信息安全
October 8, 2008 22:38 | by
Meridith Levinson 沈建苗 编译
有IT行业咨询师表示,只有29%的IT项目能最终成功地完成。这不是什么危言耸听,因为一些同样的项目管理错误,总是在不同的地点、不同的时间被重复。
将近70%的IT项目会超出预算或者是延期完成,究其原因,往往是缺乏良好的计划、通畅的内部沟通,以及合理的资源分配。
许多IT项目管理顾问和软件提供商经常抱怨,“甲方”总是一再犯下相同的错误。不是IT小组没有遵守标准的项目管理流程,就是没有相应的人员来开展项目,或者没有评估有可能危及项目的风险,也没有确定缓解这些风险的办法等等。诸如此类的错误还有一大堆,足以“致命”。
有IT行业咨询师表示,只有29%的IT项目能最终成功地完成。这不是什么危言耸听,因为一些同样的项目管理错误,总是在不同的地点、不同的时间被重复。
将近70%的IT项目会超出预算或者是延期完成,究其原因,往往是缺乏良好的计划、通畅的内部沟通,以及合理的资源分配。
许多IT项目管理顾问和软件提供商经常抱怨,“甲方”总是一再犯下相同的错误。不是IT小组没有遵守标准的项目管理流程,就是没有相应的人员来开展项目,或者没有评估有可能危及项目的风险,也没有确定缓解这些风险的办法等等。诸如此类的错误还有一大堆,足以“致命”。
September 24, 2008 09:34 | by
作者: xueyan
安全审计是几年前出现的概念,它的发展非常迅速,3年前还很少有人说起安全审计,现在却是产品满天飞。不过据我看来,对于安全审计这个概念,众多客户和厂商的理解都不同。那么到底什么是安全审计呢?
安全审计是几年前出现的概念,它的发展非常迅速,3年前还很少有人说起安全审计,现在却是产品满天飞。不过据我看来,对于安全审计这个概念,众多客户和厂商的理解都不同。那么到底什么是安全审计呢?
September 10, 2008 09:42 | by
企业内部控制规范——基本规范(征求意见稿)
第一章 总 则
第一条 为了引导和推动企业建立健全内部控制,提高企业内部控制与经营管理水平,促进企业健康可持续发展,维护社会主义市场经济秩序和社会公众利益,依据《中华人民共和国会计法》、《中华人民共和国公司法》、《中华人民共和国证券法》以及其他有关法律、行政法规的规定,制定本规范。
第一章 总 则
第一条 为了引导和推动企业建立健全内部控制,提高企业内部控制与经营管理水平,促进企业健康可持续发展,维护社会主义市场经济秩序和社会公众利益,依据《中华人民共和国会计法》、《中华人民共和国公司法》、《中华人民共和国证券法》以及其他有关法律、行政法规的规定,制定本规范。
August 11, 2008 12:36 | by
作者:冷漠 (C.R.S.T) 来源:http://www.lengmo.net
最近一直出差在外在做项目,在评估项目中学到很多东西,也积累了一点经验,总想抽时间整理下,也算是对自己前一段时间的工总结吧。
本次要总结的是关于风险评估项目中的渗透测试,可能提到渗透测试,大家就会想到黑客入侵,而渗透测试和黑客入侵的最大区别在于渗透测试是经过客户授权的,采用可控制、非破坏性质的方法和手段发现目标服务器和网络设备中存在的弱点。
最近一直出差在外在做项目,在评估项目中学到很多东西,也积累了一点经验,总想抽时间整理下,也算是对自己前一段时间的工总结吧。
本次要总结的是关于风险评估项目中的渗透测试,可能提到渗透测试,大家就会想到黑客入侵,而渗透测试和黑客入侵的最大区别在于渗透测试是经过客户授权的,采用可控制、非破坏性质的方法和手段发现目标服务器和网络设备中存在的弱点。
When the industry was in its infancy, the term Penetration Testing was commonly used to describe a test whereby an authorised individual would attempt to break into a computer system. Supposably this would give a real life „what a hacker could do‟ review of the security of a system.
