洞扫描产品（WEB脆弱性评估）
　　·IPS入侵防御
　　·光盘刻录审计系统
　　·打印机管理软件
　　·基于USB-KEY的文件加密产品
　　·企业整体安全整体解决方案设计
　　·网站渗透测试服务（必须有相关授权）
　　·其它相关安全产品
　　由于众所周知的原因，本站代购不包含限定区域销售的产品。同时，本站不提供如下产品的咨询和代购：
　　·传统的防火墙
　　·入侵检测
　　·VPN产品
　　·防病毒产品
　　您可以通过如下方式与网路游侠沟通：
　　ＱＱ：55984512、55984512（加1个即可，人满，加人就得删人）
　　电话：15339230081、13772545470
　　邮件：55984512@QQ.com、zbc98@163.com
　　推荐通过电子邮件方式联系，同时为了张百川（网路游侠）能在第一时间联系到您，并提供最准确的产品信息，强烈建议您提供您的如下信息：单位、您的称呼、职位、联系电话、电子信箱、技术需求。
　　当然，更希望您能下载“游侠安全网 咨询表”填好后发送给游侠：　
　　
　　提示：请不要通过网络发送任何敏感信息！

　　摘要：分析了电力二次系统所面临的风险，简要阐述了电力二次系统安全防护相关规定，介绍了风险评估在国内电力二次系统安全建设中的应用。《电力二次系统安全防护规定》对电力二次系统的安全建设提出了具体的建设目标，本文结合风险评估，对电力二次系统安全防护建设中的关键点进行了分析，提出一些意见。
　　关键词： 电力二次系统 风险评估 安全
　　引言
　　电监会5号令《电力二次系统安全防护规定》和电监安

　　无线网络技术由于其便利性，一面世就受到普遍欢迎，在个人电脑上得到广泛应用，特别是在笔记本电脑上已经成为标准配置。但无线网络的广泛应用，对涉密电脑来说却存在极大的安全隐患：带有无线网卡的笔记本电脑作为涉密单机处理涉密信息时，能够在无意识的情况下被在有效距离内的其他带无线网卡的笔记本电脑以对等方式或被无线交换机以接入方式实行无线联通，其中存储的涉密信息就存在被非法获取

　　*******************Transact_SQL********************
　　--语 句 功 能
　　--数据操作
　　Select --从数据库表中检索数据行和列
　　Insert --向数据库表添加新数据行
　　Delete --从数据库表中删除数据行

摘录如下:
说实话如果一个网站的前台都是注入漏洞,那么凭经验,
万能密码进后台的几率基本上是百分之百.
可是有的人说对PHP的站如果是GPC魔术转换开启,
就会对特殊符号转义,就彻底杜绝了PHP注入.
其实说这话的人没有好好想过,更没有尝试过用万能密码进PHP的后台.
其实GPC魔术转换是否开启对用万能密码进后台一点影响也没有.
如果你用这样的万能密码'or'='or',当然进不去,

　　===========================================
　　WEB安全
　　www.youxia.org
　　===========================================

　　1 抗DoS/DDoS产品
　　2 整体漏洞扫描产品
　　3 网站脆弱性评估产品
　　4 服务器加固
　　　　4.1 操作系统加固
　　　　4.2 数据库加固
　　5 数据库脆弱性评估
　　6 数据库审计
　　7 SOC平台实时监控
　　8 网站木马检测
　　9 网站防篡改系统
　　10 代码审计
　　　　10.1 asp
　　　　10.2 php
　　　　10.3 jsp
　　11 IPS入侵防御
　　12 IDS入侵检测
　　13 WEB应用防火墙
　　14 防火墙
　　===========================================
　　网路游侠 QQ：55984512 提供网站安全整体解决方案。
　　===========================================
2009年06月21日 网友“无心喃呢”建议，增加“以人为本”

标题写的挺迷惑人 嘿嘿 有时间就“友情测试”下吧
不过自己有自己的原则：
1、绝不卖shell
2、绝不篡改网页
3、尽量帮助管理员

最近一段时间在忙着做公司的整体网站解决方案
于是每晚上没事的时间也会找个网站看看安全性
当然——未授权的安全检测。呵呵
今天给全省各地市的客户经理培训的时候某客户经理说渗透测试的效率如何？
说实话，自己也很久不做渗透了，不过想捡起来也不算慢

某市信息港……安全性挺烂
其实能得到后台的最高权限就不想继续了
因为作为一个政府运营的网站，能删除所有信息、能篡改首页，够了……
足够撤销负责人的职务了吧？——如果发生在敏感时期的话。
网站头条是某市政府发的通知，不需要改成什么了吧？呵呵
回头写个网站的评估方案给他们看看

实际上，防止黑客攻击有时候并不难，举手之劳而已
但是依然很多网站没有做……

回想到昨天西安附近某政府网站的负责人联系我
说想给网站做整体安全评估
10分钟之内，给了个他网站服务器内部文件的截图……
实际上技术含量也没多高
但是网站就像一个木桶
决定能盛水多少的不在于最高的木板，而在于最低的那一块

