2007-04-22

COBIT4.0中比较经典的图






阅读全文...

互联网安全攻击目标之DNS服务器[nEo原创]

1、概述

域名系统(DNS)是十分重要的Internet基础设施,它使用分布式数据库系统来实现主机名到IP地址的转换。DNS依赖于信任模型,该模型是在相互信任的时代开发的,与如今的Internet大相径庭。由于Internet本质发生了改变,攻击者利用DNS的信任机制来进行多种类型的攻击,包括缓冲区中毒,域劫持,中间人重定向。


在过去的一年中,通过僵尸网络(
botnets)对DNS服务器进行的攻击如下所示。

1)递归式拒绝服务攻击:僵尸主控机(Botmaster)在被入侵或为此攻击专门建立的DN S服务器上发布大量DNS记录。随后,Botmaster指挥僵尸网络向公共递归式名字服务器发送UDP/53询问的小数据包,其中包含有指向目标受害者的伪造的返回地址。导致的结果是递归式DNS服务器(而不是僵尸)直接攻击目标受害者。通过发送比典型UDP/53响应数据包更大的DNS记录可以让这种效果进一步放大, 从而强制执行TCP/53处理。

2)授权区域应答欺骗:Botmaster在被入侵Web服务器上建立假冒Web站点(钓鱼站点),然后指挥僵尸网络监听DNS请求,并欺骗对某一区域的应答,在该区域的应答均指向被入侵的Web服务器。该攻击的一个变种是通过修改受感染计算机的本地主机文件来达到目的,通常这个文件包含了指向假冒Web站点的入口。
2、如何确定你处于风险当中

3、如何防止DNS漏洞

4、参考资料

阅读全文(IT168)


阅读全文...

2007-04-20

咨询顾问是怎样炼成的?[转帖]

一个优秀的管理信息化领域的咨询顾问应该是一个全面发展具备多种能力的特种兵,不仅需要知识、技能,还需要悟性和综合能力。我一直在想到底怎样才算是真正的咨询顾问,一个优秀的管理信息化领域的咨询顾问是如何炼成的?

l、我所理解的咨询顾问应该扮演2种角色,掌握4种知识,具备4种能力。

2种角色是优秀的老师和优秀的医生。因为咨询顾问首先要具备丰富知识,能说能写,能指导别人做事,同时也要具有丰富的从业经验,像医生一样能迅速诊断病情,并给出治疗方案。

4 种知识是企业业务知识、企业管理知识、IT基本知识和咨询方法论。要指导玩游戏者,就必须知道游戏规则。作为顾问,必须对企业最基本的业务运作模式、业务 流程有概念,熟悉基本业务语言。其次,让企业信服的咨询顾问,一定是精通企业管理的专家,要深谙古今中外的管理理论,了解现代热点的管理话题并能讲出一二 三来。现在实所谓的e时代,IT的使用常识对任何一个普通人都是重要的。而对于咨询顾问,要做管理与信息化的结合,就必须对IT基本知识有所了解,核心是 数据库方面的基本知识、各种应用系统ERP、CRM、KM等软件产品及其厂商实施商的了解。而咨询方法论是公司长期运作思路、方法中精华的提炼和凝结,可 以帮助我们快速掌握咨询全貌,给我们的是一串已经串好的项链,而不是一个个零散的珍珠。

…………

查看原文


阅读全文...

2007-04-17

How COBIT 4.1 Changed From 4.0

COBIT 4.1, an incremental update to COBIT 4.0, includes:

  • Enhanced executive overview
  • Explanation of goals and metrics in the framework section
  • Better definitions of the core concepts. It is important to mention that the definition of a control objective changed, shifting more toward a management practice statement.
  • Improved control objectives resulting from updated control practices and Val IT development activity. Some control objectives were grouped and/or reworded to avoid overlaps and make the list of control objectives within a process more consistent. These changes resulted in the renumbering of the remaining control objectives. Some other control objectives were reworded to make them more action-oriented and consistent in wording. Specific revisions include:

    - AI5.5 and AI5.6 were combined with AI5.4
    - AI7.9, AI7.10 and AI7.11 were combined with AI7.8
    - ME3 was revised to include compliance with contractual requirements in addition to legal and regulatory requirements
  • Application controls have been reworked to be more effective, based on work to support controls effectiveness assessment and reporting. This resulted in a list of six application controls replacing the 18 application controls in COBIT 4.0, with further detail provided in COBIT Control Practices, 2nd Edition.
  • The list of business goals and IT goals in appendix I was improved, based on new insights obtained during validation research executed by the University of Antwerp Management School (Belgium).
  • The pull-out has been expanded to provide a quick reference list of the COBIT processes, and the overview diagram depicting the domains has been revised to include reference to the process and application control elements of the COBIT framework.
  • Improvements identified by COBIT users (COBIT 4.0 and COBIT Online) have been reviewed and incorporated as appropriate.

