juan_5515 北京

反思一下当前的安全标准热：
因为中国的信息安全发展目前相对落后，缺乏标准和理论体系，所以大家都把眼光投到国外，于是从Rainbows 到CC,从BS7799到ISO13335 ，SSE -CMM,IATF从NIST到GAO,NSA,到ITSM,ITIL,BS15000,以及英国的，加拿大的，澳大利亚的 ...,一时间大家纷纷大谈标准，以及各种基于标准的认证，尤其是在安全服务领域，有一部分人还对各种国外标准盲目迷信和崇拜，似乎不谈标准就什么也干不成，不谈标准就不够专业，纷纷找来五花八门的东西，一方面还得借助英汉词典读着这些艰深晦涩的东西。

» 阅读全文

关键词: 信息安全, 工作, 安全标准, bs7799, iso13335

Comments (7) , Views (4569)

等级保护

by amxku on 2007-09-07, 22:20. 技术相关

第一级：用户自主保护级；

第二级：系统审计保护级；

第三级：安全标记保护级；

第四级：结构化保护级（系统整体安全设计）；

第五级：访问验证保护级。

慢慢学习，先点一下。

» 阅读全文

关键词: 信息安全, 等级保护

Comments (4) , Views (3291)

用cisco命令确定和跟踪DOS攻击源

by amxku on 2007-08-26, 22:19. 技术相关

跟踪和阻止denial of service (DoSattacks）. 对付DoS attack 有三个步骤: intrusion detection, source tracking, and blocking. 本命令是针对source tracking。

» 阅读全文

关键词: 信息安全, cisco, 学习

Comments (5) , Views (4203)

关于信息安全

by amxku on 2007-07-29, 23:31. 技术相关

很多朋友弄不清楚“网络安全”和“信息安全”的概念。

面对很多名词的解释，理解也是似是而非。例如：信息安全管理、信息安全技术、风险评估、渗透测试、安全服务。

对他们之间的相互联系的理解有很多甚至是错误的。

我觉得主要的原因是现在国内的很多不负责任的网站，为了赚钱的目的，挂着“安全”或者“黑客”的名义误导人。

很多周围的朋友，自以为懂得一些安全技术中的一部分，或者有一些网络工作的经验加上自己对安全技术的爱好，或者对入侵渗透有稍微的接触，就自以为懂得了"信息安全"或"网络安全"。

我感觉这样是非常危险的。

虽然说实践是很重要的，懂得具体的技术，无论是维护网络、服务器、系统的安全也好，还是用来入侵（无贬义）也好，都是有必要的。

但是理论的知识依然不能缺乏，否则大方向、高层次的理解错误，很可能会误导学习方向和局限了今后的发展。

关键词: 信息安全, 工作, 学习

Comments (3) , Views (3295)

应用系统安全评估

by amxku on 2007-07-21, 15:15. 技术相关


应用系统这个词很大，首先要分好类，这样才能有一个全局的规划。
目前，我们可以把它分为由硬件、软件、湿件组成的三个领域，来考察应用系统的安全性。
硬件：应用系统的物理环境（开发环境、测试环境、生产环境），所使用的计算机、网络设备、网络基础架构。

软件：开发工具、测试工具等；规章制度、法律法规、备忘录、流程、文档等；

湿件：在应用系统的各个环节中所涉及到的人。

我想，无论目前的标准，是靠CC还是17799，还是生命周期、itil、IT内控,都逃不开这几个分类.
硬件的特点是，不宜也不易经常变动的。软件则是经常修改变动的。而湿件则完全是不可控的，目前我们的做法是依赖于硬件和软件的协同，来制约湿件，使他尽量在可能的控制范围内。

PS:晕的,呵呵.鸭锅跟我说
开发过程阶段
开发的代码安全
测试阶段，开发完成后的测试
运行维护阶段，测试完毕的运行维护

应用系统评估主要是：开发设计阶段. 就是应用开发时的架构设计
看来还是要跟据具体的情况来定.适合客户的方案还是最好的

关键词: 信息安全, 学习, 工作

Comments (4) , Views (4607)

Cissp CBK

by amxku on 2007-07-05, 19:32. 杂七杂八

cbk Domain 1 信息安全和风险管理Information Security and Risk Management
cbk Domain 2 安全结构与设计Security Architecture and Design
CBK Domain 3 访问控制Access Control
cbk Domain 4 应用安全 Application Security
CBK Domain 5 运作安全Operations Security
CBK Domain 6 密码学Cryptography
CBK Domain 7 物理环境安全Physical (Environmental) Security
CBK Domain 8 通信和网络安全Telecommunications and Network Security
CBK Domain 9 业务连续性和灾难恢复计划Business Continuity and Disaster Recovery Planning
CBK Domain 10 法律、条例、合规和调查Legal, Regulations, Compliance and Investigations

附件: access control.doc [ 97 K, 下载次数:291 ]

关键词: 信息安全, 学习, cissp, cbk

Comments (3) , Views (3822)

企业ISMS建设过程中关心的问题

by amxku on 2007-06-15, 00:27. 技术相关

原文 http://www.i170.com/user/jorson/Article_55273

前辈们的一些经验之谈,好好学习学习 现在从事信息安全管理方面的咨询工作，跟客户直接打交道的日子比较多，最近几个月还做了一些ISO27001咨询项目的一些售前的工作，了解了不同行业对信息安全管理体系建设的不同需求和特点，在同客户的沟通过程当中，他们普遍关心信息安全管理体系该如何建设，建起来之后又如何发挥体系的作用等等，在这里，我整理他们最关心一些问题并根据我的项目经验做出回答。

» 阅读全文

关键词: 信息安全, 学习, 工作

Comments (0) , Views (3207)

Records:1312 Next›