信息安全问题频发 您我需要做些什么？！（获奖名单已公布）

dengbao2001

1.针对近期的 “信息泄露门”事件您有何感想？

我就这点发表一点点意见吧。

门事件反映了国内从业者安全意识淡漠，甚至漠视安全。

作为EMS行业TOP5的用户，我来发表一点我们公司这方面的经验

1.用户入职第一天的培训，就灌输了这个思想，这个用户不仅仅是IT用户，而包括所有的人员，包括一线的生产员工。
2.安全是IT部门的工作，全球专门有个Team负责该项目，该团队都是非常有经验的工作人员，此团队的领队，直接汇报的给CIO
3.标准的安全流程：我们公司有着非常标准的，及时更新的安全操作规范，该安全操作规范涵盖了方方面面。截图一部分，抹去了公司名称。


有着标准流程，这是一回事，人家可以不执行，对吧？

4.定期的审核，作为一个NADSQ上市的公司，定期或者不定期的接受各种审核，其中就包含了安全审核。
记得好像是08,09的专门的安全审核，其流程为，首先给一份文件，让你回答各种问题，然后现场参观看看适合和回答的想对应。

有两个事件让我记记忆犹新
a.当时我们IT经理带着审核的人员(也是全球安全Team的领队）,进入公司，进入公司的公司工厂里面的时候，因为非本Site人员，所以走的是旁边的无需刷卡进入的通道，因为带领人是部门经理，保安通常不会干预。当时，有安全拦住了他，说他没带厂牌。他马上带上，保安才让进去的。

后来他跟我们说，他这是故意的，就是试试保是否让非授权人士进入需要授权的地方。

b.我们的备用机房在一个地方，进入机房有道门，需要刷卡，门上面有个大约30*40里面的玻璃窗口，以变观察机房里面状态。当时他说这窗口太大了，被人敲破了就可以进入了。

这么多年，其实我们没有意识到这个问题，但是却被他指出了，且作为后来审核结果的一个问题。

从这两个方面可以看出安全审核是非常严格的。

5.定期或者不定期的入侵式或者非入侵式扫描，将结果发给Site的IT经理，且要求定期跟进并管任何CASE.

6.对于网络的安全管理，全球的防火墙是统一管理，当地且有基本的查看权限，无修改权限。

7.对于服务器的安全管理，条码5包含了一部分。

暂时就想起来这么多，有什么遗漏再不出，也欢迎大家给点意见，谢谢！

委内瑞拉

活动不错，支持一下

tankMowei101

目前只看了计算机信息与网络安全技术这本书，国内的。

flb_2001

很久没来了，看了看这本书的样章，感觉还不错。就此讨论问题交流如下：

1.针对近期的 “信息泄露门”事件您有何感想？
信息泄露门：在出来后，大家都知道是2009年之前的信息，而且是没有加密的，可以看出以前的信息安全做的实在是太差，但之后进行了加密，说明大家还是认识到信息安全的重要性了，但网站存在有点不负责任的嫌疑，应该在实施加密后，需要以前的用户进行密码修改的提示，现在IT AUDIT要求一段时间后需要更改信息系统的密码。
还有现在加密的方式比较落后，就算加密了也可以很容易被破解，应该要更加严格的加密措施。我想说要防止信息泄露并不是加加密就可以的，需要从多方面来防护，比如数据库的架构等也是要考虑的。
2.如何加密解密才能实现真正的信息安全？
我觉得加密解密关键是密钥的安全性，首先要不能容易猜出，其次是不能容易被获取，最后就是越少人知道越好。
3.您对开发系统信息安全保障有哪些感想？
开发系统时，关键是怎样保证系统的机密性、完整性、可用性：措施很多，事前的压力测试、网络的确保、数据修改的安全流程、数据访问权限控制、密码的管理规则、灾备等等。
4.读完试读章节后有哪些感想？
我看了下，对于做信息安全项目的人员帮助很大，讲的非常详细，以大量的CASE来说明策略的重要性，首先要有正确的策略，其次是很好保证采取符合策略的机制。

