<![CDATA[国际信息安全学习联盟]]> <![CDATA[CISA Questions answers For 2012.06]]> A. An oral statement from the auditee
B. The results of a test performed by an IS auditor
C. An internally generated computer accounting report
D. A confirmation letter received from an outside source
The correct answer is: D. A confirmation letter received from an outside source
Explanation:
Evidence obtained from outside sources is usually more reliable than that obtained from within the organization. Confirmation letters received from outside parties, such as those used to verify accounts receivable balances, are usually highly reliable. Testing performed by an auditor may not be reliable, if the auditor did not have a good understanding of the technical area under review.
本帖包含的部分附件只能 访问 社区查看
]]> <![CDATA[Web应用安全配置基线]]> 1.1 目的 3
1.2 适用范围 3
1.3 适用版本 3
第2章 身份与访问控制 4
2.1 账户锁定策略 4
2.2 登录用图片验证码 4
2.3 口令传输 4
2.4 保存登录功能 5
2.5 纵向访问控制 5
2.6 横向访问控制 5
2.7 敏感资源的访问 6
第3章 会话管理 7
3.1 会话超时 7
3.2 会话终止 7
3.3 会话标识 7
3.4 会话标识复用 8
第4章 代码质量 9
4.1 防范跨站脚本攻击 9
4.2 防范SQL注入攻击 9
4.3 防止路径遍历攻击 9
4.4 防止命令注入攻击 10
4.5 防止其他常见的注入攻击 10
4.6 防止下载敏感资源文件 11
4.7 防止上传后门脚本 11
4.8 保证多线程安全 11
4.9 保证释放资源 12
第5章 内容管理 13
5.1 加密存储敏感信息 13
5.2 避免泄露敏感技术细节 13
第6章 防钓鱼与防垃圾邮件 14
6.1 防钓鱼 14
6.2 防垃圾邮件 14
第7章 密码算法 15
7.1 安全算法 15
7.2 密钥管理 15

本帖包含的部分附件只能 访问 社区查看
]]> <![CDATA[IIS服务安全配置基线]]> 第1 章 概述 ........................................................................................................................................ 1
1.1 目的 ........................................................................................................................................ 1
1.2 适用范围 ................................................................................................................................ 1
1.3 适用版本 ................................................................................................................................ 1
第2 章 账号管理、认证授权 ............................................................................................................. 2
2.1 账号 ........................................................................................................................................ 2
2.1.1 避免帐号共享 ................................................................................................................. 2
2.1.2 删除或锁定无关帐号 ..................................................................................................... 3
2.2 口令 ........................................................................................................................................ 3
2.2.1 密码复杂度 ..................................................................................................................... 3
2.2.2 密码历史 ......................................................................................................................... 4
2.2.3 密码更改 ......................................................................................................................... 5
2.2.4 认证失败 ......................................................................................................................... 5
2.3 授权 ........................................................................................................................................ 6
2.3.1 用户权利指派 ................................................................................................................. 6
第3 章 日志要求 ................................................................................................................................ 8
3.1 日志配置 ................................................................................................................................ 8
3.1.1 启用日志功能 ................................................................................................................. 8
3.1.2 更改日志存放路径 ......................................................................................................... 8
3.1.3 记录安全事件 ................................................................................................................. 9
3.1.4 日志访问权限 ............................................................................................................... 10
第4 章 IP 协议安全配置操作 ...................................................................................................... 11
4.1 IP 协议 .................................................................................................................................. 11
4.1.1 IP 访问限制 ...................................................................................................................... 11
4.1.2 IP 转发安全性 .................................................................................................................. 12
4.1.3 SSL 身份认证 .................................................................................................................... 12
第5 章 设备其他安全功能要求 ....................................................................................................... 14
5.1 屏幕保护 ............................................................................................................................... 14
5.1.1 屏幕保护配置 ............................................................................................................... 14
5.2 文件系统及访问权限 ........................................................................................................... 14
5.2.1 更改IIS 安装路径 ........................................................................................................ 14
5.2.2 删除风险文件 ............................................................................................................... 16
5.2.3 删除非必要脚本影射 ................................................................................................... 16
5.2.4 按帐户分配日志访问权限 ........................................................................................... 19
5.3 补丁管理 ............................................................................................................................... 20
5.3.1 升级补丁 ....................................................................................................................... 20
5.4 IIS 服务组件 ......................................................................................................................... 21
5.4.1 组件安装管理 ............................................................................................................... 21
5.4.2 服务扩展管理 ............................................................................................................... 21
本帖包含的部分附件只能 访问 社区查看
]]> <![CDATA[中国移动思科防火墙安全配置规范]]> 1. 范围 1
2. 规范性引用文件 1
3. 术语、定义和缩略语 1
4. 防火墙功能要求 2
4.1. 引用说明 2
4.2. 防火墙路由模式功能规范 2
4.3. 日志功能要求 3
4.4. 攻击防护和告警功能要求 3
4.5. 访问控制功能要求 4
4.6. 设备其他安全功能要求 4
4.7. 虚拟防火墙功能要求 5
5. 思科防火墙配置要求 5
5.1. 引用说明 5
5.2. 日志配置要求 5
5.3. 告警配置要求 10
5.4. 安全策略配置要求 14
5.5. 攻击防护配置要求 19
5.6. 设备其他安全要求 21
6. 编制历史 22
附录 22
目  录
1. 范围 1
2. 规范性引用文件 1
3. 术语、定义和缩略语 1
4. 防火墙功能要求 2
4.1. 引用说明 2
4.2. 防火墙路由模式功能规范 2
4.3. 日志功能要求 3
4.4. 攻击防护和告警功能要求 3
4.5. 访问控制功能要求 4
4.6. 设备其他安全功能要求 4
4.7. 虚拟防火墙功能要求 5
5. 思科防火墙配置要求 5
5.1. 引用说明 5
5.2. 日志配置要求 5
5.3. 告警配置要求 10
5.4. 安全策略配置要求 14
5.5. 攻击防护配置要求 19
5.6. 设备其他安全要求 21
6. 编制历史 22
附录 22

本帖包含的部分附件只能 访问 社区查看
]]> <![CDATA[5月14日国盟CISA每日一题]]> A、错误接受率
B、平均错误率
C、错误拒绝率
D、错误遗漏率

A structured walk-through test of a disaster recovery plan involves:
A、representatives from each of the functional areas coming together to go over the plan.
B、all employees who participate in the day-to-day operations coming together to practice executing the plan.
C、moving the systems to the alternate processing site and performing processing operations.
D、distributing copies of the plan to the various functional areas for review.

答案回复可见

(回复可见内容)

]]> <![CDATA[5月14日国盟CISSP每日一题]]> A. Internet Protocol (IP) spoofing.
B. Data manipulation during transmissions.
C. Network based birthday attack.
D. Compromise of the source/destination host.

答案回复可见

(回复可见内容)
]]> <![CDATA[银行业信息科技十二五规划指导意见]]> 银行业信息科技十二五发展规划监管指导意见之农村金融机构篇
银行业信息科技十二五发展规划监管指导意见之城市商业银行篇
本帖包含的部分附件只能 访问 社区查看
]]> <![CDATA[5月14日国盟CISM每日一题]]> A.  mandatory access controls.
B.  discretionary access controls.
C.  lattice-based access controls.
D.  role-based access controls.

答案回复可见:

(回复可见内容)


]]> <![CDATA[绿盟远程安全评估系统客户培训]]> 主要内容:
扫描器的基础知识
绿盟安全评估系统WEB管理
绿盟安全评估系统控制台管理
本帖包含的部分附件只能 访问 社区查看
]]> <![CDATA[网络犯罪兴盛时代,如何保护敏感信息?]]>        世界经济仍然在跌跌撞撞中前行,而对黑客社区而言,眼下正是他们的鼎盛时期。无论动机是扬名、获利还是企业间谍,今天的黑客已经变得远远更为老练,其潜在破坏力也随着回报的提高而相应提升,这意味着企业、政府及个人的信息面临着更大的风险。
       给这些网络犯罪带来便利的,是潜在受害者自己,以及他们对在任何时间、任何地点,通过任何设备访问所有信息的贪婪。为满足客户需求,企业、政府、医疗机构和学校使得大多数可以通过网络以及扩展应用所轻易访问的数据变得易受攻击。
       由永远在线的便携式智能手机、平板及其他移动计算机设备所带来的风险,正在扩大消费者和企业需要保护的受攻击面。
       更糟糕的是,为了能“更快地做更多的事”,人们在使用设备时更加疏于防备,更加不注意安全问题。他们使用这些设备连接到家和公司——实质上是在创造可利用线路——使雇主和网络服务供应商的财产受到威胁。人们连接到不安全的无线热点,下载带有免责声明的应用程序,很少考虑应用程序提供商是否可靠。加上这些带有敏感信息的设备丢失或被盗的频率,更好地保护和管理这些设备的需要变得显而易见。
        而在不断扩大的数字足迹给黑客们带来了巨大便利的同时,网络罪犯们本身也在投资于最新科技,并比以往任何时候都更专注于移动设备。从中奖短信诈骗到手机病毒和钓鱼欺诈,网络犯罪分子正越来越多地侵入高价值目标。
这些因素汇聚起来,为黑客们创造了一个完美风暴。
那么,我们可以做些什么呢?
       首先,人们必须更加清楚地意识到他们携带的设备所可能受到的威胁,扭转走向安乐自满这一状态的危险趋势。瞻博网络全球威胁防护中心(Global Threat Center)最近进行了一项调查,结果发现,移动设备正面临着数量创纪录的安全威胁,其中包括,从2009年到2010年,针对智能机的手机恶意软件增加250%,以及从去年夏天至今,安卓系统(Android)恶意软件增加400%。
        这种风险暴露大多是自我引致的。用户在购买智能手机和平板电脑时往往不会询问安全设置,往往直接跳过设置设备密码、语音邮件密码和数据加密的步骤,对设置铃声和设备的个性化设置更感兴趣。用户随后在没有知会公司IT部门或询问公司提供的——很多时候是公司资助的——安全技术以及行动守则的情况下将这些设备带到办公室。
人们应将以下一点作为保护自身以及他们的雇主的最基本原则。
· 在设备上安装一个杀毒软件,以保护设备不受恶意软件、受感染应用、间谍软件以及其他基于恶意软件的攻击。
· 在设备上设置个人防火墙,以保护设备接口。
· 设置强大的密码保护设备访问。
· 安装一个应用程序对移动设备进行定位和跟踪,以及在设备丢失或被盗后进行远程擦除和锁定,以免敏感信息落入他人之手。
网络安全专业人士所面临的挑战则尖锐得多,因为他们承担着保护所有设备连接到企业、其网络、云端存储以及应用程序的责任。任何向移动着的员工提供安全的远程连接的企业,应采取全方位的措施,包括设备管理、杀毒措施和安全连接。其中一些基本手段包括:
· 通过扩大IT设备支持范围,涵盖所有主要手机平台——包括苹果iOS、谷歌安卓系统、RIM黑莓(Blackberry)、微软Windows Mobile以及诺基亚塞班系统(Symbian)——以迎接并适应用户行为。
· 对丢失和被盗的设备实行集中统一的远程定位、跟踪、锁定,以及数据擦除、备份和恢复的设施。
· 安装远程访问加密客户端来保护传输中的数据,并执行适当的网络访问和授权。
· 基于预定义的安全政策,对谁以及哪种类型的设备可以访问网络实行控制。
网络的边缘和界限已经一去不复返了。在阻挠黑客问题上,个人和员工对数据保护都负有责任——而由于现在的风险已经达到了最高点,采取措施的时间就是现在。否则,我们都沦为网络犯罪受害者只是一个时间问题,而我们之间唯一的区别,只不过是损失的大小和严重程度而已。]]> <![CDATA[灰帽子python之旅学习讲义]]> (出售内容)
本帖包含的部分附件只能 访问 社区查看
]]> <![CDATA[2012年CISA考试知识点变化总结]]> 主要根据官方2012年新调整大纲,与旧大纲进行对比,主要适用于2012年参加CISA考试的会员!
汇哲原创!里面并根据现在考试的几个情况:
1、6月份考试
2、12月份考试
3、考试用书
4、考前冲剌
等方面放入相关的链接供大家参考!
本帖包含的部分附件只能 访问 社区查看
]]> <![CDATA[Android现木马 模仿电脑驱动袭击手机用户]]> Android现木马 模仿电脑驱动袭击手机用户


【TechWeb报道】5月14日消息,据国外媒体报道,研究人员在一家普通网站上发现的第一例Android驱动的恶意软件,该恶意软件属于非常危险的常用于感染Windows电脑的自动攻击类型。

美国移动设备杀毒软件提供商Lookout Mobile Security已经在许多网站上发现了该恶意软件并认为这一古怪的NotCompatible木马分布在含有隐藏的iFrame的页面中。任何访问受感染页面(攻击忽略个人电脑的浏览器)的Android浏览器都将会在用户不知情的情况下自动开始下载该恶意软件。

这并不类似于电脑驱动袭击,因为用户在安装应用程序的时候需要勾选“未知来源”。在通常情况下“未知来源”是未被勾选的,一旦用户勾选了该选项,他们就允许非该市场的应用程序被安装了。这一层大体上就相当于使用Vista或Windows7操作系统的电脑上的用户控制访问功能,该功能通常是用来避免社交工程或篡改应用程序性质的。

NotCompatible骗用户声明是正常的更新。其实,这并不复杂但有时候却能够使一些用户受骗。

恶意软件的目标暂不明确

感染的目的有点神秘。Lookout的官方博客中称该构造相对良好的特殊恶意软件似乎并没有不遗余力地隐藏其目的:它可以被用来访问私有网络。这一功能本身对于IT系统管理员来说意义重大:感染NotCompatible的设备可能会被利用获取通常情况下受保护的信息或系统,例如企业或政府维护的信息或系统。

Lookout称受影响的网站似乎流量都很低,并认为在未经其确认的使用iframe的网站中,也有部分存在该木马病毒。

严重警告:

手机恶意软件创造者正在实验这类恶意软件能够做什么,并找到了在用户不用访问第三方应用下载网站的情况下,就可以让手机恶意软件下载到用户手机设备上的方法,与该案件如出一辙。


