数字监识与安全服务供应商viaForensics近日公布了一项针对iOS与Andoid平台百大移动程序的安全测试报告,显示只有17%的程序完全通过安全测试,高达40%未能通过,其余程序则取得了漏洞警告。以程序类别来区分,viaForensics所测试的金融程序所曝露的资料远比社交网络程序少,约有近75%的社交网络未能通过安全测试,但只有25%的金融程序没通过安全测试。没通过安全测试的生产力程序有43%,没通过安全测试的零售程序有14%。
虽然未通过安全测试的零售程序比例很低,然而,其余的零售程序都得到漏洞警告,没有任何零售程序完全通过该测试,归纳其主要原因来自于相关程序多半储存了搜索历史纪录与姓名及住址等客户资讯。
阅读全文
信息时报综合报道 美国白宫当地时间16日发布新的互联网安全规定,就日后美国如何应对互联网安全等事务提出具体方案,其中最“强硬”的一条规定是,如果日后美国遭遇有可能威胁国土安全的网络攻击,美国可以动用军事实力反击。
授权以一切措施回击
据美联社报道,白宫16日还就此新规举行发布会,美国国务卿希拉里、商务部长骆家辉、国土安全部部长纳波利塔诺等政要均出席会议并发表讲话。新规表示,美国将与全球其它国家加强合作,追求网络安全与自由,美国各个执行部门还将就此展开密切合作。
新规定称,如果遭遇重大网络攻击事件,美国五角大楼可以采取当遇到其它威胁国家安全的事件时所采取的方法:“我们有权采取一切必要的措施——外交、信息、军事及经济方法均可,视情况具体确定。”但规定也补充说,美国将首先尝试其它选择,如果不奏效方才会诉诸军力。
阅读全文
来源: DoNew
信用,从经济学的观点看信用是指采用借贷货币资金或延期支付方式的商品买卖活动的总称;从社会学研究角度上看信用是指对一个人(自然人或法人)履行义务能力尤其是偿债能力的一种社会评价。西方国家从纯经济学对信用定义为是指因价值交换的滞后而产生的赊销活动,是以协议和契约保障的不同时间间隔下的经济交易行为。对于百姓大众,信用常被理解为遵守诺言,实践成约,从而取得别人的信任,倾向于道德品质。总之,不同的研究角度对信用有不同的解释。国家、社会、商业、企业、银行、个人等不同的主体都具备信用属性。
互联网的信用是庞大且复杂的研究范畴,尚无公认权威的定义。在这里,将互联网信用设定松散的范围,简单说些个人的认识和看法,谈论的可能比较浅薄,仅作研讨交流之目的。
阅读全文
作者:Jack Zhai
原文链接:http://zhaisj.blog.51cto.com/219066/524898
我对“云计算”服务安全问题的几点疑惑
Jack Zhai 阅读全文
进入2011年,不谈论“云”的IT会议几乎是没有了,厂家争先恐后地推出“云”概念与方案,用户摩拳擦掌地立项建设;大家讨论“云服务”模式的产业链,畅想“云经济”的宏伟蓝图;从弹性计算服务到公众出租服务,从“私有云”到“公共云”,从“云安全”到“安全的云”…
我这里不准备讨论各种云的运营模式与技术,只是想弄清楚一点:“云服务”是一种共享IT资源的服务模式,也就是我们常说的IT租赁服务,基础设施(IaaS)也好,服务平台(PaaS)也好,应用软件(SaaS)也好,都需要用户自己愿意把业务放到“云”中去实现(或没有别的选择),并且还需要一定数量的用户支持(业务是好用的),否则云服务厂商的建设就是亏本的,甚至可能如“铱星”计划一样,技术与目标够好,但用户数量少,最后沦为被卖出的下场。
用户愿意选择云服务吗?用户在想些什么呢?
转载请务必保留署名与链接:http://www.80sec.com/security-about-framework.html
EMail: wofeiwo#80sec.com
Site: http://www.80sec.com
Date: 2011-03-14
From: http://www.80sec.com/
[ 目录 ]
0×00 起
0×01 承
0×02 转
0×03 合
0×00起
最近框架漏洞频发,struts任意代码执行、Django csrf token防御绕过、Cakephp代码执行等等各大语言编程框架都相继暴出高危漏洞,这说明对于编程框架的安全问题已经逐渐走入安全工作者的视线。
Web开发框架就相当于web应用程序的操作系统,他决定了一个应用程序的模型结构和编程风格。框架上出了漏洞,就如同当年一个rpc远程EXP就走遍全世界windows的时代。
然而挖掘深层原因,从应用的模型和架构上考虑问题,其实这些框架漏洞都不只是一种偶然,而是一种必然。正是因为框架的模型结构,正因为他们的这种编程风格,才极大的增加了漏洞产生的可能性。
阅读全文
From:http://blog.chinabyte.com/a/506995.html
为中小企业提供解决方案的供应商应该掌握这样的平衡之道:在帮助中小企业实现数据保护最优化的同时,也要帮助它们达到管理流程的精简和费用的降低。 阅读全文
阴阳学说是中国传统文化
的一种宇宙观和方法
论,这两种力量之间虽表面相斥,而实质却相互依存、互为消长,这种传统的方法论在当今的信息社会里同样具有很强的指导意义。信息安全问题就是这样一门追求 “平衡”的艺术。
近年来,在与国内中小企业用户沟通的过程中,我强烈感觉到中小企业在部署IT解决方案时遇到的一个矛盾,即:急迫的需求与有限的资源之间的矛盾。一方面,中小企业急切地需要保护其数据和系统不被偷窃、意外丢失、崩溃、故障等威胁所侵袭; 另一方面,他们也想尽量减轻技术运营的负担,从而能将更多精力用于业务工作。企业主们愈发意识到,信息技术已成为信息海洋中的救生圈。但是,如果拯救他们的信息技术复杂到无法驾驭,那么它终将成为企业发展的绊脚石。
因此,对于为中小企业提供解决方案的供应商来说,也应该掌握这样的平衡之道,即,在帮助中小企业实现数据保护最优化的同时,也要帮助它们达到管理流程的精简和费用的降低。只有这样,企业才能在保持“平衡”中,成就更强大的信息系统。
出处:CIO时代
“安全”是当前信息技术应用领域热门话题之一,作为一项重要考量,特别是在商业应用领域,信息安全是业务运作的基本要求之一。企业级SOA在提供价值链上企业之间信息共享和业务流程自动化的同时,也对信息安全提出新的挑战。
毋庸讳言,“安全”是当前信息技术应用领域热门话题之一,无论是操作系统,还是应用软件,安全总是作为一项重要考量,特别是在商业应用领域,信息安全是业务运作的基本要求之一。企业级SOA在提供价值链上企业之间信息共享和业务流程自动化的同时,也对信息安全提出新的挑战。
基于企业级SOA更加容易实现跨越企业边界的业务系统自动化和信息共享,开放的数据访问和网络服务调用给商业运作带来便利,同时也更加容易受到攻击,如果没有提供良好的安全防护机制,开放网络服务无疑等于打开了潘多拉宝盒。
阅读全文