lezishu

1.针对近期的 “信息泄露门”事件您有何感想？

我从服务器运维的角度说说我的感受。首先是，运维人员要尽量避免使用不可信软件进行运维管理，当然更不可以随意找台计算机就连接服务器。应当确保运维使用的计算机和软件的安全。第二，将安全措施尽量做严格，不能怕麻烦复杂。我有接触过一个机构，管理员认为SELinux既费事又复杂，服务器SELinux是关闭的。由于拥有FTP账号的使用者比较多，并且ftp是和web相通的。这就造成有一次某个环节密码被泄露后，被人上传了恶意脚本，甚至删除了MySQL的几个账户。幸好发现及时没有数据损失。我想如果SELinux配置得当的话，恶意脚本能发挥的作用应该是有限的。第三个就是尽量在固定地点（IP）进行远程连接。那样便于通过防火墙限制非管理人员的访问。

qinghuawenkang

回复 41# dengbao2001


    说的很详细，了解了更多关于安全的知识，多谢分享！

king_819

1.针对近期的 “信息泄露门”事件您有何感想？

从最近的各大网站泄密事件来看，主要是中国的互联网企业在高速发展的过程中忽视了网络安全，早期的互联网企业没有全方位的统筹规划，流行什么就开始做什么，项目往往像急行军一样，只要能保证项目正常上线，能盈利，其它的都不管不顾了，对于网络安全，只有投入，看不到直接回报的，企业管理人员一般不会去重视，网络安全意识严重缺乏产，从事应用开发的从业人员也一样，为了应付急行军一样的项目，已然将网络安全抛向脑后，最终导致漏洞百出，让黑客有可趁之机

2.如何加密解密才能实现真正的信息安全？

目前来看，在口令保存上，使用最为广泛的算法是标准MD5HASH，虽然HASH算法具有不可逆的特点，但一个明文密码通过MD5加密后存到数据库里的是一串MD5值，攻击者可以能通过密文字典进行密文比对来破解用户的密码，随着超算资源的廉价、GPU、云计算的普及、存储能力的增长，攻击者可以利用这些资源制作巨大的HASH表，通过穷举的方式来制作一定位数以下的数字字母组合的口令串与多种算法加密结果的映射结果集，这些结果集从百GB到几十TB，这就是传说中的彩虹表

比较常用的保存密码的方式就是所谓的加盐（SALT），加盐（SALT）其实很简单，就是在生成HASH时给予一个扰动，使HASH值与标准的HASH结果不同，这样就可以抗彩虹查表了，现在的互联网企业更多的追求效率和高可用，安全这块反而考虑的较少，在做架构设计之初安全和效率之间要进行平衡

3.您对开发系统信息安全保障有哪些感想？

首先对于项目要有很严格的全局规划，架构设计要合理，开发人员应该有很强的网络安全意识，代码的规范、安全、稳定、高效，这些要完完全全的考虑进去，对于敏感信息要进行合理的加密，对于已完成的项目要进行严的压力测试，要权责分明，避免造成内部泄漏

4.读完试读章节后有哪些感想？

通过阅读试读章节，发现此书的实战性比较强，通过实例讲解一些安全漏洞，以及如何防范这些存在的安全危险，不管是对开发人员还是维护人员都起到了很好的引导作用

crosssy

回复 1# send_linux


   恶意软件分析诀窍与工具箱——对抗“流氓”软件的技术与利器
这本书好像没法下载

qinghuawenkang

回复 48# crosssy


    问题已经解决可以下载啦，呵呵
   恶意软件分析诀窍与工具箱——对抗“流氓”软件的技术与利器
  [url=恶意软件分析诀窍与工具箱——对抗“流氓”软件的技术与利器http://wenku.it168.com/d_000113538.shtml ]http://wenku.it168.com/d_000113538.shtml [/url]

crosssy

回复 49# qinghuawenkang


是可以下载了，但下载之后的pdf，打不开提示已经损坏，我用的是chrome自带的下载器。有下载下来能用的说下。