2007-04-22

COBIT4.0中比较经典的图






阅读全文...

互联网安全攻击目标之DNS服务器[nEo原创]

1、概述

域名系统(DNS)是十分重要的Internet基础设施,它使用分布式数据库系统来实现主机名到IP地址的转换。DNS依赖于信任模型,该模型是在相互信任的时代开发的,与如今的Internet大相径庭。由于Internet本质发生了改变,攻击者利用DNS的信任机制来进行多种类型的攻击,包括缓冲区中毒,域劫持,中间人重定向。


在过去的一年中,通过僵尸网络(
botnets)对DNS服务器进行的攻击如下所示。

1)递归式拒绝服务攻击:僵尸主控机(Botmaster)在被入侵或为此攻击专门建立的DN S服务器上发布大量DNS记录。随后,Botmaster指挥僵尸网络向公共递归式名字服务器发送UDP/53询问的小数据包,其中包含有指向目标受害者的伪造的返回地址。导致的结果是递归式DNS服务器(而不是僵尸)直接攻击目标受害者。通过发送比典型UDP/53响应数据包更大的DNS记录可以让这种效果进一步放大, 从而强制执行TCP/53处理。

2)授权区域应答欺骗:Botmaster在被入侵Web服务器上建立假冒Web站点(钓鱼站点),然后指挥僵尸网络监听DNS请求,并欺骗对某一区域的应答,在该区域的应答均指向被入侵的Web服务器。该攻击的一个变种是通过修改受感染计算机的本地主机文件来达到目的,通常这个文件包含了指向假冒Web站点的入口。
2、如何确定你处于风险当中

3、如何防止DNS漏洞

4、参考资料

阅读全文(IT168)


阅读全文...

2007-04-20

咨询顾问是怎样炼成的?[转帖]

一个优秀的管理信息化领域的咨询顾问应该是一个全面发展具备多种能力的特种兵,不仅需要知识、技能,还需要悟性和综合能力。我一直在想到底怎样才算是真正的咨询顾问,一个优秀的管理信息化领域的咨询顾问是如何炼成的?

l、我所理解的咨询顾问应该扮演2种角色,掌握4种知识,具备4种能力。

2种角色是优秀的老师和优秀的医生。因为咨询顾问首先要具备丰富知识,能说能写,能指导别人做事,同时也要具有丰富的从业经验,像医生一样能迅速诊断病情,并给出治疗方案。

4 种知识是企业业务知识、企业管理知识、IT基本知识和咨询方法论。要指导玩游戏者,就必须知道游戏规则。作为顾问,必须对企业最基本的业务运作模式、业务 流程有概念,熟悉基本业务语言。其次,让企业信服的咨询顾问,一定是精通企业管理的专家,要深谙古今中外的管理理论,了解现代热点的管理话题并能讲出一二 三来。现在实所谓的e时代,IT的使用常识对任何一个普通人都是重要的。而对于咨询顾问,要做管理与信息化的结合,就必须对IT基本知识有所了解,核心是 数据库方面的基本知识、各种应用系统ERP、CRM、KM等软件产品及其厂商实施商的了解。而咨询方法论是公司长期运作思路、方法中精华的提炼和凝结,可 以帮助我们快速掌握咨询全貌,给我们的是一串已经串好的项链,而不是一个个零散的珍珠。

…………

查看原文


阅读全文...

2007-04-17

How COBIT 4.1 Changed From 4.0

COBIT 4.1, an incremental update to COBIT 4.0, includes:

  • Enhanced executive overview
  • Explanation of goals and metrics in the framework section
  • Better definitions of the core concepts. It is important to mention that the definition of a control objective changed, shifting more toward a management practice statement.
  • Improved control objectives resulting from updated control practices and Val IT development activity. Some control objectives were grouped and/or reworded to avoid overlaps and make the list of control objectives within a process more consistent. These changes resulted in the renumbering of the remaining control objectives. Some other control objectives were reworded to make them more action-oriented and consistent in wording. Specific revisions include:

    - AI5.5 and AI5.6 were combined with AI5.4
    - AI7.9, AI7.10 and AI7.11 were combined with AI7.8
    - ME3 was revised to include compliance with contractual requirements in addition to legal and regulatory requirements
  • Application controls have been reworked to be more effective, based on work to support controls effectiveness assessment and reporting. This resulted in a list of six application controls replacing the 18 application controls in COBIT 4.0, with further detail provided in COBIT Control Practices, 2nd Edition.
  • The list of business goals and IT goals in appendix I was improved, based on new insights obtained during validation research executed by the University of Antwerp Management School (Belgium).
  • The pull-out has been expanded to provide a quick reference list of the COBIT processes, and the overview diagram depicting the domains has been revised to include reference to the process and application control elements of the COBIT framework.
  • Improvements identified by COBIT users (COBIT 4.0 and COBIT Online) have been reviewed and incorporated as appropriate.

