最近因为blog 的空间到期了,然后又换空间,所以最近一直也没更新。
没更新的原因有很多,最近实在是忙,blog 都疏于打理了。而且也因为最近变懒了,都没写什么东西。
最近一直在外面实施项目,整天被用户折腾的累死了,到了酒店也只想躺下好好休息,睡一觉。最近实施了某个网上银行的上线前的评估,貌似最近这样的项目挺多,给安全公司带来了很多机会。
没更新的原因有很多,最近实在是忙,blog 都疏于打理了。而且也因为最近变懒了,都没写什么东西。
最近一直在外面实施项目,整天被用户折腾的累死了,到了酒店也只想躺下好好休息,睡一觉。最近实施了某个网上银行的上线前的评估,貌似最近这样的项目挺多,给安全公司带来了很多机会。
今天看了大風写的关于现在甲方互联网公司的安全团队的现状,详细请见:http://hi.baidu.com/aullik5/blog/item/a2fbb110c6950e75ca80c4f8.html,然后又看了 Ben 等人总结的一些:http://bbs.cisps.org/viewtopic.php?t=22406&postdays=0&postorder=asc&start=0
感想比较多,晚上和职业欠钱又聊了下,不禁引发思考,乙方安全服务的路在何方?是否还有存在的必要?仔细思考一番,发现乙方安全服务自有它存在的道理,具体的原因如下几点:
1、首先要明确一点,民营企业的安全做的比国企等事业单位要好。道理很简单,民营企业是由个人来创办的,每一笔钱花出去,老板都希望花在实处,而不是像国企那样,很多都是浮于表面。
感想比较多,晚上和职业欠钱又聊了下,不禁引发思考,乙方安全服务的路在何方?是否还有存在的必要?仔细思考一番,发现乙方安全服务自有它存在的道理,具体的原因如下几点:
1、首先要明确一点,民营企业的安全做的比国企等事业单位要好。道理很简单,民营企业是由个人来创办的,每一笔钱花出去,老板都希望花在实处,而不是像国企那样,很多都是浮于表面。
Author: 大潘
引子:
从最开始接触风险评估理论到现在,已经有将近5个年头了,从最开始的膜拜捧为必杀技,然后是有一阵子怀疑甚至预弃之不用,到现在重拾之,尊之为做好安全的必备法宝,这么一段起起伏伏的心理历程。对风险的方法在一步步的加深,本文从风险评估工作最突出的问题:如何得到一致的、可比较的、可重复的风险评估结果,来加以分析讨论。
引子:
从最开始接触风险评估理论到现在,已经有将近5个年头了,从最开始的膜拜捧为必杀技,然后是有一阵子怀疑甚至预弃之不用,到现在重拾之,尊之为做好安全的必备法宝,这么一段起起伏伏的心理历程。对风险的方法在一步步的加深,本文从风险评估工作最突出的问题:如何得到一致的、可比较的、可重复的风险评估结果,来加以分析讨论。
来源:51cto
对于一些大型网站来说,通常拥有一整套已经执行了的WEB站点安全防范解决方案,但是,为什么一些网站还是会被攻击者挂载木马?其中一个最主要的原因是已经实施的WEB站点安全解决方案只能够应对已经出现的安全漏洞和威胁。而攻击者总是在通过各种手段来分析网站中可能会存在的弱点或漏洞,以便能够成功绕过网站当前的安全防范措施来实施挂马攻击。针对这样的一种WEB站点安全现状,最好的方式就是在部署相应的安全防范安全解决方案的同时,还必需采取与攻击者相同的手段,也就是在网站的运营过程中,不断对它进行安全评估,以此来找到网站中可能存在的弱点和漏洞。
对于一些大型网站来说,通常拥有一整套已经执行了的WEB站点安全防范解决方案,但是,为什么一些网站还是会被攻击者挂载木马?其中一个最主要的原因是已经实施的WEB站点安全解决方案只能够应对已经出现的安全漏洞和威胁。而攻击者总是在通过各种手段来分析网站中可能会存在的弱点或漏洞,以便能够成功绕过网站当前的安全防范措施来实施挂马攻击。针对这样的一种WEB站点安全现状,最好的方式就是在部署相应的安全防范安全解决方案的同时,还必需采取与攻击者相同的手段,也就是在网站的运营过程中,不断对它进行安全评估,以此来找到网站中可能存在的弱点和漏洞。
出处:比特网