阅读全文...

2007-04-14

2007年CISSP认证参考


认证参考书籍:Official (ISC)2 Guide to the CISSP CBK
讨论:CISPS
阅读全文...

安全不是一件产品,它是一个过程

安全顾问布鲁斯 施尼尔(Bruce Schneier):“安全不是一件产品,它是一个过程。”
近一步说,安全不是技术问题,它是人和管理的问题。由于开发商不断的创造出更好的安全科技产品,攻击者利用技术上的漏洞变得越来越困难。于是,越来越多的人转向利用人为因素的手段来进行攻击。穿越人这道防火墙十分容易,只需打一个电话的成本和冒最小的风险。
阅读全文...

互联网安全攻击目标之数据库软件[nEo原创]

1、概述

对于大多数存储、检索和处理大量数据的系统来说,数据库是其关键的组成部分。实际上,在所有的商业、金融业、银行、客户关系、系统监控等应用系统中我们都能看到数据库的踪影。

由于数据库中存储了大量有价值的信息,如个人或财务资料,因此它们常常成为攻击者的目标,同时也特别引起了小偷的注意。数据库系统往往十分复杂,它是由核心数据库和其他应用程序组合成的;其中一些是由数据库厂商提供的,另外一部分是由其它厂商编写的(如Web应用程序)。这些组件中任何一个小缺陷都可能危及数据库中的数据,最常见的攻击可分为:

a、数据库的用户名和口令采用了默认配置;

b、已知TCP/UDP端口监听程序的缓冲区溢出;

c、通过数据库自带工具或用户创建的Web前端程序进行的SQL注入;

d、特权帐号采用了弱密码。

市面上有多种数据库系统可供选择。最常见的包括Microsoft SQL Server(商业产品,运行于Windows)、Oracle(商业产品,运行于多种平台)、IBM DB2IBM Informix(商业产品,运行于多种平台)、Sybase(商业产品,运行于多种平台)、MySQLPostgreSQL(开源项目,可运行于多种平台)。

所有现代关系型数据库系统都是通过端口进行寻址,这意味着任何人都可以通过查询工具随时直接连接到数据库上,并且绕过操作系统内置的安全机制。通常,使用的默认连接是:Microsoft SQL通过TCP1433端口和UDP1434端口,Oracle通过TCP1521端口,IBM DB2通过523500000以上的端口,IBM Informix通过TCP90889099端口,MySQL通过3306端口,PostgreSQL通过TCP5432端口。

在互联网上可以找到多数据库漏洞被利用的实例。由于数据库对外提供了网络连接,所以数据库很可能遭受蠕虫的攻击。其中发生在2003年的SQL Slammer蠕虫攻击最为著名。2005年出现了首个Oracle蠕虫攻击—航行者(Voyager)。虽然这种蠕虫不会影响到数据库的运行,但是确实证明了在不加保护的Oracle数据库中这种情况是可能发生的。

SQL Slammerhttp://www.caida.org/analysis/security/sapphire/

Voyagerhttp://www.red-database-security.com/advisory/oracle_worm_voyager.html

对于数据库安全而言,除了上文中提到的具体漏洞外,管理员还应考虑:

a、与标准的一致性,例如支付卡行业数据安全标准(Payment Card Industry Data Security Standard),该标准可能要求对诸如信用卡帐号信息进行加密;

b、转移大量数据到移动设备上的风险:去年,由于膝上电脑失窃而丢失个人数据的报道就有无数次。

2、操作系统的影响

3CVE列表

4、如何确定你是否处于风险当中

5、如何防止数据库系统漏洞

6、参考资料

阅读全文(IT168)


阅读全文...

