Posted by amxku on 2008-01-02, 11:19 AM
Value:一个有价值观的技术范畴
SaaS:其根本是人和人的关系
AD:攻击和检测
Structurual & Integration:结构化、融合
- 安全技术应用是一个广泛融合的过程,安全技术与网络技术、操作系统技术、数据库技术、开发技术、管理科学等等的融合
- 安全是一个关联性很强的话题,结构化是解决问题的好办法。所以框架、体系结构是安全中一个重要的话题
- 加密,我认为其是一个结构化手段,是锁、链条、粘合剂...
at: jordanpan
Tags: 信息安全
技术 | 评论: 1 | 阅读: 1383
Posted by amxku on 2007-10-22, 8:21 PM
juan_5515 北京
反思一下当前的
安全标准热:
因为中国的
信息安全发展目前相对落后,缺乏标准和理论体系,所以大家都把眼光投到国外,于是从Rainbows 到CC,从
bs7799到
iso13335 ,SSE -CMM,IATF从NIST到GAO,NSA,到ITSM,ITIL,BS15000,以及英国的 ,加拿大的,澳大利亚的 ...,一时间大家纷纷大谈标准,以及各种基于标准的认证,尤其是在安全服务领域,有一部分人还对各种国外标准盲目迷信和崇拜,似乎不谈标准就什么也干不成,不谈标准就不够专业,纷纷找来五花八门的东西,一方面还得借助英汉词典读着这些艰深晦涩的东西。
» 阅读全文
Tags: 信息安全, 工作, 安全标准, bs7799, iso13335
技术 | 评论: 7 | 阅读: 3170
Posted by amxku on 2007-09-07, 10:20 PM
第一级:用户自主保护级 ;
第二级:系统审计保护级 ;
第三级:安全标记保护级 ;
第四级:结构化保护级 (系统整体安全设计);
第五级:访问验证保护级。
慢慢学习,先点一下。
» 阅读全文
Tags: 信息安全, 等级保护
技术 | 评论: 4 | 阅读: 2376
Posted by amxku on 2007-08-26, 10:19 PM
跟踪和阻止denial of service (DoSattacks). 对付DoS attack 有三个步骤: intrusion detection, source tracking, and blocking. 本命令是针对source tracking。
» 阅读全文
Tags: 信息安全, cisco, 学习
技术 | 评论: 4 | 阅读: 2859
Posted by amxku on 2007-07-29, 11:31 PM
很多朋友弄不清楚“网络安全”和“信息安全”的概念。
面对很多名词的解释,理解也是似是而非。例如:信息安全管理、信息安全技术、风险评估、渗透测试、安全服务。
对他们之间的相互联系的理解有很多甚至是错误的。
我觉得主要的原因是现在国内的很多不负责任的网站,为了赚钱的目的,挂着“安全”或者“黑客”的名义误导人。
很多周围的朋友,自以为懂得一些安全技术中的一部分,或者有一些网络工作的经验加上自己对安全技术的爱好,或者对入侵渗透有稍微的接触,就自以为懂得了"信息安全"或"网络安全"。
我感觉这样是非常危险的。
虽然说实践是很重要的,懂得具体的技术,无论是维护网络、服务器、系统的安全也好,还是用来入侵(无贬义)也好,都是有必要的。
但是理论的知识依然不能缺乏,否则大方向、高层次的理解错误,很可能会误导学习方向和局限了今后的发展。
Tags: 信息安全, 工作, 学习
技术 | 评论: 3 | 阅读: 2498
Posted by amxku on 2007-07-21, 3:15 PM
应用系统这个词很大,首先要分好类,这样才能有一个全局的规划。
目前,我们可以把它分为由硬件、软件、湿件组成的三个领域,来考察应用系统的安全性。
硬件:应用系统的物理环境(开发环境、测试环境、生产环境),所使用的计算机、网络设备、网络基础架构。
软件:开发工具、测试工具等;规章制度、法律法规、备忘录、流程、文档等;
湿件:在应用系统的各个环节中所涉及到的人。
我想,无论目前的标准,是靠CC还是17799,还是生命周期、itil、IT内控,都逃不开这几个分类.
