Pages: 3/8 First page Previous page 1 2 3 4 5 6 7 8 Next page Final page [ View by Articles | List ]

浅析网络安全审计原理和技术

  [雨 September 24, 2008 09:23 | by !4p47hy ]
作者: xueyan

安全审计是几年前出现的概念,它的发展非常迅速,3年前还很少有人说起安全审计,现在却是产品满天飞。不过据我看来,对于安全审计这个概念,众多客户和厂商的理解都不同。那么到底什么是安全审计呢?

ITIL:IT服务管理 “圣经”

  [阴 September 10, 2008 09:42 | by !4p47hy ]
作者:孙强

冷漠PS:这次的项目基于 ISO 27001 ,中间还融合了 ITIL 的东西....恶补下.....

ITIL产生的历史背景:IT运营管理方法论的缺失
    自上个世纪60年代开始,IT如何高效地为人类和社会带来效率便吸引着人们的眼球。“软件危机”、“人月神话”、“软件工程”等词语便成了企业界和IT人关注的焦点。在众多专家、学者、企业人士的不断探索中,IT人创造了“OOA&OOD”、“CMM”、“IT项目监理”等我们耳熟能详的方法论。然而,在众多的方法论中,一个普遍的缺失是没有一个IT 运营管理阶段(有时又称为支持和维护阶段)的详细指南,如下图1所示。

中国版SOX--萨班斯法案

  [雨 September 3, 2008 20:15 | by !4p47hy ]
企业内部控制规范——基本规范(征求意见稿)

第一章  总  则

    第一条  为了引导和推动企业建立健全内部控制,提高企业内部控制与经营管理水平,促进企业健康可持续发展,维护社会主义市场经济秩序和社会公众利益,依据《中华人民共和国会计法》、《中华人民共和国公司法》、《中华人民共和国证券法》以及其他有关法律、行政法规的规定,制定本规范。

风险评估中的渗透测试

  [多云 August 11, 2008 12:36 | by !4p47hy ]
作者:冷漠 (C.R.S.T)    来源:http://www.lengmo.net

最近一直出差在外在做项目,在评估项目中学到很多东西,也积累了一点经验,总想抽时间整理下,也算是对自己前一段时间的工总结吧。

本次要总结的是关于风险评估项目中的渗透测试,可能提到渗透测试,大家就会想到黑客入侵,而渗透测试和黑客入侵的最大区别在于渗透测试是经过客户授权的,采用可控制、非破坏性质的方法和手段发现目标服务器和网络设备中存在的弱点。

Increasing The Value Of Penetration Testing

  [多云 August 10, 2008 15:30 | by !4p47hy ]
When the industry was in its infancy, the term Penetration Testing was commonly used to describe a test whereby an authorised individual would attempt to break into a computer system. Supposably this would give a real life „what a hacker could do‟ review of the security of a system.
Nowadays Penetration  testing  is widely  used  to  describe  a  security  review  of  IT Systems. This might include reviews of components such as:
来源:中国证监会网站
1、总则

1.1 编制目的

      为确保奥运期间,资本市场信息系统安全稳定运行,维护市场稳定和健康发展,维护国家金融安全和社会稳定,保护投资者合法权益,建立健全资本市场网络与信息安全应急工作机制,增强应急反应能力,减少突发事件造成的损失,制定本预案。

Web安全之攻防战争

  [晴 July 27, 2008 09:37 | by !4p47hy ]
来源:网络搜集整理

当前,来自Web的各种攻击已经成为全球安全领域最大的挑战,并且有愈演愈烈之势。目前的难点在于,很多Web威胁的思路已经有别于传统,隐蔽、牟利、产业化已经成为了此类威胁的特点。对广大企业用户来讲,Web威胁令人无法忽视,而相关防御技术的应用与保护也同样充满挑战。

网络信息风险评估的常用方法剖析

  [多云 July 22, 2008 09:09 | by !4p47hy ]
作者: Netlinking
在风险评估过程中,可以采用多种操作方法,包括基于知识(Knowledge-based)的分析方法、基于模型(Model-based)的分析方法、定性(Qualitative)分析和定量(Quantitative)分析,无论何种方法,共同的目标都是找出组织信息资产面临的风险及其影响,以及目前安全水平与组织安全需求之间的差距。