刚开始看到这个题目可能可能很多人都会产生不解,究竟这个风险评估过程中的“风险”指的是什么呢?是评估出来的风险结果还是评估过程中遇到的实施风险呢?所以首先我要解释一下下面到要谈的究竟是什么内容。
做信息安全的人都知道风险评估,而我在这里不谈那些技术评估、应用评估、流程评估等评估过程中的问题,只谈我们作为乙方在做咨询项目中通常都要做到的信息资产的风险评估,而这个风险评估过程中的“风险”也是指的在评估过程中遇到的实施风险。在下面的文章中我不谈如何做信息资产风险评估的方法,也不谈什么方法好,什么方法不好,因为风险评估工作各家有各家的做法,各人有个人的理解,不同的项目、不同的客户也存在不同的情况,所以针对具体情况选择合适的风险评估方法,化解在评估过程中可能遇到的问题和风险才是我这次要谈的内容。
刚开始看到这个题目可能可能很多人都会产生不解,究竟这个风险评估过程中的“风险”指的是什么呢?是评估出来的风险结果还是评估过程中遇到的实施风险呢?所以首先我要解释一下下面到要谈的究竟是什么内容。
做信息安全的人都知道风险评估,而我在这里不谈那些技术评估、应用评估、流程评估等评估过程中的问题,只谈我们作为乙方在做咨询项目中通常都要做到的信息资产的风险评估,而这个风险评估过程中的“风险”也是指的在评估过程中遇到的实施风险。在下面的文章中我不谈如何做信息资产风险评估的方法,也不谈什么方法好,什么方法不好,因为风险评估工作各家有各家的做法,各人有个人的理解,不同的项目、不同的客户也存在不同的情况,所以针对具体情况选择合适的风险评估方法,化解在评估过程中可能遇到的问题和风险才是我这次要谈的内容。
作者: Netlinking
在风险评估过程中,可以采用多种操作方法,包括基于知识(Knowledge-based)的分析方法、基于模型(Model-based)的分析方法、定性(Qualitative)分析和定量(Quantitative)分析,无论何种方法,共同的目标都是找出组织信息资产面临的风险及其影响,以及目前安全水平与组织安全需求之间的差距。
在风险评估过程中,可以采用多种操作方法,包括基于知识(Knowledge-based)的分析方法、基于模型(Model-based)的分析方法、定性(Qualitative)分析和定量(Quantitative)分析,无论何种方法,共同的目标都是找出组织信息资产面临的风险及其影响,以及目前安全水平与组织安全需求之间的差距。
来源:电力安全管理
摘要:论述了基于风险的安全评估方法在当前电力系统发展和电力市场兴起的新形势下的重要意义,该方法能够定量地抓住决定安全性等级的因素:事故的可能性和事故的严重性。并在此基础上引入了风险指标,从而可以对电力系统安全性做出更科学、细致的评估。文中还介绍了基于风险的安全评估方法的研究内容和应用范围。
摘要:论述了基于风险的安全评估方法在当前电力系统发展和电力市场兴起的新形势下的重要意义,该方法能够定量地抓住决定安全性等级的因素:事故的可能性和事故的严重性。并在此基础上引入了风险指标,从而可以对电力系统安全性做出更科学、细致的评估。文中还介绍了基于风险的安全评估方法的研究内容和应用范围。
作者:刘雪勇 宋汇星
摘 要:大型电信运营业务支撑系统(BOSS)有其独特的复杂性,集中化改造后,对BOSS系统的信息安全保障能力也提出了更高的要求,安全评估方面的考虑也越来越多。从管理和技术两个方面探讨了大型电信运营业务支撑系统的安全评估方法。
摘 要:大型电信运营业务支撑系统(BOSS)有其独特的复杂性,集中化改造后,对BOSS系统的信息安全保障能力也提出了更高的要求,安全评估方面的考虑也越来越多。从管理和技术两个方面探讨了大型电信运营业务支撑系统的安全评估方法。
来源:pcdog
当前,无论是政府还是企业,对于自身的信息安全都非常关注。因此,企业信息安全风险评估再一次引起了业界的关注。那么,此类评估有什么标准?对企业的价值又体现在何处呢?
当前,无论是政府还是企业,对于自身的信息安全都非常关注。因此,企业信息安全风险评估再一次引起了业界的关注。那么,此类评估有什么标准?对企业的价值又体现在何处呢?