来源
]]> <![CDATA[有没有和我一样的非会员维持证书的?]]> <![CDATA[挑战精神消失 创新能力衰退]]> 挑战精神消失 创新能力衰退



   索尼创建于二战后的一片废墟之中,创始人井深大在东京一家百货公司的仓库成立了“东京通信研究所”,在邀请到另一位元老级人物盛田昭夫担任高级总经理和代表董事之后,于1946年正式成立了索尼的前身“东京通信工业株式会社”(下称“东通工”)。在此后近半个世纪时间里,索尼通过推出一个又一个革命性的电子产品,确立了“技术的索尼”品牌形象。
       然而,这家曾经创造过日本品牌神话的企业,却在本世纪初开始了衰退,如今已俨然一位迟暮的老人——2011财年(截至2012年3月31日)预计亏损5200亿日元(约合64亿美元),64亿美元的亏损额不但创下了索尼的亏损新纪录,同时也将索尼的亏损纪录延至第四个财年。而按照索尼的计划,到今年年底将有1万名员工被裁。
  今年4月1日新出任社长兼CEO的平井一夫恰如其分地表达出对索尼的忧虑:“作为CEO,我明白事态严重性。我认为现在是索尼做出改变仅有的机会了。”
  索尼神话
       索尼最早的两位创始人井深大和盛田昭夫是一个几近完美的组合,井深大是位不知疲倦的技术“狂人”,擅长技术研究和开发,盛田昭夫则在经营管理方面拥有专长,两人共同确定了以革新的技术产品为主导的经营方式。而这样的理念与其他企业满足人们当下需求的想法大相径庭。
  不过,在创立之初,过高的研发投入曾影响到东通工的生存,直到1955年东通工研制成功日本第一台晶体管收音机TR-55。
  这是一次大冒险,1955年日本的收音机普及率已经达到74%,有人认为东通工这时才开始研制收音机已为时过晚。但井深大和盛田昭夫敏锐地发现,74%的普及率是以户为单位,如果以人为单位,市场潜力仍然很大。
  当时在日本占据市场主导地位的是能当家具一样摆放的真空管收音机,而井深大主导研发的这种使用最新晶体管技术的收音机小巧玲珑、携带方便、选台自由、不需要电源线,诸多特点恰好符合以个人为单位的产品需求。很快,这种“小宝贝”就被日本人所接受,在日本迅速普及,并成功出口到美国。
  晶体管收音机只是索尼以新制胜经营方式中获益的开端,真正让索尼名声大噪的是其1968年开发出的“单枪三束彩色显像管”,即著名的特丽珑彩色显像管。
  当时,已经更名为“Sony”的东通工在黑白电视机领域小有成就,但在开始膨胀的彩色电视市场竞争中却因起步较晚而处于劣势,由于不愿当模仿者,再加上此前数年的研发投入仍然没能开发出新式的、更好的产品,索尼在高额的研发成本下几乎破产。
  严峻形势下索尼高层依旧决定从技术角度寻求突破,作为一名已经拥有8000名员工公司的总经理,井深大亲自挂帅,和研究小组的技术人员一起进行技术研发,他十分信任技术人员并鼓励他们一次又一次地尝试,最终成功研制出特丽珑彩色显像管。这种显像管电视彩色画质更好,一上市就大受好评,其销售也成为了索尼后来30年主要的收入来源,让索尼一举成为显像管时代彩电行业的巨擘。
  以特丽珑彩电为基础,在随后数十年时间里,索尼相继推出Walkman、CD随身听、PlayStation游戏机等影响重大的电子产品,并把业务范围扩展到音乐和影视领域,成立索尼唱片公司,收购哥伦比 亚电影公司和米高梅电影公司。日益膨胀的索尼逐渐从小企业变成一家市值超千亿美元的大型跨国公司,“技术的索尼”品牌形象深入人心,被日本业界认为是二战后日本经济高速增长和走向国际化的象 征,创造了“索尼神话”。
  创新力衰退
  1994年,在当时的总裁大贺典雄主导下推出的PlayStation成为索尼又一个划时代的电子产品,也正是凭借PlayStation,索尼打败了劲敌任天堂和世嘉。然而,此后近20年时间里,索尼再没有推出过一个具有颠覆性的电子产品。长期积累的隐患最终将索尼拖入泥潭。
  最先出现问题的是索尼引以为傲的支撑业务——彩色电视机。
  20世纪90年代末,电视机开始出现从CRT显像管向液晶和等离子面板过渡的技术趋势,按照索尼的创新能力,应该在当时就推出平板电视,但索尼的管理层却犹豫不决,没有做出转型的决定:一方面特丽珑彩电已经为索尼贡献了一本长达数十年的功劳簿,积重难返,另一方面一些高管也认为特丽珑彩电的全球市场“霸主”地位不太可能受到威胁。
  也正是2000年前后,传统电视产业经过50多年的发展日趋成熟,整个产业的竞争已经转移到比拼价格和成本上。三星和夏普等竞争对手在布局平板电视的同时,依靠低价以及开拓中国市场的策略,销量逐渐赶上并超过索尼。
  2003年,索尼的危机在业绩上彻底反映出来。索尼公布的业绩显示,电视机这一主营业务在2002财年第四季度出现了高达9.26亿美元的巨额净亏损,开启了索尼电视业务连续8年亏损的序幕。
  另一个领域的危机也随之而来,随着互联网和移动互联网的兴起,后起之秀苹果在近几年研发出了iPod、iPhone、iPad等革命性产品,而索尼虽然在1997年就预见了网络时代的到来,却行动缓慢,没能再像以往一样推出颠覆性的产品,甚至没能成为一个合格的跟随者。
  创新能力的衰退,成了索尼最大的危机。
  谁毁了索尼
  电视业务亏损后,曾有投资者将矛头指向1995年接任CEO的出井伸之,甚至有日本媒体将他评为“最糟糕的CEO”,但索尼前常务董事天外伺朗曾经撰文反思,索尼的危机并非某一个高管造成的。作为一名从井深大时期就进入公司高层的人士,天外伺朗的观点是,与初创时期相比,20世纪90年代末开始索尼在管理理念上出现了问题。
  首先是“激情集团”的消失,即公司那些不知疲倦、全身心投入开发的团体已经不存在了,索尼的技术团队现在主要受赚钱、升职或出名等外部动机影响;其次是挑战精神的消失,自1995年左右索尼引入绩效管理制度后,公司内部追求眼前利益的风气蔓延,几乎所有人都不愿意提出具有挑战性的目标;最后是团队精神的消失,公司变得臃肿后,上下级之间的温情和信任感不复存在。
  这些转变明显与索尼创立的宗旨不符,在东通工的成立宗旨中,井深大提出,公司应成为“提倡自由豁达精神的理想工厂,使每一位技术人员都能保持一种在梦想中自由驰骋的心态,将自己的技术能量最大限度地发挥出来”。
  对于索尼创新能力的衰退,有着怀旧情节的天外伺朗认为公司高管的态度也难辞其咎。在井深大时期,有些索尼员工根本不畏惧上司的权威,上司也欣赏和信任这样的部下,不以冷漠的、“评价的”眼光来看待部下开发新技术和新产品。不过这种井深大时期鼓励创新的态度和管理理念并没有被继承下来。
  另外一个问题是索尼国际化的文化融合难题。2005年索尼圈定美国人霍华德·斯金格出任CEO。上任伊始,斯金格公布了代号“日本计划”的改革政策,除了常规的关闭工厂和裁员外,他还计划在电子业务上取消以往公司林立、各自为政的经营方式,加强各部门间战略上的横向合作。
  斯金格随后发现,整个改革进展缓慢,日本法律和终身制的雇佣文化让关闭工厂和裁员难以执行,日本企业家族长老式管理模式让他不具有真正的权威。作为一个国际化的公司,索尼的管理却处于一种西方现代管理模式与日本传统相互纠结的状态,这让索尼的改革和创新变成了修修补补、零敲碎打的模样,很难在应对外界变化时做出足够好足够快的改变。
  直到2008年,斯金格的改革方案才开始奏效,在业务整合上的话语权也逐渐加大。这本是索尼复苏的良好开端,但流年不利,2008年国际金融危机爆发,公司整体业绩也陷入亏损泥潭。2011年情况本出现好转,但3月份日本大地震、7月份泰国洪灾以及8月份伦敦骚乱主仓库失火等让索尼的全球供应链深受打击,再加上日元升值影响,之前预期的扭亏变成了64亿美元的亏损新纪录,市值跌至不到170亿美元,斯金格也在巨亏中黯然退休。如今,重新回归日籍高管掌舵的索尼在新任CEO平井一夫的主导下再次公布了名为“一个索尼,变革!”的改革计划,提出了重组业务架构、强化核心业务以及削减人员等诸多措施。平井一夫曾经带领PlayStation游戏部门成功扭亏,他的新计划对于改善业绩或能奏效,但要重塑品牌,索尼还有很长的路要走,而且正如平井一夫所言,“留给索尼的时间已经不多”。]]> <![CDATA[科技公司软件工程师薪水排行]]> 科技公司软件工程师薪水排行
美国招聘网站GlassDoor的最新调查显示,在美国科技行业的入门级软件工程师中,Twitter给出的薪水最高,达到11.5万美元。
需要注意的是,该榜单主要反应的是入门级软件工程师的薪水,因此高级工程师的薪水可能会高很多。不过,这仍然可以从一定程度上反映出某些公司对人才的吸引力。
1、Twitter


平均年薪:114917美元Twitter竟然是科技行业软件工程师薪水最高的企业,这着实令人有些意外。不仅薪水高,工程师还可以在这里参与一款改变世界的产品。
2、Facebook

平均年薪:111428美元
Facebook同样在开发改变世界的产品,薪水也相当可观。
3、LinkedIn
平均年薪:110902美元
LinkedIn或许创下了2011年最热门的IPO,所以拥有很多资金为工程师支付高薪。它同样是一家很年轻的企业。
4、思科

平均年薪:105562美元
没有多少软件工程师愿意到硬件公司工作,所以思科花大价钱吸引人才也就不足为奇了。
5、苹果

平均年薪:103883美元
苹果的工程师薪水略高于谷歌,但距离美国科技航行业头把交椅仍有不小的距离。不过,它毕竟是苹果,所以薪水或许没那么重要。
6、谷歌

平均年薪:103438美元
谷歌竟然不是第一,这令人很意外。但谷歌还是提供很多优秀的福利,并且可以获得丰富的计算资源,这同样可以形成很大的吸引力。

7、雅虎


平均年薪:102638美元
雅虎正在展开大规模裁员,所以要吸引人才就不得不开高价。现在看来,他们的确在这么做。

8、Zynga

平均年薪:100494美元
Zynga从EA等竞争对手那里挖来了很多员工,所以它的薪水显然更高。

9、甲骨文  

平均年薪:99391美元

甲骨文员工的平均年薪很少会跌破10万美元,但甲骨文毕竟是大公司,而且拥有众多大牌客户。或许他们还提供一些隐形福利。

10、亚马逊  

平均年薪:92613美元

亚马逊必须借助工程师来开发网站,并保障服务的顺利运行,所以自然要给出有竞争力的薪水,但并未跻身行业一线水平也在意料之中。

11、微软

平均年薪:87956美元
虽然微软的薪水不如谷歌等竞争对手,但或许可以在那里获得很多学习机会,所以,到微软工作可能也没有那么糟。

12、IBM  

平均年薪:86608美元
作为老牌企业,虽然IBM薪水偏低,但仍然拥有非常优异的研发团队。
来源 新浪科技



]]> <![CDATA[5月15日国盟CISA每日一题]]> A、操作系统和硬件的更新频率
B、获取可分享绩效的奖励
C、出发违规
D、收费挂钩可变成本指标

As updates to an online order entry system are processed, the updates are recorded on a transaction tape and a hard copy transaction log. At the end of the day, the order entry files are backed up on tape. During the backup procedure, a drive malfunctions and the order entry files are lost. Which of the following is necessary to restore these files?
A、The previous day's backup file and the current transaction tape
B、The previous day's transaction file and the current transaction tape
C、The current transaction tape and the current hard copy transaction log
D、The current hard copy transaction log and the previous day's transaction file

答案回复可见

(回复可见内容)


]]> <![CDATA[5月15日国盟CISSP每日一题]]> A. Exhaustive
B. Brute force
C. Ping of Death
D. Spoofing

答案回复可见

(回复可见内容)
]]> <![CDATA[5月15日国盟CISM每日一题]]> A company has a network of branch offices with local file/print and mail servers; each branch individually
contracts a hot site. Which of the following would be the GREATEST weakness in recovery capability?
A.  Exclusive use of the hot site is limited to six weeks
B.  The hot site may have to be shared with other customers
C.  The time of declaration determines site access priority
D.  The provider services all major companies in the area

答案回复可见:

(回复可见内容)
]]> <![CDATA[Adobe 改口风将免费为 CS5 提供和 CS6 相同的 bug 修正补丁]]> Adobe 改口风将免费为 CS5 提供和 CS6 相同的 bug 修正补丁


最近 Adobe 在 Creative Suite 系列软件中发现了一些 bug,但根据 Computerworld 之前的报道,

和能免费获得修正补丁的 CS6 用户不同,CS5 和 CS5.5 的用户们必须在支付了 CS6 的升级费后才能

获得补丁。这样的做法引起了许多用户的不满,而现在看来 Adobe 也显然注意到了这一点,于是他们

更新了自己的博客:「我们正在处理 Adobe Photoshop CS5.x 中的漏洞,当补丁就绪后我们会在安全

公告中做出更新。」据悉同样「受灾」的 Illustrator 和 Flash 也会采用相同的处理方法。这场混

乱的起因是 Adobe 在特定版本的以上 3 款软件中发现了 8 个「关键性」漏洞,其中部份漏洞更是可

能被利用来「控制用户的电脑」。但在发出警告后 Adobe 的举措就有待商榷了,试想用户在担心漏洞

危害的同时突然听到必须花钱升级才能收到补丁,换做是谁都会有所怨言吧?接下来我们会继续关注

事情的发展,如果你也是这 3 款软件的用户之一的话,建议你访问来源去 Adobe 看看是不是需要采

取什么措施吧。




More :
Adobe will now issue free security fixes for CS5  apps
http://www.zdnet.com.au/adobe-will-now-issue-free-security-fixes-for-cs5-apps-339337773.htm
http://www.computerworld.com/s/article/9227119/Adobe_backpedals_will_now_patch_software_for_free
来源  engadget.com

]]> <![CDATA[硅谷公司如何招人的一二事]]> =700) window.open('http://www.jobinitiative.com/job-interview.jpg');" style="max-width:700px;max-height:700px;" onload="if(is_ie6&&this.offsetWidth>700)this.width=700;" >
有好多朋友问硅谷公司招工程师的基本流程. 作为应聘者, 我试过 Facebook, Google,Yahoo, Oracle, 均拿过 offer; 作为面试人员, 面试过不下于 300 余人,清楚大概流程, 做此短文, 希望对于希望去硅谷工作的朋友, 或正在准备面试的朋友, 或正在设计招人流程的创业公司有所启发. 经验有限,如有毗漏, 请指正.
  面试机会
  在硅谷, 最容易获得招人的机会是熟人推荐. 就是目标公司的某某人是你的朋友,你让她给你做一个内部推荐. Facebook 大概 60-70% 的员工是通过这种方式雇佣的 .Facebook 最早期的一大拨中国籍工程师都是我做内部推荐面试进来的. 熟人推荐对于求职的朋友还是公司相对成本都要低. 对于求职的人,可以通过熟人了解公司内部的真实情况; 对于公司, 熟人的推荐让求职人的质量得到一个背书. 也是介于此,我收到过不下 200 多个推荐的请求, 但我决定做的推荐不到 100, 其中有 12 个朋友成功了, 每个成功的推荐公司给 5000 刀的奖金.做内部推荐的员工应该对自己的推荐有所筛选, 不能一味为了推荐奖金来一个推一个; 否则, 很快你的名声要烂掉.
  这里讲一个我自己的故事. 我找到的第一份工作是通过 2005 年在 Chicago 的 KDD 大会上和 Yahoo 数据挖掘部门的一个技术总监陶瓷获得的面试机会. 开会的闲暇时间, 我在展厅里面瞎晃荡, 和各个 booth 的人聊天,聊几句后提提我正在找工作, 问他们有没有合适的机会; 到了 Yahoo 的展厅之后,和该技术总监聊了一会之后我们就去到酒店的大厅中找了块干净的地板坐下来, 开始面试. 对几个大的问题探讨了算法上的设计,貌似他比较满意. 之后他让他的一个工程师在第二天做了一个电话面试就把我飞过去了. 这里想说的是你如果想找工作,试试在你"未来同事未来老板"出没的活动, 场所之中, 认识他们, 让他们对你感兴趣,然后通过他们做内部推荐.
  另外的几种方式就比较常规, 如集中性的校园面试, 通过网站完成 Puzzle 提交简历 (成功率极低),在各种编程大赛中出类拔萃被发现.
  还有的就是公司主动出去挖的人, 这属于高端人才, 我挖过一些资深的工程师; 这些人往往不容易动,如果你是这种人的话, 恭喜你, 你不需要读这篇文章.
  流程
  绝大公司的流程都是因为上述的途径(内部推荐, 学校面试, 网站申请等等)开始对一个简历产生兴趣,然后让 Recruiter 联系, 做一个摸底性质的电话面试, 然后是2-3个电话面试, 最后就是到场面试4-6个人.大多数公司是一轮.

    Recruiter 的电话面试
  这个了解是双向的. 聊聊应聘者的一些经验和背景, 他们感兴趣的方面, 为什么换工作,对这份工作有什么特别的要求等等; 聊聊公司的一些基本情况, 尤其是公司文化等等, 现在空缺的职位,还有对面试人希望有的基本要求.