浅析企业信息安全管理体系建设

  [多云 July 14, 2008 17:35 | by !4p47hy ]
来源:IT 专家网
时至今日,“信息”作为一种商业资产,其所拥有的价值对于一个企业而言毋庸置疑,重要性也是与日俱增。信息安全,按照国际标准化组织提出的ISO/IEC 27000中的概念,需要保证信息的“保密性”、“完整性”和“可用性”。通俗地讲,就是要保护信息免受来自各方面的威胁,从而确保一个企业或机构可持续发展。

企业内部AD脆弱密码审计

  [阴 July 9, 2008 22:26 | by !4p47hy ]
这个是前段时间做的个小脚本,没什么用,审计内部AD脆弱密码的。做这样一些简单的工作,脚本语言确实挺合适的。需要一个普通的AD账号,导出账户名,过滤掉禁用的,然后开始扫描。密码字典按照自己公司的实际情况写就好了,支持%USERNAME%123这样的格式。

移动公司4A项目建设之我见

  [雷阵雨 July 2, 2008 14:10 | by !4p47hy ]
作 者:启明星辰信息技术股份有限公司 电信事业部 李久洪

目前各个移动公司正在如火如荼地开展着4A项目的安全建设,参照的依据是移动集团关于4A建设的规范,而规范中很少提出具体的实现方案和相应的设备。所谓的4A就是集中统一的账号(Account)管理、授权(Authorization)管理、认证(Authentication)管理和安全审计(Audit),缺一不可。在这里结合具体情况谈谈在移动省公司或地级市公司建设4A项目的一些想法,仅供参考。

SG186 工程

  [多云 June 25, 2008 09:57 | by !4p47hy ]
来源:国家电网

冷漠PS:普及下知识,原来 SG 186 有这么深的含义的,原来以为只是个工程的代号而已...

2006年4月29日,国家电网公司提出了在全系统实施“SG186工程”的规划。根据规划,“SG186工程”将实现四大目标:一是建成“纵向贯通、横向集成”的一体化企业级信息集成平台,实现公司上下信息畅通和数据共享;二是建成适应公司管理需求的八大业务应用,提高公司各项业务的管理能力;三是建立健全规范有效的六个信息化保障体系,推动信息化健康、快速、可持续发展;四是力争到“十一五”末,公司的信息化水平达到国内领先、国际先进,初步建成数字化电网、信息化企业。
Tags: , ,

IDS入侵检测系统的测试与评估

  [多云 June 22, 2008 18:40 | by !4p47hy ]
来源:Nohack
随着入侵检测系统的广泛应用,对入侵检测系统进行测试和评估的要求也越来越迫切。开发者希望通过测试和评估发现产品中的不足,用户希望测试和评估来帮助自己选择合适的入侵检测产品。本文根据目前的相关研究,介绍了入侵检测系统测试评估的标准、指标,方法步骤、数据来源、环境配置、测试评估的现状以及其中存在的一些问题。
来源:CCW
1、引言
电力信息系统由网络、设备和数据等要素组成,其中每个要素都存在着各种可被攻击的弱点。网络线路有被窃听的危险;网络连接设备、操作系统和应用系统所依赖的各种软件在系统设计、协议设计、系统实现以及配置等各个环节都存在大量的安全弱点和漏洞,有被利用和攻击的危险。

电力行业解决方案

  [晴 June 16, 2008 01:24 | by ]
来源:信息安全网

电力行业特点

  电力行业是国民经济的基础产业,是一切电子设备正常运行的基础,保证持续、高效的电力供应是关系到国计民生的大事,也是电力部门工作注目的焦点。 电力行业与其他行业相比具有分散控制、统一联合运行的特点。系统的运行涉及到发电厂、变电站、调度中心;发、输、配电系统一体化,系统中包括了各种独立系统和联合电网的控制保护技术、通信技术、运行管理技术等。电力行业的信息化从 60-70年代开始的电厂自动化监控开始,到现在已经有30多年。
Pages: 3/8 First page Previous page 1 2 3 4 5 6 7 8 Next page Final page [ View by Articles | List ]