记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

随笔:小议如何建设信息安全管理方针政策

企业在实施信息安全管理的过程中,制定信息安全方针政策是非常关键的工作。信息安全方针是信息安全管理工作的纲领,用于指明信息安全工作的方向,指导信息安全管理的基本工作原则。 制定信息安全管理方针政策,首先要确定方针政策的发布者,发布者在企业组织结构中的位置在相当程度上决定了信息安全管理方针的权威性,类同法律体系中的法律、法规的颁布机构。笔者认为,在信息科技已经融入企业核心生产的今天,信息安全管理方针政策由企业最高管理者(管理层)发布为最佳。 信息安全管理方针政策的首要任务是设置信息安全的目标,目标的设定应简单明确,例如:“保护企业信息的机密性、完整性与可用性”,良好的做法还包括为信息安全政策设置一个简短、朗朗上口的宣贯口号,例如:“信息安全、企业未来,管技结合、内外并重,预防为上、防范为辅,全员有责、高层表率” 由
发布时间:2017-06-22 21:45 | 阅读:77295 | 评论:0 | 标签:专栏 企业安全 信息安全管理

不越底线 不踩红线 不碰高压线

阅读: 52016年11月7日我国第一部网络安全法颁布。这次是以法律的形式颁发,且法律条文清晰标示出禁止准入、行政处分和判罚、刑事判罚等一系列的红线,这让笔者不禁为大家抹了一脸冷汗,因为太多的点需要注意了。2016年11月7日我国第一部网络安全法颁布。笔者作为安全行业的从业人员,认真阅读了相关条文。总体感觉:安全法不但对各种网络行为,明确了规范和法律责任,同时还是对我们如何建设网络安全提供了指引。从条文中,可以看到iso27001信息安全管理体系标准的影子。安全法的各种规范和要求,其实已经长期存在于各行业的行业标准和主管部门对社会网络行为的指引中,没有太大的意外。但是这次是以法律的形式颁发,且法律条文清晰标示出禁止准入、行政处分和判罚、刑事判罚等一系列的红线,这让笔者不禁为大家抹了一脸冷汗,因为太多的点需要注意

准确评估企业信息安全能力的三大量化指标

今天,企业的首席信息安全官们面临最大的安全挑战不是如何防范和预测攻击,而是如何有效应对攻击,因为已经有无数次案例证明,今天的信息安全是一场不对等的战争,信息安全攻击手段和技术的发展远超企业信息安全防御能力,大多数企业的安全管理都无法跟上网络犯罪的脚步。因此,企业在遭受攻击后的事件响应能力和恢复能力才是当下企业最核心的信息安全能力,而量化精准评估一家企业信息安全能力的关键指标也正发生变化。近日网络安全公司Raytheon Cyber Products的产品总监Ashok Sankar撰文指出,过去评估企业信息安全的量化指标例如攻击数量的减少等并不能反映一个企业的真实信息安全能力,Sankar认为“平均响应时间”、“修复时间”和“攻击者驻留时间”才是检验企业信息安全能力的三大核心量化评估指标。 一、平均反应时间。所
发布时间:2015-05-27 09:15 | 阅读:79548 | 评论:0 | 标签:动态 信息安全方法 信息安全管理 信息安全评估 安全审计 安全评估

信息安全从业者必须接受的六个事实

世界上几乎每一家大型企业都有着各种各样数量繁多的漏洞,对于任何IT行业内的人而言,这并不是什么爆炸性消息,早已司空见惯。现实情况是,不论花费多少资金,完全消灭系统漏洞是不可能的。但公司可以把信息安全防御方面的预算主要花在防止黑客可以利用的日常漏洞。道理很简单:如果安全防御层级足够复杂,坏人就会转而寻找其它更容易得手的目标。坦白的说,任何信息安全解决方案都不像它们在广告中说得那样好。任何“保证安全,高端的安全系统”都注定要失败。安全和IT厂商承诺的目标或多或少都有水分,不断地投入努力才是企业力所能及的切实举措。以下六个IT安全事实不仅解释了为什么如今的安全解决方案都以功亏一篑告终,还在一定程度上阐述了如何通过不完美的安全解决方案,减少被入侵的可能并最小化之后的损失。 一、没有100%的部署如果不能在环境中的每一台
发布时间:2015-05-15 13:55 | 阅读:88370 | 评论:0 | 标签:牛观点 信息安全管理