硬件的特点是,不宜也不易经常变动的。软件则是经常修改变动的。而湿件则完全是不可控的,目前我们的做法是依赖于硬件和软件的协同,来制约湿件,使他尽量在可能的控制范围内。
PS:晕的,呵呵.鸭锅跟我说
开发过程阶段
开发的代码安全
测试阶段,开发完成后的测试
运行维护阶段,测试完毕的运行维护
应用系统评估主要是:开发设计阶段. 就是应用开发时的架构设计
看来还是要跟据具体的情况来定.适合客户的方案还是最好的
Tags: 信息安全, 学习, 工作
技术 | 评论: 4 | 阅读: 3396
Posted by amxku on 2007-07-05, 7:32 PM
cbk Domain 1 信息安全和风险管理Information Security and Risk Management
cbk Domain 2 安全结构与设计Security Architecture and Design
cbk Domain 3 访问控制Access Control
cbk Domain 4 应用安全 Application Security
cbk Domain 5 运作安全Operations Security
CBK Domain 6 密码学Cryptography
CBK Domain 7 物理环境安全Physical (Environmental) Security
CBK Domain 8 通信和网络安全Telecommunications and Network Security
CBK Domain 9 业务连续性和灾难恢复计划Business Continuity and Disaster Recovery Planning
CBK Domain 10 法律、条例、合规和调查Legal, Regulations, Compliance and Investigations
附件: access control.doc [ 97 K, 下载次数:232 ]
Tags: 信息安全, 学习, cissp, cbk
共享 | 评论: 3 | 阅读: 2783
Posted by amxku on 2007-06-15, 12:27 AM
原文 http://www.i170.com/user/jorson/Article_55273
前辈们的一些经验之谈,好好学习学习
现在从事信息安全管理方面的咨询工作,跟客户直接打交道的日子比较多,最近几个月还做了一些ISO27001咨询项目的一些售前的工作,了解了不同行业对信息安全管理体系建设的不同需求和特点,在同客户的沟通过程当中,他们普遍关心信息安全管理体系该如何建设,建起来之后又如何发挥体系的作用等等,在这里,我整理他们最关心一些问题并根据我的项目经验做出回答。
» 阅读全文
Tags: 信息安全, 学习, 工作
技术 | 评论: 0 | 阅读: 2248
Posted by amxku on 2007-03-29, 10:16 AM
1、系统备份及健康检查
1.1、系统备份
1.2、加固前**业务运行情况检查
1.3、加固前系统健康检查
2、安全补丁加载
3、安全工具叠加
» 阅读全文
Tags: 信息安全, unix
共享 | 评论: 0 | 阅读: 3168
Posted by amxku on 2007-03-28, 5:51 PM
网络与应用系统加固和优化服务是实现客户信息系统安全的关键环节。通过使用该项服务,将在客户信息系统的网络层、主机层和应用层等层次建立符合客户安全需求的安全状态,并以此作为保证客户信息系统安全的起点。
网络与应用系统加固的对象,往往存在以下安全问题:
1. 安装、配置不符合安全需求;
2. 参数配置错误;
3. 使用、维护不符合安全需求;
4. 系统完整性被破坏;
5. 被注入木马程序;
6. 帐户/口令问题;
7. 安全漏洞没有及时修补;
8. 应用服务和应用程序滥用;
9. 应用程序开发存在安全问题等。
网络与应用系统加固和优化服务的目的是通过对主机和网络设备所存在安全问题执行以下操作:
1. 正确的安装;
2. 安装最新和全部OS和应用软件的安全补丁;
3. 操作系统和应用软件的安全配置;
4. 系统安全风险防范;
5. 提供系统使用和维护建议;
6. 系统功能测试;
7. 系统安全风险测试;
8. 系统完整性备份;
9. 必要时重建系统等。» 阅读全文
Tags: 信息安全
技术 | 评论: 0 | 阅读: 2210