2007-03-29

互联网安全攻击目标之Web应用程序[nEo原创]

1、概述
现在各种类型的组织机构中使用了很多应用程序,例如:内容管理系统(CMS)、WikisPortals、公告牌和论坛。每周报告的应用程序漏洞就达到了成百上千次,同时,这些漏洞正在被不断的利用。每天试图对大型Web托管业务的攻击数量从几百几千甚至到数百万。

所有的Web框架(如PHP.NETJ2EERuby on RailsColdFusionPerl等等)以及所有类型的Web应用程序都处于其安全缺陷的风险当中,这包括从缺乏有效性验证到应用程序逻辑错误。被利用最多的漏洞包括:

PHP远程文件包含(PHP Remote File Include):PHP是当今使用最普遍的WEB应用程序开发语言和框架。默认情况下,PHP允许文件操作功能使用 allow_url_fopen”来访问Internet上的资源。当PHP脚本允许用户输入来影响文件名时,就会导致远程文件包含的攻击。这类攻击允许(但不限于):

远程代码执行

远程rootkit安装

Windows中,系统内部可能受到PHPSMB文件包装器的威胁

SQL注入(SQL Injection):注入攻击在Web应用程序中是最常见的,特别是SQL注入。在动态查询中混合了用户提交的数据,或者是构造了不合理存储过程,这都可能存在SQL注入攻击。SQL注入可以让攻击者:

创建、读取、更新或者删除任何对应用程序有用的数据

在最坏的情况下,可能威胁到整个数据库系统和周边系统

跨站点脚本(Cross-Site Scripting):跨站点脚本(俗称XSS)是危害最大也是最容易创建的Web应用程序安全问题。XSS允许攻击者修改WEB站点的界面,插入有害内容,进行钓鱼攻击,使用JavaScript恶意代码劫持浏览器,以及强制用户执行未经许可的命令——伪造跨站点请求就是已知的这类攻击,详见CSRF

伪造跨站点请求(Cross-site request forgeries):CSRF强制合法用户执行未经许可的命令。这类攻击极其难以预防,除非应用程序不采用跨站点脚本向量,包括DOM注入。随着Ajax技术的出现,以及有效发现XSS攻击所需知识的增加,导致了CSRF攻击正变的越来越复杂,不管是作为主动个人攻击还是自动蠕虫攻击,例如Samy MySpace蠕虫。

目录往返移动(Directory Traversal):目录往返移动(通过“..”或者编码变量来访问文件)允许攻击者通过访问操作来控制资源,例如密码文件、配置文件、数据库凭证或者攻击者选择的其他文件。

2、如何确定你是否处于风险之中?
3、如何防止Web应用程序漏洞?
4、参考资料

阅读全文(IT168)


阅读全文...

2007-03-20

《细节决定成败》


“泰山不拒细壤,故能成其高;江海不择细流,故能就其深。”所以,大礼不辞小让,细节决定成败。在中国,想做大事的人很多,但愿意把小事做细的人很少;我们不缺少雄韬伟略的战略家,缺少的是精益求精的执行者;决不缺少各类管理规章制度,缺少的是规章条款不折不扣的执行。我们必须改变心浮气躁、浅尝辄止的毛病,提倡注重细节、把小事做细……

一本很不错的书,一直知道有这么本书,但没花时间好好读读。
这本书给我影响最深刻的一个观点是:艺术品为什么能成艺术品,在于其注重细节。很精典的一句话,可能一直都有这句话只是我不知道而已:)。如果我们对待我们的事业,我们的工作能拿出像雕铸一件艺术品的态度,那我们必能在激烈的竞争中占有一席之地。

我们常常会听到一句话是“做大事的人,一定要不拘小节”,这似乎跟本书的观点有些冲突。我认为这是看问题的两个不同方面,古语有“横看成林侧成峰”,那么如何把这两者融合起来呢,套用中国的俗语“两手抓两手都要硬”,一手抓战略战术(大事,大方向,目标),一手抓实现这些目标的具体工作(落实工作,做好监督和检查工作)。
阅读全文...

2007-03-08

十大管理工具[转帖]

大师级的管理专家绝非徒有其名,他们总会开启一个新的管理视角,让你发现你的盲点和误区,提供给你一种崭新的思维工具,掌握了这些工具,你会感到自己进入了一个新的境界。
这里,我们选出了10位管理大师,选择的标准是他们所取得的国际公认的成就。思想工具是更高层次和意义上的工具,或者说它是为了制造一般工具的“工具”。这使它很难被掌握,但一旦掌握,你就会感到心手相应,游刃有余。
1、德鲁克的思想
2、
波特的思想
3、
哈默尔的思想
4、
克里斯坦森的思想
5、
彼得斯的思想
6、
明茨伯格的思想
7、
柯林斯的思想
8、
汉默的思想
9、
科特勒的思想
10、
科特的思想

原文

阅读全文...