【安全课堂】给IT基础设施实施压力测试

我们知道,银行会定期进行金融压力测试,定义明确的测试结果可以用来评判各银行应对经济灾难的能力。如果把金融压力测试的基本要素应用到IT基础设施,我们可以粗略地将其概括为:在系统负面状态下进行分析,确定IT基础设施已经设计了足够的机制来抵御不利事件的冲击。换句话说,灾难测试的测试目标包括生产设施的各个节点。你的IT基础设施能否抵御DDoS攻击?能否抵御零日漏洞恶意软件入侵DMZ或台式机?在系统或链路失效的情况下,是否有完备的灾难恢复计划?本文认为,首席信息官或技术官应当考虑进行压力测试演练,以发现系统内没有设计备份或顶替方案的地方,确定那些缺乏恢复机制的设备,并组建队伍为全公司所有关键性设备建立数据恢复计划。进行常规压力测试的关键领域包括:入口数据点(双广域网负载平衡)数据丢失防护装置垃圾邮件过滤装置代理和反向代理
发布时间:2015-05-05 13:35 | 阅读:63282 | 评论:0 | 标签:牛观点 信息安全管理 压力测试

【CS论坛】安全风险评估的3种错误方式

即使计算机安全防御专家也难以区分真正的威胁和假警报。这里列出应该避免的3种关键却又普遍的错误。计算机安全人员在防御这件事上是出了名的不成功。原因很多,不仅仅是因为他们要承担所有的责任却又没有足够的权限。用户总是义无反顾地无视他们收到的好建议,甚至努力绕过安全控制。但是,在当今这混乱的计算机安全状况下,责备他人的行为总是再容易不过。考察一下修复程序,修补崩溃系统的第一步就是要承担你自己的责任。在我看来,计算机安全最大的问题之一就是防御者不能正确地评估风险。他们将太多较低的风险列为了高风险,而太多的高风险又被认为是不需要关注的。有3个原因可以解释为什么计算机安全防御者总是做出错误的判定。总的来说,这几点解释了为什么大多数公司把大部分IT预算花在了根本不能使他们免于受到侵害的项目上。1. 混淆了媒体炒作和真正的风险当
发布时间:2015-05-04 09:25 | 阅读:80957 | 评论:0 | 标签:牛观点 信息安全管理 风险评估

企业信息安全的两个成熟度模型

对于今天高度依赖信息竞争力的企业来说,信息安全的重要性已经无需多言,这一点从企业每年不断增加的信息安全预算以及信息安全优先级的不断提升中得到体现。但是,随着信息安全市场技术创新的不断加速,新的威胁、技术和方法不断涌现,信息安全人才和专业服务相对匮乏,这些都为企业的信息安全策略制定带来了困惑。一个好的信息安全成熟度模型能够帮助企业快速找到信息安全短板并制定有针对性的策略,加速将信息安全融入企业文化,提升企业“安全竞争力”。近日著名安全博客KrebsonSecurity推荐了两个企业信息安全成熟度模型并进行了点评如下: 一、Enterprise Strategy Group信息安全成熟度模型。ESG将企业信息安全成熟度划分为基础、进阶和高级三大类,同时为企业首席信息安全官给出了安全规划和策略路径。值得注意
发布时间:2015-04-28 01:00 | 阅读:96288 | 评论:0 | 标签:动态 安全策略 牛管理 CSO 信息安全成熟度模型 信息安全管理 安全市场报告

【CS论坛】维护网络安全的四块基石

最近被入侵的大企业有个长长的名单:塔吉特、家得宝、史泰博(Staples)、迈克尔斯(Michaels,美国工艺品零售商)、凯马特(Kmart,美国超市连锁)、eBay、安腾(Anthem,美国医疗保险公司)、索尼娱乐影业……但这些也只是冰山一角。虽然很多企业都在对预防性安全措施加大投入,但还是在对抗网络罪犯的战争中处于下风。虽然有很多机构使用了美国国家标准术研究所(NIST)和其它标准化机构开发的应对策略,但我们仍未找到解决网络安全威胁的最佳方法。普华永道发布的调研报告(《在互联世界中控制网络风险》,2015)在2014年跟踪了9700家公司,并发现了近430万起安全事件,该数字自2009年以来以年平均增长66%的速度稳步提升。大家不禁开始怀疑针对网络安全方面的投入是否有效。一方面董事会寻求得到整个企业所受安
发布时间:2015-04-22 23:25 | 阅读:65857 | 评论:0 | 标签:牛观点 信息安全管理 安全防护策略 网络风险控制

【CS论坛】中小企业存大量安全需求--合理规划控制风险

CS论坛关注网络空间安全(Cyber Security),解读趋势前瞻,聚焦管理策略、体系指引,为企业、机构安全规划与实施提供咨询建议。中小企业的优势在于对业务模式甚至是一个好想法的快速应用,正是这种“唯快不破”的优势得以对抗体量超大并在市场上占有绝对领先地位的企业巨头。但如果它们不能提升自己的网络防御能力,则在寻求经济利益的恶意黑客或竞争对手的入侵方面,面临巨大的风险。2014年以来,国家政府部门出台了很多针对民营企业、中小微企业的扶持政策,总理在今年两会上的政府工作报告更是强调了“互联网+”的计划。无疑这将极大的推动国内中小企业的繁荣发展。既然是互联网+,就意味着这些企业的业务都将集中在互联网上,不管是应用开发、网络支付,还是云服务和BYOD(自带设备办公)。并且,加上中国无法想像的中小微企业的数量,一向被
发布时间:2015-04-10 16:10 | 阅读:74653 | 评论:0 | 标签:牛观点 中小企业 信息安全管理 风险控制

【CS论坛】合规不利于安全?