    电话面试
  一般是 30-45分钟. 我通常是花 40 分钟让对方做两道题, 然后花 5 分钟让她问问题. 一般做完第一道题,我会问自己, 要不要做第二道; 不管如何, 我一定腾出这 5 分钟让对方问一些关于 Facebook 的问题. 这是对对方一个起码的尊重.由于是 40 分钟两道题, 不能太复杂, 一般是编程集中但设计没有太多挑战性的问题, 比如翻转单向链表 (reverse a singlylinked list), 可以换 itereative 或 recursive 的要求来写, 中间问很多问题. 通过像 http://sync.in/这样的网站, 我们双方打的字都可以里面看到.

  第一个电话面试后我需要在一个内部工具写上我的反馈,可以建议后面的一个电话面试可以更加关注哪些方面.
    现场
  一般见 4 个人 (2005年我在 Oracle 见了 10 个人...), 每人 45 分钟.其中有2.5人会集中在 coding 上面进行考察, 0.5 个人考察 culturual fit, 1 个人专注 design. 典型的 coding 问题应该在网上都能查得到, 这里就不提了. 但要注意的是不是所有人都能适应 white boardcoding (在白板上写程序), 最好事先练习练习. Cultural fit 是通过问问对方以前的经历, 解决过的问题,来发觉她的做事风格. 最后我们想得到的一个判断是她能不能 get shit done. Design 主要是某个大系统的设计,比如如果让你来做 Facebook News Feed, 你会怎么实现, 需要哪些构建, 数据如何传输;你的设计会有什么样的优点和缺点, 等等. 每个人都有不同的实践, 这是 OK 的, 但这中间的交流可以体现一些设计思想的厚度,这才是面试的目的. Design 能力考察的权重对于不同职位不同, 比如 backend 要多一些, frontend 要少一些;刚从学校出炉的要轻一些, 做过很多年的要重一些.
  每个参与面试的人都要对应聘者打个评价: strong hire, hire, weak hire,weak no hire, no hire. strong no hire. 我一般无视所有带 weak 的选项,我的理念的是不需要平庸的同事; weak 选项我是在被错误的放到一个其实我不该来的 interview loop 中时才用,所以很少很少用.

  特别注意的方面
    英文
  直接从大陆招的人当中, 最大的问题还在于英语. 我面试过最早的几位. 电话面试到一半,我实在搞不懂他在讲什么, 最后只好让他开始讲中文, 哇塞, 顺溜了很多. 建议对去美国工作感兴趣的朋友先多练练口语.

   编程
  对于工程师, 最多的工作是编程. 所以, 练习好编程. 由于面试题都有时间限制(20-25分钟),特定工具(sync.in 或者白板), 不关心细微的语法错误, 和实际的编程还是有些区别,所以练习还是很有必要的.

   事先了解好公司的情况
  了解一些基本情况, 让你知道为什么你对该公司感兴趣. 对公司已有的产品有什么建议,等等.

    准备好自己的故事
  真实的故事, 能够让面试的人迅速认识你的故事. 比如你做过的最让你骄傲的项目, 你在里面的具体的贡献,你碰到的最大的阻力, 你是如何解决的, 等等. 这里的问题很多网上有列表, 但我提的是能够和你自己的故事溶在一起, 适当的时候讲出来,有血有肉有说服力.

  Offer 的考虑
  在 Facebook, 所有的面试的评估到最后都会汇总寄来, 经过一个 reviewcommittee 讨论做出是否雇佣的决定. 在这个 review committee 上所有的应聘者都会被讨论, 明显不行的最快,明显行的也比较快, 慢的是那种所有人都说行但没有一个人被震惊到, 或者有人说不行有人说很行的情况. 这时候如果有一个人愿意站出来挺她,她一般不会被砍掉, 可能会过, 也可能被安排一个后续的面试, 见1-2个人.整体上的思路就是"请拿亮点来说服我".

  最后的 Offer 一般有两部分, 工资和股票. Facebook 的情况我不方便讲,但硅谷的工程师大致行情是新的本科毕业生年薪9-10万刀, 硕士博士 10-12万到; 有多年工作经验的应该在 11-16万左右.而股票就是八仙过海各显神通, 没有定论. 不管你是在美国读的书还是中国读的书,这个标准应该都是差不多的.

来自: blog.sina.com.cn
]]> <![CDATA[渗透测试思路技术与方法]]>
本帖包含的部分附件只能 访问 社区查看
]]> <![CDATA[GTUG-Web应用安全浅析]]>
本帖包含的部分附件只能 访问 社区查看
]]> <![CDATA[ITIL V3 Foundation中文培训讲义最新版]]> 对ITIL框架的基本理解。
•ITIL如何帮助组织加强IT服务的质量。
•描述和区分IT服务管理实践的核心指南, 包括:
−服务战略
−服务设计
−服务转换
−服务运营
−持续服务改进
•准备ITIL V3 Foundation论证考试。
完整中文版!
本帖包含的部分附件只能 访问 社区查看
]]> <![CDATA[2012 ITILv3 Foundation 练习题370个]]> 这套习题共分为15套题,除最后一套20题外,其余每套25题
本帖包含的部分附件只能 访问 社区查看
]]> <![CDATA[CISA备考复习建议仅供部分会员参考]]> 本人建议有三点:仍是老话
一.有计划有重点的复习
二.跟着国盟整体的计划走
三.考前突击,如果没时间想想考试费?
建议细节如下:
1.大家准备了这么久了阅读的资料或建议参考以下资料学习:

CISA标准教材:《2012版CISA学习讲义》(知识点梳理) 《2012年CISA review manual 英语版》语言识别)《2012年CISA review manual中文版》重点教材2012年CISA中英对照题目解析合集(红宝书第3版)题目练习与适应2012年CISA学习光盘〈含最新题目和参考资料〉知识点理解辅助教材)
2.2012年CISA考试知识点变化总结(没有新教材或去年开始准备的同志们适用)国盟可下载!
3.考前辅导培训,5月北京/上海
6月CISA考前辅导会讲义下发 (研讨会当天下发)
不仅是资料重要是要拿着资料做笔记,然后做为强化使用,讲师十多年的经验,并辅导过建行历年的CISA考试)然后回去参考强化,找到不足的或是较难分析的知识点进行梳理
4.2010-2011含2011之前CISAXX题回忆集(研讨会当天下发)
内容较细参考价值极高,尤其是重复的题目,一定要撑握,内含讲师做的标准答案
涉及相关知识点请学员参考各章节知识体系指南,以加深对考点的理解和掌握
5.IT审计项目参考IT审计实践交流讲义
后期实践项目辅导会下发!

]]> <![CDATA[COBIT认证考试]]> ]]> <![CDATA[也收到了Cisa证书]]> 大概是4月18日左右收到关于申请证书通过的通知。这个纸质的邮件走了一个月了。
再次感谢国盟的红宝书。
目前它是一张纸,我希望自己能让它变得厚起来。
加油。

]]> <![CDATA[Auditing It Risk Associated With Change Management and Application Development]]> 本帖包含的部分附件只能 访问 社区查看]]> <![CDATA[KPMG Business Continuity IT审计介绍—BCP]]> 1. Avian flu statistics
2. Kick-off workshop
3. KPMG role
4. Project work-streams
5. Project outputs
6. Summary and questions
7. FSA Market-wide (BC) Exercise
8. Contact details
本帖包含的部分附件只能 访问 社区查看
]]> <![CDATA[5月16日国盟CISA每日一题]]> 许多IT项目存在问题,因为开发的时间和/或所需的资源被低估。下列哪些技术对项目持续时间时间估算上提供最大的帮助?
A、功能点分析
B、PERT图
C、快速应用系统开发
D、面向对象的系统开发

Sending a message and a message hash encrypted by the sender's private key will ensure:
A、authenticity and integrity.
B、authenticity and privacy.
C、integrity and privacy.
D、privacy and nonrepudiation.

答案回复可见:

(回复可见内容)

]]> <![CDATA[5月16日国盟CISSP每日一题]]> Which of the following are the benefits of Keystroke dynamics?
A. Low cost
B. Unintrusive device
C. Transparent
D. All of the choices.


(回复可见内容)
]]> <![CDATA[5月16日国盟CISM每日一题]]> Security technologies should be selected PRIMARILY on the basis of their:
A.  ability to mitigate business risks
B.  evaluations in trade publications
C.  use of new and emerging technologies
D.  benefits in comparison to their costs

答案回复可见

(回复可见内容)
]]> <![CDATA[王者归来之-sqlmap最新版]]> (附件)
(附件)
(附件)
(附件)
下载后将02和03后面的.zip去掉再解压。
本帖包含的部分附件只能 访问 社区查看
]]> <![CDATA[某上市公司自行建设内控体系指导方案]]> 主要内容:
内控的概念:
萨班斯-奥克斯利法案与内部控制
企业内部控制基本分类
企业内部控制的主要特征
企业内部控制体系的创建
企业内部控制的局限性
企业内部控制制度的执行
本帖包含的部分附件只能 访问 社区查看
]]> <![CDATA[ISO20000培训考试试卷]]> 1) 下面哪句话最恰当描述了IT服务管理?
A. 经济有效地管理IT服务的质量
B. 根据ITIL最佳实践进行IT基础设施的管理工作
C. 以流程的方式管理IT基础设施。这种方式可让IT组织能够以专业的方式为客户提供IT产品和服务
D. 促进更多的人了解IT服务
2) IT服务管理是如何改善IT服务的质量的。
A. 以正式的内部、外部客户以及供应商的服务协议
B. 定义服务级别普遍适用的标准
C. 提高IT组织中所有员工的客户关注程度
D. 计划、实施、管理一系列流程以提供IT服务
3) 硬件、系统和应用软件以及数据通讯设施都是IT基础架构(IT infrastructure)的组成部分。下面哪些组件也可以被视为IT基础架构的一部分?
1 程序
2 文档
3 人员
A. 1和2
B.   1和3
C.   2和3
D. 1,2和3

本帖包含的部分附件只能 访问 社区查看
]]> <![CDATA[BS25999 LA培训讲义及标准]]> 内容为培训LA的讲义,扫描版本!

本帖包含的部分附件只能 访问 社区查看
]]> <![CDATA[Websense 2012最新威胁报告:网路犯罪者如何感染网路和窃取资料而不被察觉]]>
Websense安全实验室(Websense Security Labs)最新公佈的2012年威胁报告(Websense 2012 Threat Report)显示,助长资料窃取风险层级的三大要害包括:极高效率的社交媒体诱饵、隐匿而难以侦测的恶意程式渗透、以及複杂化的机密资料外洩。该报告提供真实世界例证,同时也为IT资安人员提供实用的建议。

  Websense研发副总裁Charles Renert表示:「传统防护技术已不再发生效用。企业组织需要诉诸具备多重侦测点的即时防护,深入分析每一个网站和电子邮件的内送流量,以及敏感资料的对外传输。今天的资料窃取攻击几乎都涉及Web和(或)电子邮件。同时,很多犯罪者更频繁的利用社交工程,利用最脆弱的人为因素展开攻击。由于现在的攻击者利用多重资料点和威胁向量瞄准他们的目标,因此唯有能够了解整个威胁生命週期,并结合每一阶段资料的方桉才能提供防护。」

报告的关键调查结果如下:

­-82%恶意网站驻留在遭入侵的主机。如果遭入侵的主机变成常态的问题,那麽云端和主机代管服务将不被信任。这将对我们的经济造成威胁,特别是我们正积极运用云端做为商务、通讯和文化的骨干。

­-55%以资料窃取为目的的恶意程式通讯是以Web为基础。

-43% Facebook活动属于串流媒体,包括遭感染的视讯。这个数量相当于Facebook第二个最大新闻与媒体类别的五倍以上。串流媒体比例相当重要,因为Web诱饵(例如视讯、伪赠品、意见调查和垃圾邮件)利用人们的好奇心并且已渗透到社交网路。Websense已与Facebook合作,扫描所有点击的Facebook web连结,因此Websense研究人员对于社交网路内容已掌握了前所未有的能见度。

­-50%恶意程式重导连结至美国,其次为加拿大。

-60%网路钓鱼攻击源自美国,其次为加拿大。美国也是恶意程式的最大来源(36%),其次为俄罗斯。

­-74%电子邮件属于垃圾攻击,而去年则是84%。这显示打击垃圾邮件魁儡网路的行动已有了成效。然而,儘管整体垃圾邮件减少,但92%垃圾邮件包含URL,显示今日电子邮件威胁越来越倾向溷合攻击性质。排名前五大的电子邮件恶意诱饵为:订单通知、票券确认、送货通知、测试邮件、以及退税资讯。鱼叉式网路钓鱼(spear phishing)继续增加,成为针对性攻击的一种递送方法。

  Websense实验室已分析超过200,000 Android app,并且发现显着的数量包含恶意的意图或权限。暴露于恶意手机app风险的使用者人数正快速增加。

  进阶威胁可分为六个阶段:诱饵、重导、入侵工具、病毒植入程式、回传通讯、资料窃取。每一阶段都有独特的特徵,需要诉诸特定的即时防护。传统防护技术主要是藉由检测恶意程式档桉,以第四阶段和已知威胁的防护为主,也因此成为效率不彰的主要原因。进阶威胁利用独特的病毒植入程式,可以躲过传统防护技术的侦测长达好几个小时或好几天。

原文网址: informationsecurity.com.tw
下载

(附件)


本帖包含的部分附件只能 访问 社区查看
]]> <![CDATA[信息安全等级保护标准体系]]> 一篇关于等级保护的软文
基础信息网络及信息系统是国家和社会发展的重要战略资源,社会发展对信息化的依赖程度越来越高,保障基础网络和重要信息系统安全,维护国家安全、保障社会稳定和经济命脉,是信息化发展中必须要解决的重大问题。本文系统论述了国家信息安全等级保护政策和标准体系,为信息系统的安全运营提供参考。
本帖包含的部分附件只能 访问 社区查看
]]> <![CDATA[证书多久可以拿到]]> 可悲的是,到现在我都还没收到纸档成绩单。我还是在北京呢,我都怀疑还能不能收到了]]> <![CDATA[请指点,有人注册过苹果企业开发者账号吗]]> <![CDATA[三种东西永远不要放到数据库里]]> 三种东西永远不要放到数据库里




我已经在很多演讲里说过,改进你的系统的最好的方法是先避免做“蠢事”。我并不是说你或你开发的东西“蠢”,只是有些决定很容易被人们忽略掉其暗含的牵连,认识不到这样做对系统维护尤其是系统升级带来多大的麻烦。作为一个顾问,像这样的事情我到处都能见到,我还从来没有见过做出这样的决定的人有过好的结果的。
图片,文件,二进制数据

既然数据库支持BLOB类型的数据,把文件塞进BLOB字段里一定没有错了!?错,不是这样的!别的先不提,在很多数据库语言里,处理大字段都不是很容易。

把文件存放在数据库里有很多问题:

    对数据库的读/写的速度永远都赶不上文件系统处理的速度
    数据库备份变的巨大,越来越耗时间
    对文件的访问需要穿越你的应用层和数据库层

这后两个是真正的杀 手。把图片缩略图存到数据库里?很好,那你就不能使用nginx或其它类型的轻量级服务器来处理它们了。

给自己行个方便吧,在数据库里只简单的存放一个磁盘上你的文件的相对路径,或者使用S3或CDN之类的服务。
短生命期数据

使用情况统计数据,测量数据,GPS定位数据,session数据,任何只是短时间内对你有用,或经常变化的数据。如果你发现自己正在使用定时任务从某个表里删除有效期只有一小时,一天或数周的数据,那说明你没有找对正确的做事情的方法。使用redis, statsd/graphite, Riak,它们都是干这种事情更合适的工具。这建议也适用于对于收集那些短生命期的数据。

当然,用挖土机在后花园里种土豆也是可行的,但相比起从储物间里拿出一把铲子,你预约一台挖土机、等它赶到你的园子里挖坑,这显然更慢。你要选择合适的工具来处理手头上的事。
日志文件

把日志数据存放到数据库里,表面上看起来似乎不错,而且“将来也许我需要对这些数据进行复杂的查询”,这样的话很得人心。这样做并不是一个特别差的做法,但如果你把日志数据和你的产品数据存放到一个数据库里就非常不好了。

也许你的日志记录做的很保守,每次web请求只产生一条日志。对于整个网站的每个事件来说,这仍然会产生大量的数据库插入操作,争夺你用户需要的数据库资源。如果你的日志级别设置为verbose或debug,那等着看你的数据库着火吧。

你应该使用一些比如Splunk Loggly或纯文本文件来存放你的日志数据。这样去查看它们也许会不方便,但这样的时候不多,甚至有时候你需要写出一些代码来分析出你想要的答案,但总的来说是值得的。

可是稍等一下,你是那片不一样的雪花,你遇到的问题会如此的不同,所以,如果你把上面提到的三种东西中的某一种放到了数据库里也不会有问题。不,你错了,不,你不特殊。相信我。


本文转载自: 外刊IT评论


]]> <![CDATA[5月17日国盟CISA每日一题]]> A、马上向CIO和CEO汇报风险
B、检查开发中的电子商务应用系统
C、识别威胁和发生的可能性
D、检查风险管理的可用预算

The PRIMARY purpose of a business impact analysis (BIA) is to:
A、provide a plan for resuming operations after a disaster.
B、identify the events that could impact the continuity of an organization's operations.
C、publicize the commitment of the organization to physical and logical security.
D、provide the framework for an effective disaster recovery plan.


