分类： 安全

　　摘要：分析了电力二次系统所面临的风险，简要阐述了电力二次系统安全防护相关规定，介绍了风险评估在国内电力二次系统安全建设中的应用。《电力二次系统安全防护规定》对电力二次系统的安全建设提出了具体的建设目标，本文结合风险评估，对电力二次系统安全防护建设中的关键点进行了分析，提出一些意见。
　　关键词： 电力二次系统 风险评估 安全
　　引言
　　电监会5号令《电力二次系统安全防护规定》和电监安

　　无线网络技术由于其便利性，一面世就受到普遍欢迎，在个人电脑上得到广泛应用，特别是在笔记本电脑上已经成为标准配置。但无线网络的广泛应用，对涉密电脑来说却存在极大的安全隐患：带有无线网卡的笔记本电脑作为涉密单机处理涉密信息时，能够在无意识的情况下被在有效距离内的其他带无线网卡的笔记本电脑以对等方式或被无线交换机以接入方式实行无线联通，其中存储的涉密信息就存在被非法获取

　　风险评估包括系统调研、资产识别、威胁分析、脆弱性识别（包括现有控制措施确认）、风险综合分析以及风险控制计划六个阶段，其中脆弱性识别又具体分为物理环境安全、网络安全、系统软件安全、应用信息保护、运行安全、安全管理体系等6个方面的内容。
　　系统调研是熟悉和了解组织和系统的基本情况，对组织IT战略，业务目标、业务类型和业务流程以及所依赖的信息系统基础架构的基本状况和安全需求等进行调研和诊断。
　　资产识别主要参照ISO/IEC 17799的要求，围绕组织IT业务流程对信息系统的IT资产进行识别，包括对主要的硬件、软件和数据信息进行信息收集、分类、统计，形成资产列表；综合组织不同层面（管理层、中层、一般员工）对资产重要性的认识和业务信息流分析，对资产价值进行分级标识，确定重要资产列表。
...

by amxku
2009-01-07
http://www.amxku.net
一个朋友要这些东西，顺便发出来，希望能有所帮助。个人拙见，有不妥之处还望斧正。仅以此文献给我伟大的妈妈！

一、项目启动
1．双方召开项目启动会议，确定各自接口负责人。
==工作输出
1．《业务安全评估相关成员列表》（包括双方人员）
2．《报告蓝图》
==备注
1．务必请指定业务实施负责人作为项目接口和协调人；列出人员的电话号码和电子邮件帐号以备联络。

　　在全党深入开展学习科学发展观活动中，我们结合自身工作实际，针对保密工作如何践行科学发展，尤其对计算机信息系统的保密管理问题，作了深入的调研，发现了问题，提出工作对策和措施。
　　一、存在的主要问题
　　1.认识上的误区。一是领导的认识误区。有的领导思想意识还停留在传统保密管理的旧观念上，对高科技状态下窃密手段的先进性缺乏全面客观的认识；有的领导集中精力抓业务工作，误认为保密工作无足轻重、可

　　【IT168专稿】经济危机时期，各种危及企业机密数据的犯罪事件也随之不断上升。据Ponemon研究所调查分析， 发现有59 ％的人在失去工作后，会顺便将企业中的一些机密数据随身带走。这些离职人员大部分都是通过将数据拷贝到U盘、CD/DVD、智能手机、PDA和音视频播放设备，以及与此类似的可移动存储设备上的方式，将企业机密数据带出企业的。另外，一些在职员工有意或无意地造成保存有企业机密数据的移动

　　【编者按】2009年4月，中国首部信息化领域法律《中华人民共和国电子签名法》(以下简称《电子签名法》)将迎来正式实施4周年，该法律的目的是为了解决虚拟电子环境下用户身份的法律地位问题。那么目前国内广大网民对于电子签名的认识程度如何呢?
　　【IT168 资讯】电子签名法是国内互联网领域首部具有法律效力的法案，该法案赋予电子签名与文本签名具有同等法律效力，并明确电子认证服务市场准入制度，保障电

　　产品背景
　　数据是企业业务的根本，数据库是企业数据的载体，数据库系统是企业信息系统的心脏。从信息安全角度看，数据库系统的安全是IT系统安全的核心，引起了信息系统建设者的高度重视，在数据库的物理安全和网络安全方面做了完善的安全防护，例如采取了严格访问控制和容灾备份等安全措施。但是，从近年来发生的安全事件来看，数据库安全问题远远不止是物理层面安全和网络层面的安全，数据库系统面临这从安全管理到安全技术等各方面的安全隐患，这些风险将会给企业业务带来严重的影响，可能会造成巨大的经济损失，或引起法律的纠纷。而且这些事件难以追查和弥补。
...

　　随着网络的发展，网络信息的安全越来越引起世界各国的重视，防病毒产品、防火墙、入侵检测、漏洞扫描等安全产品都得到了广泛的应用，但是这些信息安全产品都是为了防御外部的入侵和窃取。随着对网络安全的认识和技术的发展，发现由于内部人员造成的泄密或入侵事件占了很大的比例，所以防止内部的非法违规行为应该与抵御外部的入侵同样地受到重视，要做到这点就需要在网络中实现对网络资源的使用进行审计。　　在当今的网络中各种审计系统已经有了初步的应用，例如：数据库审计、应用程序审计以及网络信息审计等，但是，随着网络规模的不断扩大，功能相对单一的审计产品有一定的局限性，并且对审计信息的综合分析和综合管理能力远远不够。功能完整、管理统一，跨地区、跨网段、集中管理才是综合审计系统最终的发展目标。　　本文对涉密信息系统中安全审计系统的概念、内容、实现原理、存在的问题、以及今后的发展方向做出了讨论。