一直以来,许多企业和安全顾问比较认可的一个安全解决方案就是合规,符合标准规定至少在某种程度上就意味着安全。但有人认为,应该把两者看做并列关系,而不是因果关系。或说两者是互相影响的关系,安全可以有助于合规,合规可以是安全的副产品,但安全并不能自动成为合规的副产品。因为有时完全在合规的情况下,也可以是不安全的。合规是为了让企业达到一个既定的标准,表面上给了客户或股东一个满足整套安全标准的样子,其实是把每个人都拖到了一个最小的安全级别。不信就看看最近发生的 一些严重安全事件,无论是摩根大通还是塔吉特、家得宝,索尼影业,他们不都是宣称自己企业的安全机制是合规的吗?很明显,这些案例中,要么有些人在撒谎, 要么所谓的“合规”实际上是不合规的。合规的问题在哪里?对 于推动合规的咨询顾问和培训认证行业来说,如何平衡企业的业务需
发布时间:2015-03-09 00:15 | 阅读:86507 | 评论:0 | 标签:CISSP 安全合规 安全策略 牛管理 牛观点 牛课程 信息安全管理 合规

【CS论坛】你们企业的信息安全投入投对地方了吗?

信息安全由业务需求驱动,而不是技术。它不是一件一劳永逸的事情,每家公司都有自己独特的与安全相关的业务需求,业务永远是第一位的。但许多企业却常常从技术的角度去评估安全,他们会这样问:我们需要入口过滤吗?我们需要入侵检测吗?这些问题本身没有错误,但技术并不是考虑安全的切入点。对安全防护来说,企业最首要的是评估业务系统在发生安全事件后可能造成的后果。有的业务系统,其敏感信息泄露后,带来的损失是灾害性的。如零售巨头塔吉特用户的信用卡信息泄露,目前已经给其带来了上亿美元的损失。但如果黑客入侵的是后勤系统的数据库,也许损失就要小上许多了。风险评估在评估任何与安全风险有关的特定应用时,下面的框架非常有用。这个非正式的框架可以称为“CIA”。C(Confidentiality)-机密性。数据的敏感性如何,被入侵的后果有多严重?
发布时间:2015-03-04 17:50 | 阅读:87792 | 评论:0 | 标签:安全策略 牛管理 牛观点 信息安全管理 成本效益

123456又怎样?双因素认证搞定一切

自2011年以来,123456和password这2个弱口令就一直稳居全球最弱密码排行榜前两名的位置。略令人欣慰一点的是,这两个密码的使用率从2011年的8.5%降至现在的1%。中国的略有不同,前10位全是数字。某白帽大咖列出的中国特色的弱口令TOP100但无论中国也好,外国也好,对于普通人来说,某些无关痛痒的论坛或社交网络注册来说,即便使用这样的弱口令也无伤大雅。黑客入侵这样的账户几乎没有任何价值可言。但对于银行卡或处理敏感信息的邮箱来说,对于社会影响较大的名人来说,弱口令的危害就显而易见了。比如:好莱坞女星艳照最初,弱口令的安全解决方案是加强口令设置的意识培训,或提供随机生成口令的安全工具。但这些传统方法的问题在于,它们都是非人性化的弥补措施。人们一旦放松警惕,或为了偷懒,是有办法省掉这些麻烦事的。比如,把
发布时间:2015-03-01 00:50 | 阅读:73666 | 评论:0 | 标签:牛观点 信息安全管理 双因素认证

【CS论坛】网络空间威胁:理想与现实的差距

安全高管人员的观念与网络空间安全的现实差距,正在不断的扩大。这并非危言耸听。思科上周发布的《2015年度安全报告》显示,90%的接受调查者声称他们对未来的安全工作持乐观态度,与此相反的是54%的人报告他们的企业被入侵。实际上,现在的攻击者越来越狡猾,攻击手段也越来越高端精密。该调查报告的调查对象为9个国家的1700名信息安全官和安全管理人员。补丁灾难不到50%的人表示,企业使用诸如补丁更新、渗透测试、终端鉴定或漏洞扫描等标准安全工具,但威胁就在其中。拿补丁更新来说,浏览器的更新是经常性的,以防止最新的恶意或漏洞利用软件。但实际上只有10%的公司,其浏览器更新到了最新版。即使是在每次启动后自动更新的Chrome浏览器,官方也表示只有64%的用户使用着最新的版本。一个可能的原因是,好多用户并不关闭计算机,自然也没有
发布时间:2015-02-04 18:05 | 阅读:92259 | 评论:0 | 标签:CISSP 安全合规 牛管理 牛观点 牛课程 Chromecst 信息安全管理

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云