关注网络与数据安全
近日不断有黑客陆续在互联网上公开提供国内多家知名网站部分用户数据库下载,国内外媒体频繁报道,影响恶劣,引起社会广泛关注。其中涉及到游戏类、社区类、交友类等网站用户数据正逐步公开,各报道中也针对系列事件向用户提出密码设置策略等安全建议。
注册用户数据作为网站所有者的核心信息资产,涉及到网站及关联信息系统的实质业务,对其保密性的要求强度不言而喻。随着网站及微博实名制规定的陆续出台,如果在实名制的网站出现用户数据泄露事件,将会产生更恶劣的影响。
针对近期部分互联网站信息泄露事件,工信部于2011年12月28日发布通告要求
最近安全的话题突然就爆了,几个月前我在公司内组织的安全培训的内容完全得到了验证。而稍早发的关于md5撞库和社工扫描库的博文简直就成了未卜先知。(罪过,真不是故意的,纯属巧合)。考虑到这个话题还是蛮多人在问,微博发不开,特此将一些培训中的观点整理出来,分享一下。
1. 安全是技术人员的事情
错!太多著名互联网公司因为客服,市场人员的安全意识疏忽,导致严重安全事故。安全意识必须是全员的,每一个接入公司网络的员工,每一个拥有公司邮件账号的员工,都应该具有基本的安全素质。
2.安全就是严防死守,封堵一切入侵途径
...
中国互联网最大规模的用户资料泄露事件正在进行时,自12月21日有黑客在网上公开了开发者技术社区CSDN用户数据库包括600余万个明文的注册邮箱账号和密码以来,上周末,又新增了十余家国内知名网站涉入密码外泄的消息。你的密码改了吗?已成为众多网民最流行的相互问候语。
事件回放
12月21日,黑客在网上公开了CSDN网站用户数据库。12月21日晚间,CSDN在其官网上发表声明承认
此前游侠曾经写过在Windows下面安装Nessus的文章,然后就有朋友问我,在Linux下面怎么安装?今天游侠以CentOS 6为例,讲解如何安装Nessus 4.4.1 。
操作系统游侠推荐用wdlinux——一个精简的CentOS,删除了一些无用的程序,速度飞快。下载地址为:http://www.wdlinux.cn/download_center 选择 基于 CentOS 6.0的精简版,游侠这里用的是64位版本。
一直以来互联网上关于用户隐私各大厂商都爆发了多次互攻大战,纷纷扰扰,然而这次圣诞节前后有蛋疼寂寞黑客爆出了国内各大网站的数据库密码后,相信拿着用户隐私的噱头打架的厂商都会瞪大眼睛,哐啷哐啷武器掉了一地,因为这些打架的噱头在黑客眼里原来如同是过家家般。
作为一个安全工作者,我可能会比大家都看得更深入,下面我就稍微论述一下:
第一条,我觉得这次事件爆出了网站的原罪,其中一条就是
站在年关,回顾2011年信息安全领域那些事。我们会发现在2011年信息安全领域依然是险象环生的一年。无论是著名黑客组织luzsec和Anonymous的四处出击,还是RSA遭受了APT攻击,都让人触目惊心。在2011年,云计算、虚拟化、移动互联等新技术的蓬勃发展,在影响着整个IT领域的同时,也在影响着信息安全领域,也给信息安全厂商们带来新一轮的思考。
云计算带来的安全思考
【赛迪网-IT技术讯】一连串臭名昭著的重大数据泄露和网络攻击事件让我们见识了2011年网络威胁的疯狂。对于即将到来的2012年,我们怎能掉以轻心呢?来自Websense安全实验室的顶尖专家对明年的网络安全状况进行了预测。去年Websense安全实验室已经精准地推测2011年的威胁趋势,我们相信2012的预测也将成为企业实用的安全防范指南。
Websense安全实验室通过对5,000万以上个
