分类： 安全

信息技术的车轮在朝着生产力的发展方向坚定不移的前进，每一次新技术、新理念的出现都让互联网时代的人们振奋不已。06年，谷歌颠覆性的提出了“Google 101计划”，并正式提出云的概念和理论，随后亚马逊、微软、英特尔、IBM等都宣布了自己的云计划，一时之间，“云存储”、“云安全”、“公有云”、“私有云”等云概念风靡全球。服务器在进化、虚拟化应用与云计算技术不断引入，促使越来越多的企业在迈向云端。云计...

●方案背景 21世纪是信息时代，随着计算机技术的高速发展，数字图书馆建设成为信息时代发展的重要组成部分，它将首都师范大学的广大师生读者与图书馆紧密地结合在一起，大大提高了文献信息的利用效率，增强了图书馆的服务能力。 首都师范大学图书馆分为主校区图书馆和北一区图书馆两个部分，两个图书馆通过一条单模光纤连接形成一个统一的局域网络。在整个图书馆网络中只有一台思科防火墙做边界访问控制，由于首都师范大学图书...

等级保护——信息安全管理的基本制度 随着政府、企事业单位信息化水平的不断提高，诸如泄密、黑客入侵等信息安全问题逐步凸现出来。近年来，国家层面越来越重视信息安全工作，确立了重要信息系统等级保护是国家信息安全管理的基本制度。 公安部，以及国资委、银监会、证监会等行业监管机构也都陆续发布了相关指导政策，要求各信息系统运营主管单位落实等级保护合规定级、评估、整改建设、测评检查等相关工作。 天安解决方案 天...

最近，乌云漏洞平台公布了国内大型竞拍网站——易拍网存在的竞拍漏洞，网站大量的交易数据内容也被同时泄露。通过该漏洞，不法分子可轻易获取网站20余万注册用户数据资料。漏洞事件发生之后，该竞拍网站受到了极大的负面影响，网站的业务量也出现了大幅的下降。 【乌云漏洞平台公布了国内大型竞拍网站——易拍网存在的“竞拍”漏洞】 网站安全专家——安全宝发现：这并不是一起孤立的事件，在近年来，互联网应用涉及到百姓生活...

下文来自北京数字认证股份有限公司投稿，感谢对“游侠安全网”的大力支持！ 保险行业电子保单安全解决方案 方案背景 随着电子商务的不断兴起，保险行业与电子商务结合越来越紧密，电子保单作为保险电子商务与客户联系的桥梁与载体，正发挥越来越重要的作用。电子保单，较传统纸质保单，其具有快速签发、安全保密、成本低廉、节能环保、方便快捷、时尚新颖等独特优势，对于促进业务渠道多样化、提升客户体验、降低运营成本，进而...

本文来自游侠微博的好友@kvllz投稿，文章曾经在银监局内部工作简报上发表过，现在发到“游侠安全网”与大家分享。 当前，云技术已经成为IT业界的一个热点话题?，有关云的各类软件产品和方案大量涌现。有的企业刚刚着手评估云能够带来的收益；有的企业已经开始研发自有的特色云；有的企业甚至已经将云技术产品化。近期，营口银行大连分行结合银行业信息安全领域的实践，对云技术安全性进行了思考和展望，认为目前的云技术...

记者：等级保护工作已经开展好几年了，目前到了普遍测评阶段，您如何评价等保测评工作？ 陆宝华：不测评就无法发现某个信息系统存在的问题，而不能把真实的安全需要找出来，就无法进行正确地整改。测评是信息系统使用单位的潜在需求，在2004年等级保护工作真正推动之前，一些重要行业已经在做的风险评估，和等级保护测评工作是同样作用的。 记者：在等保测评工作实施过程中，目前有哪些经验借鉴和薄弱环节？ 陆宝华：目前我...