Nowadays Penetration testing is widely used to describe a security review of IT Systems. This might include reviews of components such as:
Nowadays Penetration testing is widely used to describe a security review of IT Systems. This might include reviews of components such as:
来源:中国证监会网站
1、总则
1.1 编制目的
为确保奥运期间,资本市场信息系统安全稳定运行,维护市场稳定和健康发展,维护国家金融安全和社会稳定,保护投资者合法权益,建立健全资本市场网络与信息安全应急工作机制,增强应急反应能力,减少突发事件造成的损失,制定本预案。
1、总则
1.1 编制目的
为确保奥运期间,资本市场信息系统安全稳定运行,维护市场稳定和健康发展,维护国家金融安全和社会稳定,保护投资者合法权益,建立健全资本市场网络与信息安全应急工作机制,增强应急反应能力,减少突发事件造成的损失,制定本预案。
来源:网络搜集整理
当前,来自Web的各种攻击已经成为全球安全领域最大的挑战,并且有愈演愈烈之势。目前的难点在于,很多Web威胁的思路已经有别于传统,隐蔽、牟利、产业化已经成为了此类威胁的特点。对广大企业用户来讲,Web威胁令人无法忽视,而相关防御技术的应用与保护也同样充满挑战。
当前,来自Web的各种攻击已经成为全球安全领域最大的挑战,并且有愈演愈烈之势。目前的难点在于,很多Web威胁的思路已经有别于传统,隐蔽、牟利、产业化已经成为了此类威胁的特点。对广大企业用户来讲,Web威胁令人无法忽视,而相关防御技术的应用与保护也同样充满挑战。
作者: Netlinking
在风险评估过程中,可以采用多种操作方法,包括基于知识(Knowledge-based)的分析方法、基于模型(Model-based)的分析方法、定性(Qualitative)分析和定量(Quantitative)分析,无论何种方法,共同的目标都是找出组织信息资产面临的风险及其影响,以及目前安全水平与组织安全需求之间的差距。
在风险评估过程中,可以采用多种操作方法,包括基于知识(Knowledge-based)的分析方法、基于模型(Model-based)的分析方法、定性(Qualitative)分析和定量(Quantitative)分析,无论何种方法,共同的目标都是找出组织信息资产面临的风险及其影响,以及目前安全水平与组织安全需求之间的差距。
来源:IT 专家网
时至今日,“信息”作为一种商业资产,其所拥有的价值对于一个企业而言毋庸置疑,重要性也是与日俱增。信息安全,按照国际标准化组织提出的ISO/IEC 27000中的概念,需要保证信息的“保密性”、“完整性”和“可用性”。通俗地讲,就是要保护信息免受来自各方面的威胁,从而确保一个企业或机构可持续发展。
时至今日,“信息”作为一种商业资产,其所拥有的价值对于一个企业而言毋庸置疑,重要性也是与日俱增。信息安全,按照国际标准化组织提出的ISO/IEC 27000中的概念,需要保证信息的“保密性”、“完整性”和“可用性”。通俗地讲,就是要保护信息免受来自各方面的威胁,从而确保一个企业或机构可持续发展。
这个是前段时间做的个小脚本,没什么用,审计内部AD脆弱密码的。做这样一些简单的工作,脚本语言确实挺合适的。需要一个普通的AD账号,导出账户名,过滤掉禁用的,然后开始扫描。密码字典按照自己公司的实际情况写就好了,支持%USERNAME%123这样的格式。
July 2, 2008 14:10 | by
作 者:启明星辰信息技术股份有限公司 电信事业部 李久洪
目前各个移动公司正在如火如荼地开展着4A项目的安全建设,参照的依据是移动集团关于4A建设的规范,而规范中很少提出具体的实现方案和相应的设备。所谓的4A就是集中统一的账号(Account)管理、授权(Authorization)管理、认证(Authentication)管理和安全审计(Audit),缺一不可。在这里结合具体情况谈谈在移动省公司或地级市公司建设4A项目的一些想法,仅供参考。
目前各个移动公司正在如火如荼地开展着4A项目的安全建设,参照的依据是移动集团关于4A建设的规范,而规范中很少提出具体的实现方案和相应的设备。所谓的4A就是集中统一的账号(Account)管理、授权(Authorization)管理、认证(Authentication)管理和安全审计(Audit),缺一不可。在这里结合具体情况谈谈在移动省公司或地级市公司建设4A项目的一些想法,仅供参考。
来源:国家电网
冷漠PS:普及下知识,原来 SG 186 有这么深的含义的,原来以为只是个工程的代号而已...
2006年4月29日,国家电网公司提出了在全系统实施“SG186工程”的规划。根据规划,“SG186工程”将实现四大目标:一是建成“纵向贯通、横向集成”的一体化企业级信息集成平台,实现公司上下信息畅通和数据共享;二是建成适应公司管理需求的八大业务应用,提高公司各项业务的管理能力;三是建立健全规范有效的六个信息化保障体系,推动信息化健康、快速、可持续发展;四是力争到“十一五”末,公司的信息化水平达到国内领先、国际先进,初步建成数字化电网、信息化企业。
冷漠PS:普及下知识,原来 SG 186 有这么深的含义的,原来以为只是个工程的代号而已...
2006年4月29日,国家电网公司提出了在全系统实施“SG186工程”的规划。根据规划,“SG186工程”将实现四大目标:一是建成“纵向贯通、横向集成”的一体化企业级信息集成平台,实现公司上下信息畅通和数据共享;二是建成适应公司管理需求的八大业务应用,提高公司各项业务的管理能力;三是建立健全规范有效的六个信息化保障体系,推动信息化健康、快速、可持续发展;四是力争到“十一五”末,公司的信息化水平达到国内领先、国际先进,初步建成数字化电网、信息化企业。
来源:Nohack
随着入侵检测系统的广泛应用,对入侵检测系统进行测试和评估的要求也越来越迫切。开发者希望通过测试和评估发现产品中的不足,用户希望测试和评估来帮助自己选择合适的入侵检测产品。本文根据目前的相关研究,介绍了入侵检测系统测试评估的标准、指标,方法步骤、数据来源、环境配置、测试评估的现状以及其中存在的一些问题。
随着入侵检测系统的广泛应用,对入侵检测系统进行测试和评估的要求也越来越迫切。开发者希望通过测试和评估发现产品中的不足,用户希望测试和评估来帮助自己选择合适的入侵检测产品。本文根据目前的相关研究,介绍了入侵检测系统测试评估的标准、指标,方法步骤、数据来源、环境配置、测试评估的现状以及其中存在的一些问题。