笔者进入这个市场近10年,伴随着这个市场的萌芽、发育和成长。一直希望国内市场能更加规范,不只战斗在价格中,更多的将重心放到产品和附加值上,出现与Macfee、赛门铁克、趋势科技等在该细分市场中可以直接竞争的企业。
这篇小文很早就有了想法,但由于自己的种种问题,未能完成,就这最近发生的一些事情,有了整理和反省的决心,决定一鼓作气完成他,给自己,给他人一些借鉴。
自从信息时代的爆发,各种服务扑天盖地袭来,人们越来越接受将自己的一切置于这个庞大、新奇、无所不能的互联网之上,各种服务技术已极快的速度更新换代、更多的生活支持,让人惊奇的同时也让人越来越依赖这个虚拟的世界。老一代的网民也许感触最深,就拿自己来说吧(当然我不是资深网民),email已经不知更新了几代,从最初的SinaMail,到163Mail邮箱再到现在的Gmail;个人信息展现平台,从个人主页,到博客,再到现在的微博;数码设备,从最初的网吧,到自己的第一台PC,到一屋子电脑、本子,再到各种智能化mobile设备;数码生活无时无刻的在改变,变的简单。有本书是这样说的:人类进步的过程,就是越来越不加思考,已最小的代价去做某件事。互联网真的让人进步了吗?在我看来,人类进步的过程倒更像是一个退化的过程。
众所周知XSS漏洞的风险定义一直比较模糊,XSS漏洞属于高危漏洞还是低风险漏洞一直以来都有所争议。XSS漏洞类型主要分为持久型和非持久型两种:
1. 非持久型XSS漏洞一般存在于URL参数中,需要访问黑客构造好的特定URL才能触发漏洞。
2. 持久型XSS漏洞一般存在于富文本等交互功能,如发帖留言等,黑客使用的XSS内容经正常功能进入数据库持久保存。
3. DOM XSS漏洞,也分为持久和非持久型两种,多是通过javascript DOM接口获取地址栏、referer或编码指定HTML标签内容造成。
4. FLASH,PDF等其他第三方文件所造成的特殊XSS漏洞,同样按应用功能也分为持久和非持久型。
为了保障信息系统的正常运行,IT管理部门必须开展大量的技术维护工作,包括检、配置、升级、备份等,众多第三方工程技术人员也会参与其中。这些技术人员通过系统或应用账号直接进行操作。管理者难以适度授权,也缺乏有效的过程控制,核心设备与数据资产往往处于技术开放、权限共享、管理交叉的危险境地。由此会产生误操作、恶意篡改、数据窃取等各种内部安全事故,一直都是最主要的安全威胁,也是安全体系最薄弱的环节。
——监控记录数据库访问行为,防范数据泄漏与篡改风险(转载请说明出处)
数据库是信息系统最核心的资产之一,通常处于商业目的的攻击者,其攻击的主要目标就是数据库系统,通过数据库系统非法窃取、篡改或者破坏数据信息。
防火墙、入侵检测等现有安全防范措施并不能有效解决应用漏洞带来的外部对数据库攻击的风险;另一方面,来自内部或第三方维护人员,对数据库的误操作或者违规操作,更是难以控制。目前
随着信息化应用的深入,面对日益严重的安全威胁,为了保障业务连续性和安全性,信息安全管理者需要动态可视的整体安全监管解决方案。在这一背景下,基于新一代内容安全技术核心的LOGBASE日志管理综合审计系统应运而生。
近年来,随着计算机网络的迅速发展,政府部门信息化建设已成为一种趋势,但由于政府办公网络环境中终端分布存在地域差异,安全需求各不相同,使得政府业务系统极易出现安全问题,影响政府部门正常工作,甚至危害公民及国家安全。为此,实行信息系统安全等级划分制度,并逐级制定管理规范,成为政府部门保障信息化建设的工作重点。
2003年,中办颁布了《国家信息化领导小组关于加强信息安全保障工作的意见》。随
“游侠安全网”微信公众号