阅读全文...

2007-04-14

2007年CISSP认证参考


认证参考书籍:Official (ISC)2 Guide to the CISSP CBK
讨论:CISPS
阅读全文...

安全不是一件产品,它是一个过程

安全顾问布鲁斯 施尼尔(Bruce Schneier):“安全不是一件产品,它是一个过程。”
近一步说,安全不是技术问题,它是人和管理的问题。由于开发商不断的创造出更好的安全科技产品,攻击者利用技术上的漏洞变得越来越困难。于是,越来越多的人转向利用人为因素的手段来进行攻击。穿越人这道防火墙十分容易,只需打一个电话的成本和冒最小的风险。
阅读全文...

互联网安全攻击目标之数据库软件[nEo原创]

1、概述

对于大多数存储、检索和处理大量数据的系统来说,数据库是其关键的组成部分。实际上,在所有的商业、金融业、银行、客户关系、系统监控等应用系统中我们都能看到数据库的踪影。

由于数据库中存储了大量有价值的信息,如个人或财务资料,因此它们常常成为攻击者的目标,同时也特别引起了小偷的注意。数据库系统往往十分复杂,它是由核心数据库和其他应用程序组合成的;其中一些是由数据库厂商提供的,另外一部分是由其它厂商编写的(如Web应用程序)。这些组件中任何一个小缺陷都可能危及数据库中的数据,最常见的攻击可分为:

a、数据库的用户名和口令采用了默认配置;

b、已知TCP/UDP端口监听程序的缓冲区溢出;

c、通过数据库自带工具或用户创建的Web前端程序进行的SQL注入;

d、特权帐号采用了弱密码。

市面上有多种数据库系统可供选择。最常见的包括Microsoft SQL Server(商业产品,运行于Windows)、Oracle(商业产品,运行于多种平台)、IBM DB2IBM Informix(商业产品,运行于多种平台)、Sybase(商业产品,运行于多种平台)、MySQLPostgreSQL(开源项目,可运行于多种平台)。

所有现代关系型数据库系统都是通过端口进行寻址,这意味着任何人都可以通过查询工具随时直接连接到数据库上,并且绕过操作系统内置的安全机制。通常,使用的默认连接是:Microsoft SQL通过TCP1433端口和UDP1434端口,Oracle通过TCP1521端口,IBM DB2通过523500000以上的端口,IBM Informix通过TCP90889099端口,MySQL通过3306端口,PostgreSQL通过TCP5432端口。

在互联网上可以找到多数据库漏洞被利用的实例。由于数据库对外提供了网络连接,所以数据库很可能遭受蠕虫的攻击。其中发生在2003年的SQL Slammer蠕虫攻击最为著名。2005年出现了首个Oracle蠕虫攻击—航行者(Voyager)。虽然这种蠕虫不会影响到数据库的运行,但是确实证明了在不加保护的Oracle数据库中这种情况是可能发生的。

SQL Slammerhttp://www.caida.org/analysis/security/sapphire/

Voyagerhttp://www.red-database-security.com/advisory/oracle_worm_voyager.html

对于数据库安全而言,除了上文中提到的具体漏洞外,管理员还应考虑:

a、与标准的一致性,例如支付卡行业数据安全标准(Payment Card Industry Data Security Standard),该标准可能要求对诸如信用卡帐号信息进行加密;

b、转移大量数据到移动设备上的风险:去年,由于膝上电脑失窃而丢失个人数据的报道就有无数次。

2、操作系统的影响

3CVE列表

4、如何确定你是否处于风险当中

5、如何防止数据库系统漏洞

6、参考资料

阅读全文(IT168)


阅读全文...