作者:谢 玮 傅景广
简介:本文以通信行业标准《增值电信业务网络信息安全保障基本要求》为基础,就目前应用比较广泛的基于IP承载的增值电信业务的网络信息安全问题进行了分析,包括业务网络所面临的安全风险,以及可能采取的安全保障措施,这里既有管理方面的措施也有技术方面的措施等。
简介:本文以通信行业标准《增值电信业务网络信息安全保障基本要求》为基础,就目前应用比较广泛的基于IP承载的增值电信业务的网络信息安全问题进行了分析,包括业务网络所面临的安全风险,以及可能采取的安全保障措施,这里既有管理方面的措施也有技术方面的措施等。
最近手又痒了,没事就在淘宝上逛逛。。看看有没有合适的书,无意中看到这本书,虽然很多东西在项目中都遇到过了,不过这书讲的好像更全面点,而且讲了很多细节方面的东西和相关的注意点。。。所以就买了本,也不贵,26 块钱。。呵呵···
可是我的习惯就是喜欢买书,但是真正看完的倒是没几本,哎。。有很多都是翻了一半,就不看了,而有的书刚翻了一点,哎。。没
可是我的习惯就是喜欢买书,但是真正看完的倒是没几本,哎。。有很多都是翻了一半,就不看了,而有的书刚翻了一点,哎。。没
来源:网络
一、BS7799信息安全管理体系标准的发展
随着在世界范围内,信息化水平的不断发展,信息安全逐渐成为人们关注的焦点,世界范围内的各个机构、组织、个人都在探寻如何保障信息安全的问题。英国、美国、挪威、瑞典、芬兰、澳大利亚等国均制定了有关信息安全的本国标准,国际标准化组织
一、BS7799信息安全管理体系标准的发展
随着在世界范围内,信息化水平的不断发展,信息安全逐渐成为人们关注的焦点,世界范围内的各个机构、组织、个人都在探寻如何保障信息安全的问题。英国、美国、挪威、瑞典、芬兰、澳大利亚等国均制定了有关信息安全的本国标准,国际标准化组织
来源:IT 安全世界
随着各类组织的信息化程度的提高,使得信息系统越来越复杂,在业务运作的过程中生成大量的数据,组织的发展对信息的依赖程度也越来越大,这样信息安全管理成了组织风险管理的重要组成部分。如何保障信息安全是每个现代组织所面临的共同问题,信息安全风险评估逐渐被引入组织的管理体系当中。目前,我国也正在制定相应的风险评估及风险管理指南。国际上的风险评估(管理)指南,基本上比较注重可操作性和通用性,对于风险评估的过程描述得比较清晰,也强调了风险评估的准备阶段的要求和任务,笔者认为风险评估作为一个过程,应该特别注意其策划阶段的活动,本文主要结合实施风险评估的一点经验,简单提出在策划阶段应关注的一些问题。
随着各类组织的信息化程度的提高,使得信息系统越来越复杂,在业务运作的过程中生成大量的数据,组织的发展对信息的依赖程度也越来越大,这样信息安全管理成了组织风险管理的重要组成部分。如何保障信息安全是每个现代组织所面临的共同问题,信息安全风险评估逐渐被引入组织的管理体系当中。目前,我国也正在制定相应的风险评估及风险管理指南。国际上的风险评估(管理)指南,基本上比较注重可操作性和通用性,对于风险评估的过程描述得比较清晰,也强调了风险评估的准备阶段的要求和任务,笔者认为风险评估作为一个过程,应该特别注意其策划阶段的活动,本文主要结合实施风险评估的一点经验,简单提出在策划阶段应关注的一些问题。
来源:网络
在完成一个信息安全系统的设计与实施之后,并不代表着信息安全事务的完结。随着新技术、新应用的不断出现,以及所导致的信息技术环境的转变,意味着信息安全工作人员要不断地评估当前的安全威胁,并不断对当前系统中的安全性产生认知。通过动态的安全防护技术才能让企业规避风险、管理风险。
在完成一个信息安全系统的设计与实施之后,并不代表着信息安全事务的完结。随着新技术、新应用的不断出现,以及所导致的信息技术环境的转变,意味着信息安全工作人员要不断地评估当前的安全威胁,并不断对当前系统中的安全性产生认知。通过动态的安全防护技术才能让企业规避风险、管理风险。