　　（记者 张向辉 实习生 刘武林）记者从昨日召开的全市党政机关保密检查动员会上获悉，从即日起至8月中旬，由市委保密委员会办公室、市国家保密局组织实施，在全市各级党政机关开展保密检查工作。

　　据了解，此次活动重点检查计算机、移动存储介质、办公网络使用管理情况，同时检查保密组织机构、涉密载体清理和相关制度建设情况。检查采取自查与抽查相结合的办法，分为自查、抽查、汇总上报三个阶段。在抽查阶段，

　　从冷漠的博客转载过来的：
　　今天在整某证券公司的安全规划报告，顺便写点东东····
　　信息安全规划报告总的来说就是一份企业在未来 3-5 年内在信息安全方面所需做的事情，结合之前项目的经验，安全规划通常为 3 期，每期为一年，通常的安全规划报告应报告如下方面：
　　一、目前的安全现状。
　　此章节主要描述企业目前的安全现状，应包括：
　　1、组织与人员的安全现状；
　　2、安全管理制度及制度执行情况的现状；
　　3、操作系统的安全现状；
　　4、应用系统的安全现状；
　　5、网络设备及网络架构的安全现状；
...

　　中华人民共和国公安部令
　　第82号
　　《互联网安全保护技术措施规定》已经2005年11月23日公安部部长办公会议通过，现予发布，自2006年3月1日起施行。
　　公安部部长：周永康
　　二五年十二月十三日
　　互联网安全保护技术措施规定
　　第一条 为加强和规范互联网安全技术防范工作，保障互联网网络安全和信息安全，促进互联网健康、有序发展，维护国家安全、社会秩序和公共利益

　　从冷漠的博客转载过来的。
　　还记得几年前因为一次 QQ 被盗而导致对黑客技术产生了浓厚的兴趣，而想想现在的状况已经趋于平静了…
　　很多人都和我一样，刚开始都是出于兴趣，谁也不曾想过要靠当初学习到的这点黑客技术来养活自己，来赚钱。当时真好，纯粹是为了兴趣和满足自己年轻时那种爱表现、爱炫耀的心理，现在想想仍然历历在目。
　　几年后的今天，坐在公司里，想想过去几年的种种，再想想日后的路应该

　　关于职业的随笔
　　一直没有动手写关于职业的东西，原因想来有三个。其一，我的职业生涯很简单，五年在一家公司服务，职业发展算不上成功，也算不上失败。当然，职场中的荣辱成败酸甜苦辣经历了也不少，没有经历过职业的大开大合，但看到的听到的职业故事也不少。所以，硬着头皮写似乎也未尝不可，脸皮再厚一些的话，冒充个过来人或准专家什么的，也不算太离奇。只是我知道在职业上比我更有感悟、更有发言权的人太多了，也

　　风险评估包括系统调研、资产识别、威胁分析、脆弱性识别（包括现有控制措施确认）、风险综合分析以及风险控制计划六个阶段，其中脆弱性识别又具体分为物理环境安全、网络安全、系统软件安全、应用信息保护、运行安全、安全管理体系等6个方面的内容。
　　系统调研是熟悉和了解组织和系统的基本情况，对组织IT战略，业务目标、业务类型和业务流程以及所依赖的信息系统基础架构的基本状况和安全需求等进行调研和诊断。
　　资产识别主要参照ISO/IEC 17799的要求，围绕组织IT业务流程对信息系统的IT资产进行识别，包括对主要的硬件、软件和数据信息进行信息收集、分类、统计，形成资产列表；综合组织不同层面（管理层、中层、一般员工）对资产重要性的认识和业务信息流分析，对资产价值进行分级标识，确定重要资产列表。
...

by amxku
2009-01-07
http://www.amxku.net
一个朋友要这些东西，顺便发出来，希望能有所帮助。个人拙见，有不妥之处还望斧正。仅以此文献给我伟大的妈妈！

一、项目启动
1．双方召开项目启动会议，确定各自接口负责人。
==工作输出
1．《业务安全评估相关成员列表》（包括双方人员）
2．《报告蓝图》
==备注
1．务必请指定业务实施负责人作为项目接口和协调人；列出人员的电话号码和电子邮件帐号以备联络。

今天和同事出去，开车在北大街的时候，我打开了笔记本
然后用WirelessNetView探测一路上的无线设备
一直到省人民医院，这个是当时的截图：

178个无线设备，百分之六七十是WEP加密或空密码
即使是WEP加密也不需要多久破解嘛……
搞搞无线入侵，能获得的敏感信息太多了！
要知道Sniff个网站上的账号什么的实在是太简单
更何况，那么多人都在不同的场合用同一个账号和密码！
有时间了带上本子出去测试下 呵呵