(回复可见内容)
]]> <![CDATA[5月17日国盟CISSP每日一题]]> Which of the following is true about Kerberos?
A.) It utilized public key cryptography
B.) It encrypts data after a ticket is granted, but passwords are exchanged in plain text
C.) It depends upon symmetric ciphers
D.) It is a second party authentication system


(回复可见内容)
]]> <![CDATA[5月17日国盟CISM每日一题]]> A.  a statement regarding what the company will do with the information it collects.
B.  a disclaimer regarding the accuracy of information on its web site.
C.  technical information regarding how information is protected.
D.  a statement regarding where the information is being hosted.


(回复可见内容)
]]> <![CDATA[最新业务连续性国际标准ISO22301五月中旬发布]]>
最新的业务连续性国际标准——ISO22301社会安全业务连续性管理系统要求将于2012年五月中旬发布。届时我们将发布下载链接。这个国际标准的目的是将始于BS25999的业务连续性推向全球。因为BS25999来源于英国,一些国家不愿意适应它,这个最新的ISO标准解决了这个问题。它以英国的BS25999、美国的ANSI、新加坡和澳大利亚的相关标准为基础进行开发。当然,现在BS25999依然是全球最流行的标准。它将与2012年11月1日被BSI正式撤销。但这正好使英国接受ISO标准。将会有一个较长的过渡期,那些反对BS25999的公司相比其他公司能够借此机会更容易转换到ISO认证。事实上,那些已经通过BS25999的公司能够保持认证状态到2014年年中。
有一点需要注意的是,尽管ISO22301被誉为业务连续性指导性文档方面的新事物。ISO22313,业务连续性管理系统指南,将于2013年早期发布。

备注:
ISO 22301 Societal security -- Business continuity management systems --- Requirements
ISO 22313 Societal security -- Business continuity management systems --- Guidance

-----------------------------------------------
原文见:http://www.continuityinbusiness.com/2012/iso22301-may-2012-launch/?utm_source=rss&amp

The new International Standard for Business Continuity – ISO 22301
Societal Security Business Continuity Management Systems Requirements –
is going to be published mid-May 2012. We’ll send you a link so you can
download it as soon as it’s live.
The aim of the International Standard is to encourage consistency around
the globe that began with BS25999. Because BS25999 has “British” in it
’s title, some countries are less happy to adopt it; the new ISO resolves
this issue.
It’s been developed, using BS25999 as its basis, with lots of input from
the British BSI, the US’s ANSI, Standards in Singapore and Australia.
Of course, BS25999 is the world’s most popular Standard. It will be
officially withdrawn by the BSI on 1 November 2012. But it’s ok! This
is required for the BSI to accept the ISO. There will be a seriously long
transition period; those certified against BS25999 will remain so and will
probably find it easier than other companies to transition to ISO
certification, if that’s what they desire. In fact, they can even keep
their BS2999 status until mid-2014, so there’s plenty of time.
One thing to note – though ISO 22301 is being heralded as “the new thing
” the detailed guidance documents for business continuity – which are in
ISO 22313 – aren’t going to be released until early 2013…
They don’t make it easy for us, do they?
]]> <![CDATA[统筹谋划科学布局深入贯彻信息科技规划监管指导意见]]>   “十二五”时期是我国农村信用社深化改革的重要历史时期,也是信息科技快速发展的有利时期。中国银监会高瞻远瞩,以战略和长远的眼光,出台《中国银行(601988,股吧)业信息科技十二五发展规划监管指导意见》(以下简称指导意见),推进农村金融机构以科学发展观为指导,坚持自主创新,以信息科技推动服务与产品创新,提高服务水平,促进农村金融业务稳定、健康发展。浙江省农信联社按照银监会指导意见的要求,结合自身实际,统筹谋划、科学布局,制定浙江农信系统“十二五”科技信息建设规划,走上了一条“科技立社、科技强社”道路。
  一、浙江农信系统“十一五”信息科技发展面临的问题
  “十一五”期间,浙江农信系统(含全省81家农村信用联社、农村合作银行、农村商业银行,下同)信息科技水平不断提升,特别是2008年实现全省核心业务系统大集中后,更是实现质的飞跃。但由于起点低,基础差,时间短,信息科技水平与国内先进银行相比仍存在较大差距,面临一些深层次问题。
  (一)信息科技规划不清晰,发展方向模糊。长期的“按需建设”使信息科技发展缺少前瞻性、有序性和目的性。另一方面,辖内县级行社是分散治理,独立经营,信息科技发展往往各自为政,缺乏整体规划和统一规范。
  (二)信息科技发展重建设,轻管理。“十一五”期间为缩小与先进银行差距,信息科技发展重点是集中解决“系统有无”问题,相应的信息科技治理和风险管理工作未得到充分重视。
  (三)信息科技职能不清晰,缺乏合理分工。在浙江农信系统现有二级法人体制下,省、县两级机构应用开发职责不清、流程不明,信息科技发展需求时有冲突。
  (四)信息科技人才匮乏,科技队伍实力不强。浙江省农信联社架构设计师,业务分析师、测试设计师等专业人才缺乏;基层行社技术人员和需求人员的配备也普遍不足。
  二、浙江农信系统“十二五”信息科技发展的基本思路
  为了解决信息科技发展过程中遇到的问题,促进全省农信系统健康可持续发展,浙江省农信联社在深刻学习领会银监会指导意见的基础上,邀请银行业IT专家、科技咨询顾问、行社科技负责人等,通过历时半年的调研、探讨和论证,理清了适合全省农信系统实际情况的信息科技发展思路。
  (一)加强决策。成立理事代表、主要业务处室和科技部门共同参与的科技信息推进工作小组,负责IT重大事项决策、监督和指导,为科技治理和战略发展指明方向,统一贯彻全省农信系统信息科技发展战略目标。同时外聘专家,担任首席信息官顾问,协助开展信息科技治理工作。
  (二)明确分工。浙江省农信联社定位为科技信息组织建设者,负责编制和落实全省农信系统科技信息建设规划,制定技术、数据、架构标准,集中建设统一应用系统。县级行社定位为信息科技使用者,为信息科技发展提供需求和建议,同时承担辖内信息系统的运维和安全保障职责。
  (三)分级开发。全面梳理现有及将来建设的应用系统,提出“各司其职,分而不散”的系统开发原则,明确浙江省农信联社牵头建设标准化产品、服务、渠道系统和IT基础应用平台;县级行社在“十二五”规划基础上自主开发个性化特色业务和管理系统,实现省县两级分工协作,共同发展的目标。
  (四)重视管理。建设信息科技风险管理体系和信息化标准体系,引进ISO20000、ISO27001等国际标准,通过组织保障、制度保障和流程保障落实信息科技管理措施,持续提升管理精细化水平,不断深化信息技术运用,一手抓建设,一手抓管理,确保充分发挥信息科技核心竞争力。
  (五)融合业务。确立科技部门与业务部门相互依赖、互相支持的合作伙伴型定位,加强科技部门与业务部门的合作、沟通与协调,确保相对稳定的技术人员与业务人员全程共同参与项目研发,加快培养一支既熟悉业务需求,又精通技术应用的复合型人才队伍,大力推进科技与业务的深度融合。
  (六)提升服务。增强对县级行社的信息科技服务职能,规范科技服务机制,改善科技服务流程,建设科技服务渠道,在基础设施、应用系统建设时不仅围绕全省农信系统业务发展需求,还将加强风险防控、标准规范方面的对下指导职能,实现服务县级行社、支撑县级行社业务发展的最终目标。
  (七)充实人才。制定科学的人才管理计划和合理的绩效考核机制,建立一支技术扎实、规模适度、结构合理的信息科技人才队伍。同时建立科技人才的引进和流动机制,通过外聘、咨询、特招等多种方式加快引进高级信息科技人才。
  三、浙江农信系统“十二五”信息科技规划概述
  在深入剖析信息科技发展面临的问题,基本明确信息科技发展思路的基础上,浙江省农信联社于2011年制订了《浙江农信系统“十二五”科技信息建设规划》,主要包括IT治理规划、数据架构规划、技术架构规划、应用架构规划和和关键应用系统实施规划五大章节,旨在通过制订切实可行、适合业务发展的信息科技中长期发展规划,提高IT架构的前瞻性、长远性,实现信息科技建设统筹安排,有的放矢。
  (一)IT治理规划。IT治理规划立足于信息科技决策层、管理层和操作层三个层面,关注信息科技治理水平的整体提升:优化信息科技决策组织架构,明确信息科技推进工作小组、科技部门和相关业务部门在信息科技决策中的角色定义;理顺信息科技决策流程,制定信息科技决策原则、工作方式和制度等,提升信息科技工作效率;完善科技部门组织结构、岗位职责和激励机制,重点关注省、县两级科技部门在软件开发、系统运维、科技管理等方面的分工合作;建立和完善信息科技管理制度,规范各类信息科技工作方式和流程,提升科技对业务的服务支撑能力;开展信息科技发展规划管理和架构管理,尝试建立信息科技建设的全生命周期管理体系,建立有效的架构管理组织和流程;加强外包和采购管理、科技服务管理、科技项目管理、科技风险管理等,有效识别评估和控制科技风险。
  (二)数据架构规划。数据架构规划对浙江农信数据的产生、处理、传递和应用等全生命周期进行谋划、梳理和完善,提高数据质量,加强数据管控:结合数据现状制定数据标准体系,包括数据标准管控范围、数据标准分类策略、数据标准管理原则和策略、数据标准管理组织和流程、数据标准模板等,指导应用系统开发和数据应用;规范主要数据分类在目标存储中的分布,包括省农信联社和基层行社的数据分布策略,不同应用系统的数据分布策略和历史数据分布策略等;建立以综合前置、交易接口平台、数据仓库和数据交换平台为骨干的数据交换架构体系,规划信息资源在系统之间的存储、共享与流转机制;以“既要减少数据应用难度,又满足行社多变数据需求”为目标,制定合理的基层行社数据下发策略,确立行社数据存储(ODS)定位;制定浙江农信客户信息分布、存储和分享策略,建立以核心系统和客户信息系统为基础的客户信息主数据管理体系。
  (三)技术架构规划。技术架构规划通过形成稳定可靠的技术环境、技术标准和技术规范,为应用系统建设提供强有力支持,降低应用系统设计、开发、部署和管理难度,降低科技人才培养使用成本:制定包括计算机硬件、软件、服务和技术应用在内的技术标准体系,加强技术标准全生命周期管理,定义技术标准产品库模板和实例,提升技术架构的一致性;在技术标准基础上制定基础技术规范、应用设计规范、软件开发规范、安全控制规范等,对具体技术标准内的产品如何使用提供设计、开发、配置、部署、优化和管理等方面的可操作规范体系,作为工作指南指导全省农信系统开展信息科技建设;明确关键系统的部署架构,遵循“分布和集中相结合”的原则设计核心业务前置机、各类特色业务系统、经营管理系统、灾难备份系统和网络系统等在省、县两级农合机构的部署策略。
  (四)应用架构规划。应用架构规划的目标是明确省、县两级科技部门职责,优化各类应用系统建设架构,细分省、县二级信息科技建设边界。参考主流商业银行应用架构方案,结合浙江农信现有业务体制及未来发展远景,设计“以企业服务总线为枢纽,渠道服务层、客户营销层、产品处理层和经营管理层为骨干”的目标架构模式;基本明确省、县两级科技部门开发职能分工,省农信联社牵头建设标准化产品、服务、渠道系统和IT基础应用平台,行社自主开发个性化特色业务和管理系统,满足快速多变的市场需求和管理需要;按照“统分结合、分而不散”的原则制定省农信联社集中开发,统一部署、省农信联社集中开发,行社分布部署、省农信联社统一开发模版,行社进行客户化并分布部署、行社自主开发部署四类不同应用系统清单,指导“十二五”期间浙江农信系统的信息系统建设。
  (五)关键应用系统实施规划。为确保“十二五”信息科技发展规划的顺利实施,浙江省农信联社对影响中长期发展战略的一些关键系统,包括核心业务系统、信贷系统、银行卡系统、电子银行系统、综合前端系统、客户信息管理系统、数据仓库等制定了进一步的落地实施策略。
  ——核心业务系统:逐步实现核心系统“瘦身”,将总账、贷记卡、客户信息管理等从核心系统剥离,并加强产品开发、管理功能,为将来可能的银行业务量大幅增长作准备。
  ——信贷系统:以现有信贷流程管理系统为基础进行系统优化,将会计核算、授信额度、抵质押品等从核心剥离,增加风险管理功能模块,以此建设浙江农信新一代信贷业务全流程系统。
  ——银行卡系统:引进国际主流系统建设独立的本外币双币贷记卡系统,在现有功能基础上增加总账模块,并扩展适用外围模块,形成适合浙江农信业务需求的银行卡系统。
  ——电子银行系统:在现有电子渠道(电话银行、网上银行)基础上大力发展包括手机银行、网上商城和电子支付等新型电子服务渠道,并建设电子渠道整合平台,实现渠道的统一管理、控制和信息共享,提升电子银行服务客户的能力和水平。
  ——综合前端系统:参考现代流程银行业务思路建设新型综合前端系统,整合多种业务前端,实现柜员单点登录,统一业务操作习惯和风格,整合、简化和重构业务流程,提供更多面向客户、面向营销和面向金融产品创新的服务。
  ——客户信息管理系统:建立全量客户基本信息的“ODS”,实现客户信息整合,定期批量把分散在多个应用系统的客户信息增量处理,如抽取、排序、去重、清洗等,归集在一个集中点。
  ——数据仓库:数据仓库/ODS定位为浙江农信统一的数据服务平台,提供全面的数据服务,包括提供源数据服务、标准化数据服务、数据整合服务和数据加工分析服务等,主要提供批量数据服务,一般不提供实时数据服务。
  四、浙江农信系统“十二五”信息科技规划实施的保障措施
  (一)建立规划实施监督机制。浙江省农信联社制订了“十二五”期间信息科技发展战略的各阶段目标。省农信联社党委定期听取信息科技建设相关汇报,评审建设内容与规划目标之间的完成度和契合度,指导科技信息推进工作小组根据实际情况及时进行调整和优化。省、县两级科技部门根据信息科技发展战略目标制定实施方案和每年推进计划,定期总结回顾,并向科技信息推进工作小组汇报建设进度。
  (二)加大信息科技投入力度。一方面,保障人才队伍建设。每年将以不低于20%的增长速度扩大科技队伍规模,增强科技队伍力量,以常规招聘、特殊人才引进、专家外聘等方式,确保2015年科技人员数量和质量达到国内中型商业银行的平均水平。另一方面,确保科技资源投入。根据历年IT投资规模、行业科技建设经验和规划咨询服务专家的建议制定合理的信息科技建设预算计划,加大基础设施建设力度,建成大规模科技服务基地和数据中心,增强浙江省农信联社科技服务能力。
  (三)完善信息科技保障机制。进一步完善各类科技信息治理机制,优化科技组织架构,明确部门职责,加强部门协作,简化部门管理,提高部门积极性,加快决策流程。一是尝试在软件开发部门和运行维护部门引进事业部制,实行灵活有效、留优淘劣的运作机制。二是对软件开发部门实行开发项目责任制,确保项目落实到人、人落实到项目,通过项目与项目经理之间的双向挂钩,明确软件开发人员的服务质量考核,合理拉开收入分配差距,提高科技人员的积极性和责任心。
  (作者系浙江省农信联社副主任)
  践行“十二五”发展规划监管指导意见
  全面推进银行业信息科技跨越式发展
]]> <![CDATA[求信息安全产品集成项目的收费标准]]> <![CDATA[ISACAIT风险的最佳实践Download The Risk IT Practitioner Guide]]> Structure of the Document ... 7
The Risk IT Process Model .. 7
Risk IT Positioning With Respect to COBIT and Val IT .. 8
Overview of the Guide—Mapping Against the Process Model . 8
1. Defining a Risk Universe and Scoping Risk Management .. 11
Risk Universe ... 11
Enterprise IT Risk Assessment . 12
Scoping IT Risk Management .. 14
2. Risk Appetite and Risk Tolerance ..... 15
Risk Appetite and Risk Tolerance Defined  15
Risk Appetite .... 15
Risk Tolerance .. 17
3. Risk Awareness, Communication and Reporting..... 19
Introduction  19
Risk Awareness and Communication .. 19
Key Risk Indicators and Risk Reporting .... 22
Risk Profile. 24
Risk Aggregation .... 25
Risk Culture  29
4. Expressing and Describing Risk . 31
Introduction ..... 31
Expressing Impact in Business Terms .. 34
Describing Risk—Expressing Frequency ... 37
Describing Risk—Expressing Impact .. 38
COBIT Business Goals Mapping With Other Impact Criteria .... 42
Risk Map .... 46
Risk Register .... 47
5. Risk Scenarios . 51
Risk Scenarios Explained ... 51
Risk Factors  53
Example Risk Scenarios ..... 57
Capability Risk Factors in the Risk Analysis Process . 69
Environmental Risk Factors in the Risk Analysis Process . 71
6. Risk Response and Prioritisation  75
Risk Response Options . 75
Risk Response Selection and Prioritisation  77
7. A Risk Analysis Workflow  81
8. Mitigation of IT Risk Using COBIT and Val IT .. 83
Appendix 1. Risk Concepts in Risk IT vs. Other Standards and Frameworks ..... 111
Comparison of Major Features ..... 111
Appendix 2. Risk IT and ISO 31000 . 113
ISO 31000 Risk Management—Guidelines on Principles and Implementation of Risk Management .... 113
Appendix 3. Risk IT and ISO 27005 . 117
ISO/IEC 27005:2008, IT—Security Techniques—Information Security Risk Management . 117
Appendix 4. Risk IT and COSO ERM ... 119
COSO Enterprise Risk Management—Integrated Framework ..... 119
Appendix 5. Vocabulary Comparisons: Risk IT vs. ISO Guide 73 and COSO ERM  123
Risk IT and ISO Guide 73 on Risk Management Vocabulary . 123
Risk IT and COSO ERM on Risk Management Vocabulary .. 125
Appendix 6. Risk IT Glossary ..... 129
List of Figures . 131
Other ISACA Publications .... 133
本帖包含的部分附件只能 访问 社区查看
]]> <![CDATA[SuSE Linux安全加固技术专题V1.0]]> 第1章 SuSE Linux主机安全加固简介.......................................................................................1
1.1 为什么需要SuSE Linux安全加固...........................................................................................1
1.2 针对SuSE Linux主机的基本攻击类型...................................................................................1
1.3 SuSE Linux安全加固的基本流程...........................................................................................2
第2章 SuSE Linux安全扫描......................................................................................................2
漏洞扫描工具Nessus..................................................................................................................3
第3章 SuSE Linux安全加固主要措施.......................................................................................3
3.1 物理安全和BIOS安全设置.....................................................................................................3
3.2 系统安装及初始系统的备份...................................................................................................4
3.3 用户帐户管理........................................................................................................................5
3.4 系统口令管理........................................................................................................................7
3.5 文件和目录权限管理.............................................................................................................8
3.6 最小化系统服务..................................................................................................................11
3.7 网络参数配置......................................................................................................................12
3.8 保护系统日志......................................................................................................................13
3.9 安装最新的系统安全补丁和软件补丁.................................................................................15
第4章 部署Tcp Wrapper工具..................................................................................................15
本帖包含的部分附件只能 访问 社区查看
]]> <![CDATA[2012年4月CISA 英文模拟试卷三套]]> 版本:英语
本帖包含的部分附件只能 访问 社区查看
]]> <![CDATA[网络安全技术讲义完整版]]> 主要内容:
第01讲 概述
第02讲 TCPIP深入理解
第03讲 TCPIP安全分析
第04讲 密码技术基础
第05讲 认证技术基础
第06讲 控制技术基础.
第08讲 VPN-IPSec
第09讲 VPN-SSL
第10讲 IDS-理论
第11讲 IDS-应用
第12讲 扫描器
第13讲 病毒-病毒原理.
第14讲 病毒-反病毒技术
第15讲 信息安全管理概论
第16讲 信息安全管理体系
实验指导讲义.