　　当前，银行业对信息科技的高度依赖，使得信息技术系统的安全性、可靠性和有效性直接关系到整个银行业的安全和金融体系的稳定。随着我国银行业科技进步的步伐逐渐加快，特别是近两年来银行业信息和数据逻辑集中程度的不断提高，信息科技风险已经成为银行业金融机构稳健运行的又一重要隐患。虽然，我国银行业金融机构截至目前还没有发生特别大的信息科技风险破坏事件，但国内外金融领域近年来爆发的一系列与信息科技有关的风险事件，给我们留下了深刻的教训和启示。2003年1月，美国银行（Bank of America）13000台ATM机因病毒瞬间宕机，该行客户无法通过ATM完成存取款交易； 2005年12月，日本瑞穗证券公司（Mizuho Securities）误将客户的“以61万日元卖出1股J-COM公司股票”指令输入为“以每股1日元卖出61万股”，东京股票交易所（Tokyo Stock Exchange）电脑系统对该公司取消下单的指令不能给予回应，随后瑞穗的错单全部成交，引发了投资者抛售股票，使日经指数重挫超过300点，瑞穗证券损失超过400亿日元；2006 年日本最大的美资银行花旗银行（Citibank Japan）出现交易系统故障，5天内约27.5万笔公用事业缴费遭重复扣划，或交易后未作月结记录，使该行在日本的声誉遭受重大损失。近年来，国内部分商业银行和分支机构也相继出现过系统宕机和网络瘫痪。今年4月，银联全国跨行交易系统瘫痪6小时，国内大部分商户的POS机无法刷卡，所有银行的ATM终端无法进行跨行操作，以日均量估算，“停刷”阻断交易量246.6万笔，金额1287.7亿元，造成了重大的社会影响，实际损失和由此造成的声誉损失令人痛心。
...

一：注入类:
access数据库
<1>
首先猜解管理员密码:
手工猜解(当然,如果你有基础,这里就很简单。如果没学过,其实只要记下一些常用的语句就可以了。)
工具猜解。我建议用zwell的穿山甲,也就是pangolin..或者是NBSI。前者猜解速度非常强悍。而猜解的准确率两者都很好。

找出后台:
用明小子,啊D,等工具都可以找的。但有时候会找不到。为什么呢?建议用多线程后台扫描工具。里面的字典你可以从明小子等那些工具里综合起来。还有一点。平时检测网站的时候遇到一些你字典里没有的后台名称。要注意积累下来。
...

　　3.7.4 MBSA安全漏洞检查说明
　　MBSA的安全漏洞扫描主要检查以下各项。
　　1.Windows检查
　　1）管理员组成员资格
　　该检查将确定并列出属于本地管理员组的用户账户。如果检测出的单个管理账户数量超过两个，则该工具将列出这些账户名，并将该检查标记为一个潜在的安全漏洞。一般来说，我们建议应将管理员的数量保持在最低限度，因为管理员实际上可以对计算机具有完全控制权。

　　面对愈演愈烈的Web安全威胁，企业为了保护好自身的Web服务器绞尽脑汁。而Web应用防火墙的出现，给当前的安全市场打了一针兴奋剂。

　　四大功能

　　对Web应用防火墙来说，2009年是幸运的一年，因为市场的井喷令所有安全企业兴奋异常。不过需要指出的是，并非对Web服务器提供保护的“盒子”都是Web应用防火墙。事实上，一个标准的Web应用防火墙至少需要具备四大功能。

　　第一，安全防护。这很好理解，对于针对Web服务器的攻击要具备防御能力，同时还要对数据泄密具备监管能力。

　　第二，加速。除了防护以外，企业用户在网络之中，需要对应用的运转效率进行控制，比如对TCP协议的缓冲，对SSL VPN的加速，对访问管理的卸载，Web应用防火墙必须能够提供相应的加速能力。
...

　　随着网络技术的飞速发展与网络应用的不断拓展，单一功能的网关设备已经无法应对网络应用所带来的问题与挑战。于是有了集多种功能于一身的UTM产品，有了众多厂家最近不断推出的下一代安全网关，更有目前逐渐成为企业边界应用新宠的web安全网关(Secure web Gateway)。无论是UTM、下一代安全网关还是web安全网关，它们都具备了Internet应用安全防御和管控能力。面对种类繁多的应用安全网关，如何选购成为困扰用户的谜团。

　　我们应该注意到，目前在金融、电信、医疗、大企业等行业，用户对多功能应用安全网关非常感兴趣，从功能的专业性而言无论是UTM、下一代安全网关还是web安全网关都能一定程度上满足这些行业用户的需求，但作为合格的企业级多功能应用安全网关，除了具有全面的功能外，开启所有功能后的性能也是不容忽视的，也是用户选择多功能安全网关时需要多方面评测的重要指标之一。这就需要用户不仅对各个功能模块的实现技术与原理进行深入研究以辨明安全防御和管控功能的同时，也需要辨明设备架构、操作系统以及扫描处理算法，甚至功能实现技术所带来的性能差异。功能再全面，如果没有良好的性能，那也只能是花架子。本篇主要向大家介绍web安全网关最重要的选购指标之一：性能。
...

　　一直以来，在实施信息安全管理体系的实践过程中，无论是企业的管理层人员还是具体实施人员，无论是通过认证企业还是未认证企业，对ISMS实施过程都不同程度的存在着一些困惑和误区。
　　国内从1999年，厦门人保获得第一张ISMS认证证书至今，通过该项认证的企业为180多家，包括华为、中兴、深交所、深圳地铁、平安保险、上海中芯国际、大连华信、上海银行、比亚迪汽车、中国移动(北京、辽宁、天津公司、广东