大西瓜的杂货铺

大风

写篇杂谈。

我在工作上有许多陋习。

我开会时，除非我自己主持，不然从来不会带本子，一切都是用脑子记。

除了主持会议的人，我很反感开会带电脑来的人，这个态度就不对。带电脑开会的人大部分时间都在梦游。

有朋友给我取过一个外号，叫“道哥”，圈内朋友知道这个外号的也不少。获得这个外号的缘由是某天我在群戏言，已经把安全上升到了”道”的高度。

阅读全文

西瓜注：你相信也好，认为他说的不对也好，但是听取他人的想法是个很好的习惯。

From：鲲鹏

看到有人评我很久以前写的文章，于是又回过头自己读了一遍，其实现在我也仍然认同当初自己的观点，仅仅是现在根本不去想这些事情了，那些只不过是我 工作1，2年时考虑的问题，而不是我现在要考虑的问题。如果你一定要问我，我会直截了当的说“信息安全只是冰山一角，他并不是一个广阔充满前景而又充满挑 战的领域”

阅读全文

From：benny

这里有两篇文章介绍了日志审计的重要性以及作用。现转载如下：
[注]这应该是一个比较早（2006或2007）的文章了，因为Anton Chuvakin在08年就去了LogLogic，而现在他已经自己开咨询公司了。呵呵。不过此文作为SIEM/LM的普及文还是写的不错的。

日志数据可以是有价值的信息宝库，也可以是毫无价值的数据泥潭。要保护和提高你的网络安全，由各种操作系统、应用程序、设备和安全产品的日志数据能够帮助你提前发现和避开灾难，并且找到安全事件的根本原因。

当然，日志数据对于实现网络安全的价值有多大取决于两个因素:第一，你的系统和设备必须进行合适的设置以便记录你需要的数据。第二，你必须有合适的工具、培训和可用的资源来分析收集到的数据。

阅读全文

据国外媒体报道，赛门铁克安全响应部门技术主管祖尔菲卡·拉姆詹（Zulfikar Ramzan）近日在接受科技网站PCWorld电话采访时称，系统用户决定系统安全性的高低，微软Windows系统并没有“垄断”所有的技术漏洞。 拉姆詹表示：“当今的在线犯罪活动多数是针对用户行为的，一般不会针对系统安全漏洞。这种方式对攻击者的技术要求较低。攻击者只需寻找到一个愿意打开恶意 附件的用户就行了。”

这种攻击方式在过去两年呈现急速上升的趋势。据赛门铁克统计，目前只有3%的恶意软件是针对系统漏洞，高达97%的恶意软件属于社会工程学范畴。

换句话说，多数的攻击者现在已经把目标从技术漏洞转移到用户。攻击者通过对用户心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行欺骗，取得自身利益。

阅读全文

From:FlashSky

那天去TENCENT做安全测试的交流，听到一个很奇怪的理论：TENCENT 不是卖软件的，是卖软件之上的服务的，由于软件不直接收到钱，不愿意对软件的安全问题花钱，只愿意对服务的安全问题买单。

但我觉得 1）

服务是基于软件的，没有了软件，也就没有了服务的载体。虽然卖的是服务，没有靠软件直接收钱，但是用户对软件的信任度会直接影响到服务。无论是卖服务还是卖软件，都必须且有责任改善自身产品的安全质量，以保护自己用户的安全，不能因为你不是卖软件的，但用户因为使用你发布的软件遭受到的安全问题你就可以置之不理。

阅读全文

From：大风

上星期和黑哥在群里谈到了安全与业务的一些问题，黑哥之后有感而发，写了一篇：

安全的地位有多高

回复参与讨论的人挺多的，我本来也想在下面回，但是考虑到百毒老是会莫名其妙的删回复，尤其是我还要引用一篇我自己文章的url，肯定会被当成spam， 所以还是在自己的地盘写点感想吧。

从大方向上来看，我还是比较赞同黑哥的观点的。我前些时候写过一篇blog：

浅谈互联网公司安全的发展方向

在文中我谈到了互联网公司做安全的四个目标，其中第三个就是：

阅读全文