本帖包含的部分附件只能 访问 社区查看
]]> <![CDATA[信息安全意识与上网安全]]>
网络恶意代码的运行周期

如何加强
本站另有一个PDF版本和这个不同,这个是PPT版本内容也不同,仅供参考使用!
本帖包含的部分附件只能 访问 社区查看
]]> <![CDATA[ITILV3培训总结]]> 相对简单的一个表格对ITIL V3的几个流程进行了简单总结
本帖包含的部分附件只能 访问 社区查看
]]> <![CDATA[5月18日国盟CISA每日一题]]> 一个WEB服务器受到攻击和泄露。下列哪一项在处理事件时首先被执行?
A、转储不稳定的存储数据到一个磁盘
B、用丧失安全模式运行服务器
C、将WEB服务器从网络中断开
D、关闭WEB服务器

Which of the following should be included in a feasibility study for a project to implement an EDI process?
A、The encryption algorithm format
B、The detailed internal control procedures
C、The necessary communication protocols
D、The proposed trusted third-party agreement

答案回复可见

(回复可见内容)



]]> <![CDATA[5月18日国盟CISSP每日一题]]> A. OSKit
B. LOMAC
C. SE Linux
D. Flask

答案回复可见

(回复可见内容)
]]> <![CDATA[5月18日国盟CISM每日一题]]> A.  Justification of the security budget must be continually made.
B.  New vulnerabilities are discovered every day.
C.  The risk environment is constantly changing.
D.  Management needs to be continually informed about emerging risks.

答案回复可见

(回复可见内容)

]]> <![CDATA[iCloud服务器疑被黑 引起用户质疑]]> iCloud服务器疑被黑 引起用户质疑




 看来云服务也远没有人们想象中的那样安全。近日根据AppleInsider报道,一部分iCloud用户宣称其账号已被盗用。这引起了人们的不断猜测,认为苹果的服务器已出现了安全漏洞。

  这些关于账号被盗用的宣称来自一个苹果支持的论坛社区。一位ID为“solargaze,”的网友发现,他的Me.com邮箱从本周三开始就在不断向外送出垃圾邮件,而他此前从来没有用过MobileMe的邮箱。对此他表示,自己的邮箱密码完全随机生成,由15个数字、字母和符号混合组成,因此几乎不可能为外人所猜到。

  此外还有许多用户也反映了相同的情况,他们中的大部分人也信誓旦旦地保证自己的密码安全度已经足够高了。不仅如此,用户们还表示,这些垃圾邮件仅仅被送往那些与iCloud同步的联系人手上,而保存在Microsoft Outlook和Mozilla Thunderbird中的联系人并未收到垃圾邮件。综合以上情况,不能不让人们提出质疑:iCloud的服务器是不是已经被黑了?

  据报道,目前为止苹果也只是为这些反映问题的用户移除了账户上的所有联系人,并未对此作出什么评论,我们将关注进一步的消息。

来源:weiphone

]]> <![CDATA[逾6成IT精英每周工作时长超80小时]]> 逾6成IT精英每周工作时长超80小时

日前,猎聘网对其站内 5000 名会员发起了“你每天多少时间用在工作上”的调研,参与调研的会员均为 28 岁以上、工作 5 年以上的职场精英。调查结果显示,累计每周的工作时长, 67% 的受访者超过 80 个小时, 26% 的受访者在 50-80 小时之间,仅有 7% 的受访者表示几乎不怎么用加班,能够维持在 40-50 小时之间。除去每个工作日 8 小时的正常工作时长,其他的工作占时主要分布在日常工作延时、职场充电以及人脉经营。


企业工作量普遍超负荷
人力成本是企业最大的一项支出,企业为员工支出的费用至少是他所能拿到薪资的 1.5 倍左右,这直接决定了企业在用人的时候,会“用”得很彻底!而市场带来的激烈竞争,也的确让各家公司的老板和员工都必须一门心思扑在工作上才可以。在调研中发现,即使是那“ 7% 几乎不用加班的人”也很少有每天下班就回家的时候,其他的受访者均表示,几乎每天都会有一些事情拖延下班时间,回家加班赶写一些方案、总结更是家常便饭。在一家互联网公司从事软件开发的工程师夏先生计算了一下,他到公司快 2 年的时间,不加班的时候不超过 20 天。

竞争残酷逼迫职场人不断给自己加码
企业外部的竞争硝烟四起,企业内部的人才竞争更是残酷激烈,作为一名职场人,所面对的对手,不仅是和你具备相同能力的人,还有老板的期望、竞争对手的成绩,以及行业和企业飞速发展所带来的挑战等。为了不被淘汰,每个职业经理人都要像一块海绵一样快速的吸收各种知识,不断提升自己的业务能力、管理能力、沟通能力……。崔女士做总裁助理很多年了,每次总裁出差去一个新的地方,她除了准备好业务相关的一切材料外,还会花大量业余时间将当地的风土人情,名胜古迹,行车路线、天气等情况做一个细致总结,几个小时的辛苦,只会偶尔换得老板的一句“恩,不错”,但是崔女士觉得很值得!“纯粹比拼业务技能,没有人具备不可替代性,我想有更稳定的发展,只能比别人做得更细致、更全面、更用心”。

职场发展人脉至关重要
人在职场,就免不了有需要协作、需要别人帮助的时候。以前大家认为自己需要维护好的关系是和上司的关系以及和客户的关系,但是现在人们越来越多的认识到,你能接触到的每个人都是你必须要维护的关系,维护好和下属的关系,有利于提升你的团队作战能力;维护好和其他部门的关系,有利于你快速推进各项事务……各种脉络的人际关系经营,比如:对客户的商务宴请、参加同事的婚礼庆典、记住核心人物的生日喜好等等,会占去职场人很多心思和精力,但这又成为每个人职业发展不可或缺的一个环节,毕竟独木难成林。

猎聘网CEO戴科彬表示:这个调查是在管理层中进行的,显示出来的结果也属正常,想在事业上走的比别人高远,注定就要比别人付出多一些。他更有感触的是最后一点,“从猎聘网的后台数据就可以很清楚的看出,对于人脉的重要性,大家的认知在不断加深,有很多职业经理人来到猎聘网时并不是失业状态,他们就是来和猎聘网上的猎头交朋友的。我们曾经做过用户访谈,他们觉得找工作不是长期需求,但是猎头人脉可以一直伴随职业发展,而且这种人脉多多益善,等你需要换工作的时候再去找猎头,或者等着被猎头找,都太被动了!”



来自:互联网
]]> <![CDATA[COSO发布企业内控新框架]]>
本报讯记者刘江涛报道近日,财政部会计司根据美国科索委员会(COSO)发布的新《企业内部控制整体框架》(征求意见稿),并结合国际内部控制和风险管理领域的最新研究成果和发展趋势,对新时期我国企业内部控制规范体系的完善和实施,提出了工作建议。

工作建议包括加强与COSO委员会的沟通,建立定期联系机制;结合我国企业内控规范体系实施试点情况,积极反馈意见;跟踪新框架的最新进展,做好新框架的研究翻译工作;进一步完善我国的内控规范体系,推动与COSO内控框架的趋同工作。

据了解,COSO发布的新框架的变化主要体现在:注重原则导向的方法,明确目标设定在内部控制中的角色,强化公司治理的理念,扩大了报告的范畴,增加了反欺诈与反腐败的内容,考虑了不同商业模式和组织结构的内部控制等六个方面。

]]> <![CDATA[工信部《互联网行业“十二五”发展规划》]]> 一、发展现状 .......................................... 1
(一)互联网应用迅猛发展 ........................... 1
(二)互联网基础设施能力持续提升 ................... 2
(三)互联网技术创新能力不断增强 ................... 2
(四)具有国际影响力的互联网产业初步形成 ........... 3
(五)互联网行业管理体系基本建立 ................... 3
(六)互联网成为经济社会发展的重要引擎和基础平台.... 4
二、发展形势 .......................................... 5
(一)互联网的战略性基础设施地位更加突出 ........... 5
(二)互联网应用不断开创发展新愿景 ................. 5
(三)互联网技术变革和网络演进加速推进 ............. 6
(四)网络与信息安全挑战更趋严峻 ................... 6
(五)全球互联网管理力度不断加大 ................... 7
(六)我国互联网处在创新提升的重要关口 ............. 7
三、指导思想、基本原则和发展目标 ...................... 8
(一)指导思想和基本原则 ........................... 8
(二)发展目标 .................................... 10
四、发展任务 ......................................... 12
(一)创新应用体系,培育发展互联网新兴业态 ........ 12
(二)服务两化融合,全面支撑经济社会发展 .......... 14
(三)建设“宽带中国”,推进网络基础设施优化升级 ... 16
(四)推进整体布局,向下一代互联网发展演进 ........ 17
(五)突破关键技术,夯实核心基础产业 .............. 18
(六)加强顶层设计,建立先进完备的互联网标准体系... 19
(七)完善监管体系,打造诚信守则的互联网市场环境... 19
(八)健全制度手段,强化互联网基础管理 ............ 21
(九)加强体系建设,提升网络与信息安全保障能力 .... 21
五、保障措施 ......................................... 22
(一)完善保障互联网健康发展的行业管理法律制度 .... 22
(二)加强互联网管理制度和管理能力建设 ............ 23
(三)建立互联网健康发展的引导机制 ................ 23
(四)加强互联网基础设施建设的政策支持 ............ 24
(五)推动完善互联网发展的财税金融与知识产权政策... 24
(六)培育和扶持互联网中小企业成长 ................ 25
(七)加强互联网专业人才体系建设 .................. 26
(八)推动完善互联网国际治理机制 .................. 26
本帖包含的部分附件只能 访问 社区查看
]]> <![CDATA[台湾互联网殭尸网络感染程度列全球第二]]> 据今日新闻网报道,自去年起,全球即不断传出黑客组织发动攻击的消息,机关单位、企业组织都曾被入侵,而手机诈骗App、钓鱼网站等攻击方式也越来越常见,在日益热络的网络活动背后恶意攻击的行为也在悄悄成长。
        全球知名信息安全公司赛门铁克最近发布第17 期《全球网络安全威胁研究报告》,报告显示,去年全球被发现的安全漏洞数量虽然减少20%,但恶意攻击数量却攀升了81%,同时,今年特定恶意变种程序数量较2011年则上升了41%。此外,各项针对性攻击已散布至所有规模的企业组织和员工,数据外泄事件不断增加,攻击者更将火力集中于行动威胁。
报告更指出,台湾在全球各个国家和地区的殭尸网络感染程度排名第2(仅次于美国),较2010年上升1名,在亚太区更是排名称冠,显示僵尸网络(BotNets)为台湾网络最大的安全隐忧。此外,台湾在亚太区恶意程序活动来源地和钓鱼网站发起地等排名中均高居前3大。]]> <![CDATA[黑客修改邮箱骗取货款案频发外贸企业须警惕]]>
宁波日报记者王晓峰通讯员刘建华冯涛
黑客入侵外贸企业电子邮箱的案件近来屡见报端。然而这类案件因涉及多个国家,最后只能不了了之。宁波是中小型外贸企业众多的城市,同样深受其害。这种跨国诈骗案出现于去年年初。据悉,仅今年年初以来我市就有数十家外贸公司被骗,涉及镇海、北仑、鄞州、余姚、慈溪等地,涉案金额超过三百万美元。对此,警方提醒外贸企业,赶紧对自己的邮箱进行全面检查,别让“李鬼”给坑了。
  黑客入侵企业邮箱骗货款愈演愈烈
  4月13日上午,东钱湖警方分别接到了当地一家外贸企业业主董先生和意大利佛罗伦萨马克先生的报警,称双方约定的货款被黑客“吞”了。警方介入了调查,发现嫌犯指令汇款的企业是福建福安市一家知名企业。这笔被骗走的钱变成了一尼日利亚客商经意大利汇来的“货款尾单”(详见本报4月24日报道)。
  同样的一幕在4月11日发生。鄞州一外贸公司从今年2月份以来,陆续几笔欧洲汇来的货款神秘“消失”,原来是黑客做的手脚。总额22万多美元的汇款没了,还让企业蒙受不白之冤,这样的事情让企业业主很郁闷。
  “现在黑客入侵企业电子邮箱诈骗的案子相当多。就笔者所知,近期鄞州古林就有6家被骗,邱隘3家。我们前往福建福安调查时,当地好多企业向我们反映,遭遇过类似的事情。”东钱湖公安分局侦查大队大队长吴寒冰说,这种跨国诈骗案因信息交流困难,最后往往不了了之。犯罪分子因此“有恃无恐”,类似案件愈演愈烈。