9月11日-14日，2012(第十一届)中国互联网大会在北京国际会议中心举行。本届会议以“开放·诚信·融合——迎接移动互联新时代”为主题，并针对互联网、移动互联网、电子商务、网络营销、云计算、物联网、网络安全、创新创业等十多个细分领域进行深入探讨。大会前夕，安恒信息总裁范渊受邀接受了和讯科技的采访。 安恒信息总裁 范渊 范渊表示，“手机病毒今年呈现爆发的趋势最核心的原因是数据价值，其实不管是以前的...

对新形势下风险评估工作的认识 最近几年来，信息安全态势处于一个新的形势之下，这已经是业界的一个共识。从信息技术发展的角度来说，随着云计算，移动计算和物联网等新技术的大规模应用，业务与IT的联系越来越紧密，已经属于不可分割的程度；从信息安全威胁的角度来说，随着高级持续性威胁（APT）的案例层出不穷，攻击者已经从普通的攻击信息技术设施而转向攻击其背后的业务目标和政治目标了；从国家政策要求的角度来说，已...

站长之家从日志宝安全团队获悉，近日，根据日志宝分析平台的分析数据显示，部分网站的访问日志中存在大量命令执行类后门行为。 我们与用户取得联系后拿到后门文件代码。此类后门通过PHP的ob_start()函数触发，利用ob_start()函数回调机制调用命令执行类函数并接受黑客远程发送的命令，此类后门代码可以躲避部分常见后门关键字查杀程序，最终以Web服务器权限远程执行任意命令。 PHP 手册中关于ob...

游侠提示：微信任意用户密码修改漏洞，已经修复了。所以才发出来……学习下思路！原文来自FreeBuf。 今天发现个微信群发的漏洞.还没玩.就被修补了. 于是就有了这个漏洞的产生. 同样问题产生在重置用户密码的环节. 在微信官方的首页上发现新增了如下功能模块 访问后看到这个功能.来了兴趣 在这个页面输入一个已经注册了微信的手机号. 得到如下提示 选择我已收到验证码就跳转到一个修改密码的页面,如下 在这...

近日，某站长在使用日志宝分析日志时发现，一些可疑IP地址会定期对网站第三方接口产生大量访问，影响了网站正常业务的运行。日志宝安全团队在与该站长进行沟通后判定这是一次典型的CSRF攻击。 针对此次攻击事件，日志宝安全团队发布了《日志宝-CSRF攻击案例分析报告》： 事件背景： 1、 站长在使用日志宝进行日常分析时发现，该IP地址在top20统计中的访问量明显高于第2位的IP地址访问量，并产生出大量异...

在iOS下，很多app允许在WIFI下共享文件，这本意是为了便捷，而便捷性和安全性从来就是成反比的。 Guitar Pro是一款强大的乐谱分享和乐谱浏览软件，它允许用户在WIFI下通过WEB传输乐谱。但是由于其设计问题，导致远程用户可以在浏览器中查看iOS下的其它文件。即“目录遍历漏洞” 重现方式： 1、打开Guitar Pro，开启WIFI共享 2、打开浏览器访问共享地址 3、输入路径……你懂的...

邮件作为当今企业使用最频繁的信息交互方式，承载着大量的往来信息。处理眼花缭乱的信息邮件是我们每日工作的重点之一，那里，有采购合同、有研发设计文档、有销售数据、有市场业绩等等，其中不乏重要的核心机密数据。而“幽灵”就隐藏在中间，哪次不经意的举动就会造成不可逆的损失。邮件的安全使用成为了数据安全流转需考量的重中之重。 目前市场上与邮件相关的安全产品可以分为以下几类： 邮件过滤产品，目的在于垃圾邮件的过...

游侠评论：在各种“云产品”（之所以加引号，是因为太多号称提供云产品、云服务厂家的销售也分不清IDC、ISP、VPS、Vmware、分布式这些词，所以我加了引号）如火如荼的推广下，大家似乎都知道云这个东西，应该很不错，唯独……最主要的特性之一，安全性，没有得到有效的保障。前几天某国内领先的云主机供应商丢失了数据……是的，你的数据没了。他们的说法是你没有买服务——难道你们的云主机连个RAID都没有？！...