2007-03-07

《一分钟经理》


一分钟经理=一分钟目标+一分钟表扬+一分钟批评

一分钟目标:共同的目标、一分钟可以阅读完的目标(字数不超过250个字)、执行任务时理解一遍、时常看看我们离目标还有多远

一分钟表扬:是我们对工作的及时反馈、表扬要具体、我们的感受、再鼓励

一分钟批评:是我们对工作的及时反馈、批评要具体、我们感受、就事论事(非事论人)、前半部分批评,后半部分表扬(先兵后礼)

总体来看:为任务设定一个目标(如同打保龄球,知道我们打了多少个球),有目标才能感受到完成目标的喜悦,没有目标就好像无头苍蝇,我们就有可能会失去工作带给我们的乐趣;对于新员工或接受新任务的人员我们要及时的表扬,让我们的成果不断接近我们设定的目标,这是一种积极的正面的影响,在这种情况下的批评有可能导致
接受任务的人产生反感,最终影响到目标的实现和人际关系的紧张;对于轻车熟路的人员出现错误时,要及时的批评,批评要具体,一针见血(避免当时不管,秋后算帐),谈我们对此的感受(注意停顿),核心是前半部分要批评后半部分要表扬。

这是一本很不错的书,通过故事的形式为我们讲述了经理人的管理理念。在讲述为什么一分钟目标、一分钟表扬和一分钟批语如此有效时,文章引用了很多生活实例,通俗易懂,给人以启发。
阅读全文...

2007-03-01

安全设计原则

微软提出的安全设计原则
原则 解释
开放设计 假设攻击者具有源代码和规格。
故障安全预设值 出故障时自动关闭;无单点故障。
最低权限 只分配所需的权限。
机制经济性 保持简单、易懂的特性。
分离权限 不允许根据单一条件执行操作。
总体调节 每次检查所有内容。
最低公用机制 注意保护共享资源。
心理可接受性 他们将使用它吗?

另一个比较典型的

原则

解释

整体均衡原则 要对信息系统进行全面均衡的保护,要提高整个信息系统的"安全最低点"的安全性能,保证各个层面防护的均衡。
产出/投入平衡原则 要综合考虑安全目标与效率、投入之间的均衡关系,确定合适的平衡点,不能为了追求安全而牺牲效率,或投入过大。
标准化与一致性原则 在技术、设备选型方面必须遵循一系列的业界标准,充分考虑不同设备技术之间的兼容一致性。
产品异构性原则 在安全产品选型时,考虑不同厂商安全产品功能互补的特点,在进行多层防护时,将选用不同厂商的安全产品。
区域等级原则 要将信息系统按照合理的原则划分为不同安全等级,分区域分等级进行安全防护。
动态发展原则 安全防范体系的建设不是一个一劳永逸的工作,而是一个长期不断完善的过程,所以技术方案要能够随着安全技术的发展、外部环境的变化、安全目标的调整而不断升级发展。
统筹规划分步实施原则 技术方案的部署不可能一步到位,所以要在一个全面规划的基础上,根据实际情况,在不影响正常生产的前提下,分步实施。
保护原有投资原则 设计技术方案时,要尽量利用我行现有的设备与软件,避免投资浪费,这些设备包括安全设备、网络设备等。

阅读全文...

2007-01-30

三个工人的故事[随笔]

央视百家讲坛于丹教授讲了一个故事:一个人看见有人在工地干活,就上前问了三个工人你们在干什么,第一个 的回答是在干苦力/第二个的回答是在砌墙/第三个的回答是在修一座教堂,于丹教授讲第一种人是悲观主义者,第二种人是职业主义者,第三种人是理想主义者; 第一种人把任何安排给自己的工作都当成一种负担,为了生计或者基本的需求去工作;第二种人按部就班的从职业的角度去考虑问题去完成自己的使命,基本上没有 创新的思想,完成分内之事就达到要求,也不关心自己最后去哪里;第三种人则是明白自己要去哪里,明白自己现在做得工作的意义所在,这一类人是孔子认为君子 应该有的品质;
引文:http://bbs.cisps.org/viewtopic.php?t=8367&postdays=0&postorder=asc&start=45

阅读全文...