]]> <![CDATA[中兴证实Score机型存安全漏洞将尽快推补丁]]>

腾讯科技讯 (汤姆) 北京时间5月18日消息,据国外媒体报道,全球第四大手机制造商中兴通讯日前证实,公司在美国销售的一款手机存在安全漏洞,他人可利用此漏洞取得手机控制权。

中兴称搭载安卓系统的Score型手机存在安全漏洞,手机安全机构CrowdStrike联合创始人迪米特里·阿尔佩罗维奇(Dmitri Alperovitch)称此漏洞极为罕见:“我从未见过这类漏洞黑客可利用此后门漏洞借硬件密码控制手机设备。” 据悉,中兴此次的漏洞报告本周由匿名人士发布在代码共享网站pastebin.com上。此外,也有消息称中兴的Skate型手机也有此问题,漏洞所用的密码也已公布在网络上。

中兴通讯称已证实Score型手机存在漏洞,但否认其他机型也受到影响。

中兴通讯在一份电邮中表示:“中兴已着手研发系统补丁,并将尽快在线修复这一漏洞,们希望受此影响用户尽快下载并安装补丁。”

中兴通讯和设备制造商华为近期在美国的市场受到了此次后门事件不小的影响,上月美国国会批准了一项在美国核设施机构内查找并移除两家公司生产设备的行政命令

]]> <![CDATA[2012年6月9日CISSP北京考试地点]]> ]]> <![CDATA[Information Security Principles and Practice (2006) from Wiley]]> Preface xv
About The Author xix
Acknowledgments xxi
1 INTRODUCTION . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1
1.1 The Cast of Characters . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1
1.2 Alice’s Online Bank . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1
1.2.1 Confidentiality, Integrity, and Availability . . . . . . . . . . . . . 2
1.2.2 Beyond CIA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
1.3 About This Book . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
1.3.1 Cryptography . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
1.3.2 Access Control . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
1.3.3 Protocols . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
1.3.4 Software . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
1.4 The People Problem . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
1.5 Principles and Practice . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
1.6 Problems . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
2 CRYPTO BASICS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
2.1 Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
2.2 How to Speak Crypto . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
2.3 Classic Crypto . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
2.3.1 Simple Substitution Cipher . . . . . . . . . . . . . . . . . . . . . . . 13
2.3.2 Cryptanalysis of a Simple Substitution . . . . . . . . . . . . . . . 15
2.3.3 Definition of Secure . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
2.3.4 Double Transposition Cipher . . . . . . . . . . . . . . . . . . . . . . 17
2.3.5 One-Time Pad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
2.3.6 Project VENONA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
viii CONTENTS
2.3.7 Codebook Cipher . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
2.3.8 Ciphers of the Election of 1876 . . . . . . . . . . . . . . . . . . . . 24
2.4 Modern Crypto History . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
2.5 A Taxonomy of Cryptography . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
2.6 A Taxonomy of Cryptanalysis . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
2.7 Summary . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
2.8 Problems . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
3 SYMMETRIC KEY CRYPTO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33
3.1 Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33
3.2 Stream Ciphers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34
3.2.1 A5/1 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34
3.2.2 RC4 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36
3.3 Block Ciphers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38
3.3.1 Feistel Cipher . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38
3.3.2 DES . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39
3.3.3 Triple DES . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44
3.3.4 AES . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45
3.3.5 Three More Block Ciphers . . . . . . . . . . . . . . . . . . . . . . . 48
3.3.6 TEA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49
3.3.7 Block Cipher Modes . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50
3.4 Integrity . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54
3.5 Summary . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55
3.6 Problems . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56
4 PUBLIC KEY CRYPTO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61
4.1 Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61
4.2 Knapsack . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63
4.3 RSA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66
4.3.1 RSA Example . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67
4.3.2 Repeated Squaring . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68
4.3.3 Speeding Up RSA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69
4.4 Diffie-Hellman . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70
4.5 Elliptic Curve Cryptography . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72
4.5.1 Elliptic Curve Math . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72
4.5.2 ECC Diffie-Hellman . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74
4.6 Public Key Notation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75
4.7 Uses for Public Key Crypto . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76
4.7.1 Confidentiality in the RealWorld . . . . . . . . . . . . . . . . . . . 76
4.7.2 Signatures and Non-repudiation . . . . . . . . . . . . . . . . . . . . 76
4.7.3 Confidentiality and Non-repudiation . . . . . . . . . . . . . . . . . 77
4.8 Public Key Infrastructure . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79
4.9 Summary . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81
4.10 Problems . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81
5 HASH FUNCTIONS AND OTHER TOPICS . . . . . . . . . . . . . . . . . . . . . . 85
5.1 What is a Hash Function? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85
5.2 The Birthday Problem . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86
5.3 Non-Cryptographic Hashes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88
5.4 Tiger Hash . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89
5.5 HMAC. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93
5.6 Uses of Hash Functions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95
5.6.1 Online Bids . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95
5.6.2 Spam Reduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95
5.7 Other Crypto-Related Topics . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96
5.7.1 Secret Sharing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97
5.7.2 Random Numbers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98
5.7.3 Information Hiding . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100
5.8 Summary . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104
5.9 Problems . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104
6 ADVANCED CRYPTANALYSIS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109
6.1 Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109
6.2 Linear and Differential Cryptanalysis . . . . . . . . . . . . . . . . . . . . . . 110
6.2.1 Quick Review of DES . . . . . . . . . . . . . . . . . . . . . . . . . . 110
6.2.2 Overview of Differential Cryptanalysis . . . . . . . . . . . . . . . 111
6.2.3 Overview of Linear Cryptanalysis . . . . . . . . . . . . . . . . . . 114
6.2.4 Tiny DES . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115
6.2.5 Differential Cryptanalysis of TDES . . . . . . . . . . . . . . . . . 117
6.2.6 Linear Cryptanalysis of TDES . . . . . . . . . . . . . . . . . . . . . 122
6.2.7 Block Cipher Design . . . . . . . . . . . . . . . . . . . . . . . . . . . 124
6.3 Side Channel Attack on RSA . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125
6.4 Lattice Reduction and the Knapsack . . . . . . . . . . . . . . . . . . . . . . . 128
6.5 Hellman’s Time-Memory Trade-Off . . . . . . . . . . . . . . . . . . . . . . . 134
6.5.1 Popcnt . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134
6.5.2 Cryptanalytic TMTO . . . . . . . . . . . . . . . . . . . . . . . . . . . 135
6.5.3 Misbehaving Chains . . . . . . . . . . . . . . . . . . . . . . . . . . . . 139
6.5.4 Success Probability . . . . . . . . . . . . . . . . . . . . . . . . . . . . 143
6.6 Summary . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 144
6.7 Problems . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 144
II ACCESS CONTROL 151
7 AUTHENTICATION . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 153
7.1 Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 153
7.2 Authentication Methods . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 154
7.3 Passwords . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 154
7.3.1 Keys Versus Passwords . . . . . . . . . . . . . . . . . . . . . . . . . . 155
7.3.2 Choosing Passwords . . . . . . . . . . . . . . . . . . . . . . . . . . . . 156
7.3.3 Attacking Systems via Passwords . . . . . . . . . . . . . . . . . . . 158
7.3.4 Password Verification . . . . . . . . . . . . . . . . . . . . . . . . . . . 158
7.3.5 Math of Password Cracking . . . . . . . . . . . . . . . . . . . . . . 159
7.3.6 Other Password Issues . . . . . . . . . . . . . . . . . . . . . . . . . . 162
7.4 Biometrics . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 163
7.4.1 Types of Errors . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 164
7.4.2 Biometric Examples . . . . . . . . . . . . . . . . . . . . . . . . . . . . 165
7.4.3 Biometric Error Rates . . . . . . . . . . . . . . . . . . . . . . . . . . . 170
7.4.4 Biometric Conclusions . . . . . . . . . . . . . . . . . . . . . . . . . . 170
7.5 SomethingYou Have . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 170
7.6 Two-Factor Authentication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 172
7.7 Single Sign-On andWeb Cookies . . . . . . . . . . . . . . . . . . . . . . . . . 172
7.8 Summary . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 173
7.9 Problems . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 173
8 AUTHORIZATION . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 177
8.1 Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 177
8.2 Access Control Matrix . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 178
8.2.1 ACLs and Capabilities . . . . . . . . . . . . . . . . . . . . . . . . . . 178
8.2.2 Confused Deputy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 180
8.3 Multilevel Security Models . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 181
8.3.1 Bell-LaPadula . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 182
8.3.2 Biba’s Model . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 184
8.4 Multilateral Security . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 184
8.5 Covert Channel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 186
8.6 Inference Control . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 188
8.7 CAPTCHA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 189
8.8 Firewalls . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 191
8.8.1 Packet Filter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 192
8.8.2 Stateful Packet Filter . . . . . . . . . . . . . . . . . . . . . . . . . . . 193
CONTENTS xi
8.8.3 Application Proxy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 194
8.8.4 Personal Firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 195
8.8.5 Defense in Depth . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 195
8.9 Intrusion Detection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 196
8.9.1 Signature-Based IDS . . . . . . . . . . . . . . . . . . . . . . . . . . . 198
8.9.2 Anomaly-Based IDS . . . . . . . . . . . . . . . . . . . . . . . . . . . . 199
8.10 Summary . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 203
8.11 Problems . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 203
III PROTOCOLS 207
9 SIMPLE AUTHENTICATION PROTOCOLS . . . . . . . . . . . . . . . . . . . . . 209
9.1 Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 209
9.2 Simple Security Protocols . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 210
9.3 Authentication Protocols . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 212
9.3.1 Authentication Using Symmetric Keys . . . . . . . . . . . . . . . 215
9.3.2 Authentication Using Public Keys . . . . . . . . . . . . . . . . . . 217
9.3.3 Session Keys . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 218
9.3.4 Perfect Forward Secrecy . . . . . . . . . . . . . . . . . . . . . . . . . 220
9.3.5 Mutual Authentication, Session Key, and PFS . . . . . . . . . . 222
9.3.6 Timestamps . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 222
9.4 Authentication and TCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 224
9.5 Zero Knowledge Proofs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 226
9.6 The Best Authentication Protocol? . . . . . . . . . . . . . . . . . . . . . . . . 230
9.7 Summary . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 230
9.8 Problems . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 230
10 REAL-WORLD SECURITY PROTOCOLS . . . . . . . . . . . . . . . . . . . . . . 235
10.1 Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 235
10.2 Secure Socket Layer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 236
10.2.1 SSL and the Man-in-the-Middle . . . . . . . . . . . . . . . . . . . . 238
10.2.2 SSL Connections . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 238
10.2.3 SSL Versus IPSec . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 239
10.3 IPSec . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 240
10.3.1 IKE Phase 1: Digital Signature . . . . . . . . . . . . . . . . . . . . . 241
10.3.2 IKE Phase 1: Symmetric Key . . . . . . . . . . . . . . . . . . . . . . 243
10.3.3 IKE Phase 1: Public Key Encryption . . . . . . . . . . . . . . . . . 243
10.3.4 IPSec Cookies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 245
10.3.5 IKE Phase 1 Summary . . . . . . . . . . . . . . . . . . . . . . . . . . 246
10.3.6 IKE Phase 2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 246
xii CONTENTS
10.3.7 IPSec and IP Datagrams . . . . . . . . . . . . . . . . . . . . . . . . . 247
10.3.8 Transport and Tunnel Modes . . . . . . . . . . . . . . . . . . . . . . 247
10.3.9 ESP and AH . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 248
10.4 Kerberos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 250
10.4.1 Kerberized Login . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 251
10.4.2 Kerberos Ticket . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 251
10.4.3 Kerberos Security . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 252
10.5 GSM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 253
10.5.1 GSM Architecture . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 254
10.5.2 GSM Security Architecture . . . . . . . . . . . . . . . . . . . . . . . 255
10.5.3 GSM Authentication Protocol . . . . . . . . . . . . . . . . . . . . . 257
10.5.4 GSM Security Flaws . . . . . . . . . . . . . . . . . . . . . . . . . . . 257
10.5.5 GSM Conclusions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 259
10.5.6 3GPP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 260
10.6 Summary . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 260
10.7 Problems . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 261
IV SOFTWARE 265
11 SOFTWARE FLAWS AND MALWARE . . . . . . . . . . . . . . . . . . . . . . . . 267
11.1 Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 267
11.2 Software Flaws . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 268
11.2.1 Buffer Overflow. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 270
11.2.2 Incomplete Mediation . . . . . . . . . . . . . . . . . . . . . . . . . . . 279
11.2.3 Race Conditions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 279
11.3 Malware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 281
11.3.1 Brain . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 282
11.3.2 MorrisWorm . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 282
11.3.3 Code Red . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 283
11.3.4 SQL Slammer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 284
11.3.5 Trojan Example . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 284
11.3.6 Malware Detection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 285
11.3.7 The Future of Malware . . . . . . . . . . . . . . . . . . . . . . . . . . 287
11.3.8 Cyber Diseases Versus Biological Diseases . . . . . . . . . . . . 289
11.4 Miscellaneous Software-Based Attacks . . . . . . . . . . . . . . . . . . . . . 289
11.4.1 Salami Attacks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 289
11.4.2 Linearization Attacks . . . . . . . . . . . . . . . . . . . . . . . . . . . 290
11.4.3 Time Bombs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 291
11.4.4 Trusting Software . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 292
11.5 Summary . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 292
11.6 Problems . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 292
12 INSECURITY IN SOFTWARE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 295
12.1 Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 295
12.2 Software Reverse Engineering . . . . . . . . . . . . . . . . . . . . . . . . . . . 296
12.2.1 Anti-Disassembly Techniques . . . . . . . . . . . . . . . . . . . . . 300
12.2.2 Anti-Debugging Techniques . . . . . . . . . . . . . . . . . . . . . . 301
12.3 Software Tamper Resistance . . . . . . . . . . . . . . . . . . . . . . . . . . . . 302
12.3.1 Guards . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 302
12.3.2 Obfuscation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 302
12.3.3 Metamorphism Revisited . . . . . . . . . . . . . . . . . . . . . . . . 303
12.4 Digital Rights Management . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 304
12.4.1 What is DRM? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 305
12.4.2 A Real-World DRM System . . . . . . . . . . . . . . . . . . . . . . 308
12.4.3 DRM for Streaming Media . . . . . . . . . . . . . . . . . . . . . . . 310
12.4.4 DRM for a P2P Application . . . . . . . . . . . . . . . . . . . . . . . 312
12.4.5 DRM in the Enterprise . . . . . . . . . . . . . . . . . . . . . . . . . . 313
12.4.6 DRM Failures . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 314
12.4.7 DRM Conclusions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 314
12.5 Software Development . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 315
12.5.1 Open Versus Closed Source Software . . . . . . . . . . . . . . . . 316
12.5.2 Finding Flaws . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 318
12.5.3 Other Software Development Issues . . . . . . . . . . . . . . . . . 318
12.6 Summary . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 321
12.7 Problems . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 322
13 OPERATING SYSTEMS AND SECURITY . . . . . . . . . . . . . . . . . . . . . . 325
13.1 Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 325
13.2 Operating System Security Functions . . . . . . . . . . . . . . . . . . . . . . 326
13.2.1 Separation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 326
13.2.2 Memory Protection . . . . . . . . . . . . . . . . . . . . . . . . . . . . 326
13.2.3 Access Control . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 328
13.3 Trusted Operating System . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 328
13.3.1 MAC, DAC, and More . . . . . . . . . . . . . . . . . . . . . . . . . . 329
13.3.2 Trusted Path . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 330
13.3.3 Trusted Computing Base . . . . . . . . . . . . . . . . . . . . . . . . . 331
13.4 Next Generation Secure Computing Base . . . . . . . . . . . . . . . . . . . 333
13.4.1 NGSCB Feature Groups . . . . . . . . . . . . . . . . . . . . . . . . . 334
13.4.2 NGSCB Compelling Applications . . . . . . . . . . . . . . . . . . 336
13.4.3 Criticisms of NGSCB . . . . . . . . . . . . . . . . . . . . . . . . . . . 336
13.5 Summary . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 338
13.6 Problems . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 338
A-1 Network Security Basics . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 341
A-1.1 Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 341
A-1.2 The Protocol Stack . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 342
A-1.3 Application Layer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 343
A-1.4 Transport Layer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 345
A-1.5 Network Layer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 347
A-1.6 Link Layer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 349
A-1.7 Conclusions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 350
A-2 Math Essentials . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 351
A-2.1 Modular Arithmetic . . . . . . . . . . . . . . . . . . . . . . . . . . . . 351
A-2.2 Permutations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 352
A-2.3 Probability . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 353
A-2.4 Linear Algebra . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 353
A-3 DES S-Boxes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 355
ANNOTATED BIBLIOGRAPHY 359
INDEX 381
本帖包含的部分附件只能 访问 社区查看
]]> <![CDATA[我该不该买Facebook的股票]]> 我该不该买Facebook的股票
美国时间2012年5月18日,成立8年的Facebook终于开始在纳斯达克上市,开盘价格为42.05美元,比38美元的发行价上涨了13%。不过可惜当天的表现虎头蛇尾,此后很长一段时间股价都在发行价线上下挣扎,几经努力,华尔街的银行家最终还是让这只新股发行首日避免了破发的命运,以38.23美元报收。ATD因此以四格漫画的形式提出了一个问题:我该不该买Facebook股票?我们汉化如下:



来自:36氪

]]> <![CDATA[期货信息技术发展概括及人才发展战略]]>   刘铁斌:各位领导,各位同志大家下午好。
  大家知道,期货公司新系统的基础以及管理水平,现在已经成为稳定市场运行的核心环节,以及公司重要的战略,并成为期货公司的核心竞争力,我们现在与其他的金融市场的联系更加紧密,也对期货公司的信息技术和信息技术的管理水平提出了更高的要求。
  今年有可能国债会推出,石油产品可能也会推出,不仅涉及到境内的期货交易,也会涉及到境外的期货交易,我们在建设方面,在管理方面会更加重要。不光是搞我们自己的运维管理,同时我们要对外还有很多的联络。所以对期货公司的新技术这块是越来越重要。
  首先看一下我们去年做了哪些工作,我们对期货公司信息技术管理指引做了全面的修订,把二类加到了一类当中,同时包括机房监控,也进行了新的设计和要求。去年我们还进行了个技术升级检查工作,有50家提出申请,39家公司通过检查。到现在为止已经有1家达到四类要求,有34家达到三类要求,占到21,二类公司有83家,一类公司现在只有44家,但是占比占27%,还有两家尚未达到一类要求。
  我们证监会颁布了行业内的等级保护要求,今年也在极力推广行业的测评工作,我们期货公司基本上属于二级水平,你有10家交易会员你的系统才是三级。所以二级这样的公司,我们要求只是我们主动去备份就可以,我们自己进行自查,这种情况下我们是不必要强制的让他们去进行测评,所以这块跟三级四级不一样,四级是每半年检查一次,三级是每年检查一次,我们二级只是报备就可以了。
  去年我们有期货协会和证券协会联合搞了2011年的期货期货科学技术奖,去年我们26家上报了奖项,其中有8家公司总共获得了9个奖项,这是非常可喜可贺的,说明我们期货公司在近一年对信息技术系统的升级改造,和加强信息技术管理这方面,我们现在已经见到成效了,就是我们不断在推陈出新,不断对我们技术系统进行创新,这块是非常值得奖励的。
  因为证券那边可能会对获奖的单位,有可能要加入到分类监管里,看能不能加分,我们今年不一定能加得上,但是明年可能会推广这个事情,让大家能获得奖励。
  另外去年我们举办了无8期培训班,内容涉及行业信息技术指引,营业部运维,网络技操作系统安全,防病毒管理及常见故障处理等方面,培训人数达到1293人次,其中1232人通过培训考试,培训通过为95%。
  我们去年搞了行业托管机房和应用软件产品与技术服务公司要素指引,两个指引的征求意见搞已经向全行业广泛征求了意见。这个手册可能下半年能够推出来,行业内每人一本。
  从09年开始检查以后,整个期货行业整体硬件水平得到了很大的提高,我们现在机房这块总面积达到5万亩,尤其是我们机房包括检测系统,包括UPS,包括灭火系统,包括监控等等各方面,都比已经有了长足的进步。
  在IT投入方面,我们去年投入比前年少一些,总资产大概11亿多,比10年增长了19%。这是我们现在行业内IT设备的情况,我们总的IT资产的情况。这个是行业期货金融机构的自建及托管机房的基本情况。
  我们电力系统情况在这几年也有了比较大的改善,我们双路供电占到70%,说明我们在电力改造这方面也有了很大的进步。我们没有发电机,UPS带不起空调来,所以我们三类,包括四类,原来写UPS加发电机三类达到12小时,四类达到14小时,这块我们将来也会再改,UPS和发电机我们要单独分开来看。因为UPS只能带得动普通的服务器。这块是UPS,现在大家在硬件设施也是搞得不错。我们整个的系统80%到90%以上的设备,大概运行的饱和率在20%,有少部分系统的设备超过设备能力的8%,大概都在20%,所以赢余还是比较多的。这是托管机房的电力情况,双路供电占到99%。这是系统监控情况,大部分的公司实现了系统机房的自动键控,包括现在使用很多自动监控的软件。
  这是IT的投入情况,11年8亿8,比10年增加的11.17,增值非常大。我们现在IT投入占营业收入比达到7.6%。这是通讯链路的总体情况,每个交易所基本上都送了一条专线,自己又配了一条专线,我们每家公司在这块负担非常重,我们将来可能建统一的平台,统一的接口,将来大家不用拉那么多。现在大家都有通讯链路,都要接专线,这对我们是一个损耗,投入非常大。
  这是地面线路情况,还有灾备机房的地面线路情况,这是分支机构的地面线路情况。这是期货经营机构远程通讯的基本情况,网上信息系统托管机房线路是135条。这个是期货经营机构网上信息系统情况。现在也有部分公司采用手机交易,有86家公司提供手机交易,金额占比达到0.34%。同时我们还存在电话委托线路,因为电话这块在一定程度上作为网络交易的备份。
  这是网络交易身份认证的情况,有一些公司已经碰到账号被盗的情况,这些公司基本上私下就解决了,所以大家很多的情况还不太清楚,但是一旦被盗,属于是很严重的事情,给客户和公司造成很严重的损失。
  这是期货公司业务系统备份的情况,每天至少一次备份是157家,现在我们要求应该都要有异存放,现在还有30多家公司没有达到。
  这是通讯备份的情况,多线路多运营商线路有300多条。
  总的来看,2011年全行业对新技术的重视程度有了提高,期货公司对信息技术投入力度也在加大,IT部门在期货公司的地位提高,还有托管机房的新型模式也越来越受到亲睐。
  我们现在的人才还是偏运维管理的,主要以运维管理为主,我们在新技术开发现在明显不够,而且和发展方向是有很大矛盾的。
  我给大家介绍期货交易所去年的一个总体的情况,在系统建设方面,上期所在完善基础设施建设方面也做了很多工作,完善了基础设施建设,他们增加了设备和线路的温度检测,他们在传输系统和交易接入网优化方面做了一系列的工作,有效增加的行业的核心交易。
  大商所灾备中心总面积一千多平米,去年8月份已经完成的二期机房的验收工作。集成工作在2011年也基本上完成的各项集成工作,包括服务器,网络设备等等8个部分。大商所为市场会员、仓库,提供了完全的开发环境,到2011年底他的测试系统设计集成上线工作已经顺利完成。
  新建的稽查审查管理系统,对整个系统的各项功能,系统安全性进行了进一步加强。
  上期所把北京数据中心切换工作,在2011年组织了多次市场的演练测试工作,在11月25日,专门把张江主数据中心切换到北京数据中心,进行了运行,所有系统运行正常。在新技术管理体系方面,他们启动了SO20000万的管理工作,包括他的技术中心,在去年都通过了SO20000的认证,在应急演练方面,他们在去年8月份实施了网络防攻击演练。
  大商所在去年9月份组织了两次系统的应急演练工作,在信息技术标准化体系的建设与推荐方面,他们搞了咨询平台建设项目,完成的SO20000的认证工作。在去年成立的软件测试中心,90%的人员都通过了(英语)国际认证,测试中心在去年8月通过了(英语),成为行业内在大连惟一的一家国家级的软件测试。
  在系统优化方面制定了计划,将于12年底完成,设计能力将性能提升了是现在的1.5倍,新一代系统的建设工作现在已经开始,大概2012年完成,整个系统2015年上线。
  中金所在信息技术系统上线制度上提升了质量,在标准化和自动化方面开发了上线相关的设置,和检查自动发布等工具。在技术服务方面,二期机房新增了2200平方米。去年11月份他有6家期货公司完成的CPP双版本的上线。
  大商所在技术支持,和会员服务方面做了很多的工作。
  保证金监控中心他们的运行监控系统,在上半年制定了数据接口标准的工作。洋桥数据中心去年6月份正式启动,承担了主数据中心的功能。在安全管理方面搞了自查,信息安全保护这个方面。还有会内网涉密信息系统分级保护测评。
  这是期货公司IT人员的情况,2011年是2642人,占全员比重是9.6%。总部占54%,管理岗位占9.8%,运维82%,专职软件开发3.14%,这块是非常少的,安全14.69%,30岁以下人员占68%。
  总部技术人员的来源情况,应届毕业生占20%,交易系统开发商占6%。
  最近三年的总部技术人员流动情况,流出的情况还是比较少的。
  这是总部技术人员取得专业资格认证的情况,获得认证的人员比例还是比较小的,总共有各种认证的人员比例加起来就40%几,就是8、900人,大部分是没有证书的。
  这是我们职称的情况,工程师占6%。这是总部技术人员年龄构成的结果,主要是20到30岁,占16%。
  这是工作年限,最多的是2到5年和5到10年的。
  总体来看,我们现在感觉存在几方面的问题,一个是我们人才结构分布欠合理,高层次,高技术的人才不足。
  第二,IT人员工作认可度偏低。他们到底能发挥什么作用,包括期货公司内部也有很大的偏见,尤其是其他部门觉得我们IT人员不产生效益,不创造价值,我觉得这个观点也是有问题的。现在我们很多的技术人员实际上已经在很多业务部门进行开发客户的工作,很多技术开发人员在根据客户的需求,我们对客户进行一些定制开发。今后我们在这方面可能会更多的加强,因为每家公司要不同质化的进行管理的话,我们这块必须加强。
  另外就是行业安全人才的激励机制还有待完善。我们今后的人才发展战略,主要思想以高层次,高技能的人才队伍建设为重点,以充分发挥人才作用为根本,以科技创新为动力,努力建设一支专业精湛,技术过硬的人才队伍,为市场发展提供有利的人才保障。
  我们力争在十年内,能够在信息技术领域培养几十名具有较高知名度,在行业内有较大影响的信息技术专家。建立完善的后备技术人才储备机制。
  对策和策略,主要是四个方面,一个是我们现在研究尽力技术人员的支撑评定制度,构件人才评估体系,以德才兼备为要求,我们将来可以考虑设立初级,中级,高级不同层级的信息技术岗位。现在的人才发展战略都是在探讨阶段,只是我们的构想。
  我们对行业信息技术人员的评价,资格的获得采取考评结合的方式。每年都要组织考试,信息技术人员通过考核以后,可以取得职业证书,高级技术人员可以在期货公司根据技术人员的条件进行推荐。
  第二,鼓励创新,加强复合型人才培养和紧缺人才的引进。
  第一,我们从今年开始,建立远程教育培训体系,解决不同地区,不同岗位从业人员的培训需求。我们计划今年开展做很多课间,将来网上培训,可以解决大家对不同岗位人员的培训需求。
  第二,推进产学研合作,培养创新人才的策略。
  第三,注重信息技术领军人才的培养,实施走出去战略,与国外指明学府、培训机构建立畅销合作机制,开展多种形式的参观交流活动。
  第四,加大海外高层次技术人才的引进。
  第三,加大资金投入力度,重视IT人才基础建设。这块还要有经费的支持,我们设立人才培养基金,我们希望将来开设中国期货的信息网站,方便我们行业内人才的经验交流。
  第四,健全激励机制,营造良好行业氛围。引进以科学的绩效评价机制为目标的考核制度改革,建立健全完善的技术人员的考核机制,来客观有效的评估IT人才的工作价值,形成行业认可的IT工作的价值评价体系。我们采用了分类评定和分类推荐的方式,定期表彰在IT建设中表现出色的人才,这是我们一个整体的发展战略。今后具体怎么发展,怎么搞,我们后面还会研究探讨。我们现在最重要的是IT人才的建设,因为我们现在行业内IT人才流失非常大,好的人才大家都盯着,随着我们业务不断的扩大,很多保险公司,证券公司,基金公司,银行都在拉,所以在这块来讲,我们对后备人才建设方面一定要重视。
  我们对研发这块我们一定要努力提高。国外的金融机构IT人员的比例非常高,占整个人员的30%,我们现在才占8%点几,远远不够的。国外交易所人员就是IT公司,IT人员占50%以上。我们后面的发展还是有很大的潜力。重视人才,加强人才建设,我们公司的核心竞争力和核心价值才能得到逐步的体现,给客户提供个性化的服务,也是我们IT部门今后所面临的长期的任务和职责,尤其是技术推进业务发展这块,现在已经有很多公司开始摸索。
  现在我们很多公司的市场人员一点不懂技术,他们自己出去都不知道软件怎么用,我们有很多的交易截面的软件层出不穷,我们期货公司的内部的培养培训方面是远远不够的。我们技术人员够,但是他们和业务这块是完全脱节的。在这些方面我希望大家一定要跟自己的管理层,一定要讲到我们的这些问题。我今天就讲这么多,谢谢。]]> <![CDATA[他破解了iPhone和PS3 引发了黑客战争]]> 他破解了iPhone和PS3 引发了黑客战争        

        2007年夏季,世界上的第一台 iPhone 闪亮登场。但在它问世没多久后,就被天才小子——乔治·霍兹(George Hotz)破 解了。苹果公司在发布 iPhone 的时候,是以 AT&T合约机的形式发布的,也就是说 iPhone 的用户只能使用 AT&T公司的网络服务,而霍兹是T-mobile 的用户,他想对手上的 iPhone 进行改装,让其也能够在T-mobile 的网络下使用。没有什么能够难倒我们的天才破解。

        每个黑客要面临的最基本问题都一样——如何让机器运行根本就不该它运行的功能。霍兹认为,破解的核心在于让硬件能够接收到你的指令,并按接收到的指令去做,这有点像是催眠。几周后,他找到了基本的思路。

        凭借着一把螺丝刀和一个吉他拨片,霍兹撬开了 iPhone,找到了自己要找的东西——基带处理器。正是这小小的黑色塑料片,决定了 iPhone 只能在 AT&T的网络下工作。霍兹在基带处理器上焊进一条线,附上电压,扰乱了它的编码,实现了操控 iPhone 的目的。之后他为这台破解机写了一个程序,使其能够在任何运营商的网络下使用。

        次日一早,霍兹就迫不及待地用摄像机记录下了自己的“新闻发布会”,并把视频发送到 Youtube 上。这段展示全球首台破解版 iPhone 的视频很快就吸引了 200 万的访问量。霍兹也因此一举成名,成为“青年才俊击败苹果帝国”的知名黑客。马上,他通过网络将自制的破解 iPhone 进行拍卖,换得了一辆 Nissan 350Z 跑车和 3 台新 iPhone。

        在之后接受 CNBC 电视台采访时霍兹表示:“可以的话我想和乔布斯面对面聊一聊”。当然他没有得到这个机会,乔布斯在面对记者采访时说:“这好比一个猫抓老鼠的游戏,他们想方设法地破解,我们就想方设法阻止他们。”

        苹果和 AT&T则表示沉默。破解手机在美国是合法的,但有可能涉及到版权问题。因为很多运营商在售卖手机时事实上是赔本的,而利润要依靠于一些收费软件和用户每月的话费。不过同为苹果创建者的沃兹尼亚克(Steve Wozniak)给霍兹寄了一封贺信,对他的行为表示了赞赏。大概因为沃兹尼亚克年轻时也是黑客吧。在上世纪七十年代,他折腾出了一套可以免费打电话的黑客系统。他用这个系统冒充国务卿亨利·基辛格(Henry Kissinger)打电话给梵蒂冈教廷,想给自己谋一个主教当当。

        在破解了 iPhone,惹得一片掌声之后,霍兹找到了自己的下一个目标——江湖上号称铜墙铁壁坚不可摧,傲立三年未遭破解的,索尼旗舰之作 PlayStation 3。2009年 12 月 26 日,霍兹在自己的博客中写下一句话:“是时候了。”


        乔治·霍兹的成名正是源于破解 iPhone

        天才少年的一个侧面

        黑客这个词最初出现时,指的是那些研究机器机械的技术帝。他们不会做太过分的事,最多就是弄出些恶作剧。随着时间的推进,黑客这个词慢慢地变得 带有阴暗色彩,人们用它来形容那些窃取银行卡、摧毁公共电力系统的高科技罪犯。不过到了今天,这个词出现了两种截然相反的解释——“白帽黑客”和“黑帽黑客”。 “白帽黑客”指以消灭电脑病毒为己任的技术帝,比如军队里的网络防御专家,“黑帽黑客”指那些以科技手段进行违法犯罪行径的个人。根据美国国土安全部 (the Department of Homeland Security)的报导,仅在去年十月到今年三月间美国国内就发生了五万起黑客闯入。

        天才小子霍兹自然不是黑帽黑客,他破解的目的在于观测和非恶意的改装。对他来说,破解更像是一种竞技,是一种技术较量。他 在 5 岁就写出了自己的第一套电脑程序,14岁凭借自制的测绘机器人入围英特尔国际科学与工程大奖赛(Intel International Science and Engineering Fair)决赛,高中时期就制作出了科幻读物中才会出现的脑电波控制系统(系统还在初级阶段),2007年又再次入围英特尔国际科学与工程大奖赛决赛。对 他来说,破解硬件就像是一种竞技,是他和硬件创造者之间的一种技术较量。

        《纽约客》的记者在去年六月对霍兹进行了一次采访,霍兹穿着随意,房间里散落着废弃的红牛空罐与其他生活垃圾,厨房中贴满了外卖单。除了三个巨型电脑屏幕外,房间里还有一块教学白板,上面潦草地记载着大量的备忘录和运算公式。“我是天生的黑客,”霍兹对记者说,“我不是因为某种理念而成为黑客,而是因为我无聊。……这玩意很刺激,破解就是和系统进行较量。我在和硬件原作者进行较量。当破解进入一台电脑系统时,我感觉自己充满了血性。”

        那天下午霍兹刚入手一台 iPad 2,他准备当晚就把它给破解了。“不过我还需要一条连接线。”霍兹与采访记者一同驾车到附近的电子店去采购所需物件。“当时已经是深夜了,”记者回忆道, “我们驾车往回走,车内的音乐隆隆作响。当我们到了一个了空旷的十字入口时正好碰上了红灯。只见霍兹一踩油门一甩方向盘,就从临近的停车位上掠过去了。” 霍兹对此的解释是,“我是有道德感的,但别指望我多尊重法律。你看这些操蛋的红灯,简直是浪费时间!都是些白痴在制定法律。”



        也许少年黑客只是想展现自己的强大

        破解 PS3,引发和索尼的冲突

        霍兹成功破解 iPhone 后声名鹊起,全世界的破解爱好者们都时不时地给他寄来一些电子设备,希望大神能够将其破解。就在这时,有人给他寄来了一台 PlayStation 3,告诉他这至今为止还无人足以破解。

        霍兹接受了挑战,却遭遇到前所未有的困难。经历了无数次的失败,数周之后霍兹终于写出了一套足有 500 行的代码,取得了成功。满眼血丝的他把程序命名为芬尼根守灵夜(Finnegans Wake,乔伊斯最后一部长篇小说,内容是有个搬砖工人芬尼根从梯子上跌落,大家都以为他死了,他却活了过来)。

        PS3被破解的消息发布到网上后,索尼紧急发布了系统补丁,但霍兹没有止步,他继续破解了升级版的 PS3,并掌握了 PS3 中的根密钥(Root Key)。被霍兹完全破解的 PS3 突破了一切限制,不仅可以卸载原有系统,还可以玩盗版游戏。在朋友的鼓动下,霍兹把 PS3 的最终越狱教程发到了网上。

        与苹果的宽容相反,索尼以违反“联邦反电脑欺诈与滥用法案”(Computer Fraud and Abuse Act)并侵犯了自己的版权为由,将霍兹告上法庭。一石激起千层浪,霍兹的支持者认为他的行为是在捍卫信息自由,索尼不仅愚蠢,而且侵犯了消费者对已购得商品的处置权。而索尼认为,霍兹的行为不仅侵犯了自己的版权,还引出了游戏作弊,对其他消费者也构成了侵犯,他们此举在于捍卫自己与其他消费者的权益。

        法院支持了索尼的控诉,判决霍兹不得再对索尼的产品进行破解或是传播破解信息,同时索尼还有权监控霍兹在 Paypal 的账户变动。更重要的是,索尼有权获得越狱视频观看者与下载者的 IP 地址,这一点引起了众怒。

        黑客团体的介入



        霍兹遭遇索尼起诉的事件引来了全球最有影响力的黑客组织 Anonymous 的注意。Anonymous 是一个全球化的民间匿名组织,其成员公开反对山达基教会(Church of Scientology),也曾因维基解密(Wikileaks)风波对政府网站下手。2011年 4 月 4 日,Anonymous 向公众发布新闻稿,要求索尼为它的行为付出代价,随后就黑掉了 sony.com 和 playstation.com。他们在 YouTube 上发布视频,发言人脸带组织的符号——盖伊·福克斯(Guy Fawkes,企图在国会大厦炸死英王詹姆士一世“火药阴谋”的策划者)的面具,要求索尼放弃一切诉讼,支持对 PS3 的破解。

        网络示 威与现实中的示 威游行并无大异,一旦有一两个骚动者出现,整个示 威人群就会陷入暴动情绪。Anonymous 中部分极端分子建立了一个针对索尼的组织——SonyRecon,在网上发布索尼高管的私人电话号码及家庭住址等信息,组织号召抗议者对索尼工作人员进行人身骚扰。

        霍兹面对事态如此的走向,表现出了极度的担忧。“我,乔治·霍兹,向来做事光明磊落,从不做违反道义的勾当。对于 Anonymous 的行为我表示极大的不认可与不赞同,也希望索尼别把这笔账算在我的头上。”

        在压力的面前,索尼与霍兹达成了和解。索尼放弃对霍兹的一切起诉,而霍兹终身不得涉足索尼产品的技术保护措施。不过双方的和解没有给事态带来任 何的和缓,霍兹的支持者对他遭受的任何限制都表现出愤怒与不妥协。抗议者走入索尼的门店进行示 威,而黑帽黑客踊跃地组织对索尼进行更大的网络进攻。



        黑客战争

        2011年 4 月 19 日,索尼(Sony Network Entertainment)的工作人员发现自己的四组服务器被非法入侵了,大约有 7700 万的用户信息数据被泄露,信息不仅包括了用户密码、生日、邮箱和居住地址等个人信息,还有可能包括了用户的信用卡数据等金融信息。索尼立即关闭相关服务器 进行紧急弥补,此举每周造成的损失达到一千万美金。面对这场轰动世界的索尼泄露用户信息事件,Anonymous 表示不对此事负责。

        2011年 4 月 29 日,霍兹通过网络对盗取用户信息的黑客发表了谴责。霍兹写道:“创造和探索是美好的,但即便是对待索尼这样的小人,盗窃都是最可耻的行为。你们在给黑客的名字抹黑。”同时,霍兹也感到,正是自己引发了这场风波。

        5月 1 日,索尼在线娱乐(Sony Online Entertainment)又被入侵,2400万用户信息被盗。索尼立即召开发布会,众高管在发布会上向公众鞠躬赔罪。

        祸不单行,又一个黑客团体 LulzSec 盯上了索尼。LulzSec 是 Anonymous 分裂出的一个小集团,破坏力和行动力不容小视。他们在同年 5 月 30 日入侵了美国公共广播公司(PBS)的网站,只因不满 PBS 对维基解密的创始人朱利安·阿桑奇(Julian Assange)做了负面报导。2011年 6 月 2 日,LulzSec 用 SQL 注入的方法入侵索尼电影公司(Sony Picture)服务器,声称盗出了超过百万份的用户密码。事后,他们解释说此次进攻只是为了揭露索尼在安保方面的短腿,并且号召广大黑客到索尼的服务器 去“各取所需”(take from them everything)。

        从此之后,黑客们又陆续对各大公司、组织的服务器发起进攻。在短短的一个夏天里,包括任天堂(Nintendo)、世嘉(Sega)、艺电 (Electronic Art)、新闻集团(the News Cooperation)、博思艾伦咨询公司(Booz Allen Hamilton)、北约(NATO)在内的公司组织都遭到了黑客入侵,连 Lady Gaga 的网络主页也未能幸免。LulzSec 宣称他们还攻入了美国中情局(C.I.A)的网站。

        面对由自己引起的这一切,霍兹表现得很沉稳。“他们最开始只是为了捍卫网络自由,却酿出这片腥风血雨。”在谈起黑客时,他继续说道,“我认为黑客只是一群有着电脑技术的人,而技术是无罪的。”

        退隐江湖

        2012年 3 月 6 日,美国官方对六名黑客提起了诉讼,执法机构透露六名黑客都是 Anonymous 和 LulzSec 组织的核心成员,但这六名黑客的被捕并没有敲响警钟,其余组织成员仍坚持将运动进行到底。当问起自己对此事件的感触时,霍兹表示自己已经退隐江湖了,不再 想对这些事做出道义上的评断,不过他也提出,如果从技术上看,他们还是不够老道,否则也不会锒铛入狱。

        据可靠的消息,索尼在纷争后曾邀请他到美国的总部,请他为 PS3 的工程师们讲课。霍兹经历了这一切后任职于 Facebook,没人知道他确切的工作是什么。记者再次对他进行采访时他说:“Facebook 是个好地方,有效率,很年轻。不过我可能不会做太久。“

        没有人知道他之后会去做什么,但他表示不会再把破解信息发布在网络上,“在这点上我已经毕业了。”他笑笑说道。



来自: 果壳网
]]> <![CDATA[ENISA云计算信息安全框架报告书]]> About ENISA....... 2
Contact details: .. 2
Target Audience. 5
Methodology ..... 5
1. Information Assurance Framework ..... 6
2. Managing risk ..... 7
3. Division of liabilities .... 7
4. Division of responsibilities.. 8
4.1. Software as a Service ...... 8
4.2. Platform as a Service ...... 9
4.3. Infrastructure as a Service ...... 9
4.3.1. Application Security in Infrastructure as a service ... 10
5. Note of caution  11
5.1. Note to governments ... 11
6. Information assurance requirements ....... 12
6.1. Personnel security  12
6.2. Supply-chain assurance  12
6.3. Operational security ..... 13
6.3.1. Software assurance .. 14
6.3.2. Patch management ... 14
6.3.3. Network architecture controls . 14
6.3.4. Host architecture ..... 15
6.3.5. PaaS – Application security ...... 15
6.3.6. SaaS – Application security ...... 15
6.3.7. Resource provisioning ...... 16
6.4. Identity and access management  16
6.4.1. Authorisation ... 16
6.4.2. Identity provisioning  17
6.4.3. Management of personal data  17
6.4.4. Key management ..... 17
6.4.5. Encryption  17
6.4.6. Authentication . 18
6.4.7. Credential compromise or theft ...... 18
6.4.8. Identity and access management systems offered to the cloud customer ..... 18
6.5. Asset management ...... 19
6.6. Data and Services Portability ....... 19
6.7. Business Continuity Management ....... 20
6.7.1. Incident management and response ....... 20
6.8. Physical security ... 22
6.9. Environmental controls  23
6.10. Legal requirements .. 24
本帖包含的部分附件只能 访问 社区查看
]]> <![CDATA[CISA中一个程序变更控制和源代码比较软件的问题]]> 2. 记得有一道题里说到正确的操作是“开发人员把源代码移交给维护人员,维护人员将源代码安装在生产环境中,然后编译形成应用程序。”那在保存的时候,这个和生产程序(production program)对应的source code是不是也是保存下来的?
3. 所谓的baseline是指这个source的版本吗?
4. 另外源代码比较软件是怎么使用的呢?运行的程序的源代码就是生产环境中保存的source code,那用于比对的那个source code是哪儿来的?
5. 程序变更控制对应的是生命周期的哪个阶段?能举些例子吗?]]> <![CDATA[CISA2011年100题中的一道题,求解释]]> A Advise on the adoption fo application controls to the new database software
B Provide future estimates of the licensing expenses to the projext team
C Recommend at the projext planning meeting how to improve the efficiency of the migration
D review the acceptance test case documentation before the tests are carried out

]]> <![CDATA[GBT24353标准]]> 本帖包含的部分附件只能 访问 社区查看]]> <![CDATA[信息安全意识海报第五版]]>



请大家多提宝贵意见!
我们会根据大家的意见,制作多个版本  
不过请示各位大牛把意见提供下,我们好改进!国盟将给给予国盟币奖励

这个我们现在争求大家的意见如下:
1、安全意识屏幕保护
2、安全意识海报
3、安全意识手册

当然我们制作完了会给大家免费下载,并技术更新多个版本!


企业需要定制化的话也是不收费的!


必尽自己制作的会在源文件上面改上企业的Logo和标志,免费给大家!


必尽我们是民间交流平台,我们也会努力为会员提供更多福利


不过只针对国盟的老会员!  


需要此海报的老会员请发送邮件至guomeng@cncisa.com


填写:
       公司:
       姓名:
       部门:
       职位:
       联系方式:
       QQ:
       MSN:
       定制logo:请把logo文件传一份给我们,AI格式最好,PSD也可以


我们收到邮件并审核通过之后会定制化海报logo随后联系您!]]>