摘要:服务管理标准ISO 20000发布了，基于以前的BS 15000，主要内容也分为两个部分： - ISO 20000-1: this is the Specification for Service Management. It is this part against which the formal certification scheme operates.- ISO 20000-2: this is the Code of Practice for Service Management. It offers practical guidance and recommendations, and supports the first part of the standard.ISO 20000与ITIL的关系如下图所示： 购买的价格还不低，第一部分169美刀，第二部分189美刀，我欲去拿个证出去蒙事，看看国内哪个培训机构主动出击了。...[阅读全文]

摘要:微软公司发言人汤姆·皮拉表示：“今天，我们发现Windows 2000和NT 4.0的部分源代码非法地出现在互联网上。”他警告说，任何第三方传播这些源代码都是非法的行为，微软将对此采取严肃行动。 嘿嘿，这些很多人有得爽了～ 不多说什么了，非法！ ?...[阅读全文]

摘要:这两天大家在公司的内部论坛上一起讨论对安全的理解，甚是火热，我自上网以来就不大喜欢参与一些比较HOT的讨论，可是心里也有些痒痒，于是在这里独坐一隅也谈谈对安全的理解吧。 首先从个人角度，从事网络安全已经很有些日子了，所谓安全，实际上是对风险管理的最高境界，所有的风险你都给摁住了，你也就达到安全的境界了，这个对个人、对企业、对国家应该都是通用的吧。当然，我们不会去讨论这个角度的安全，我们所需要探讨的只是企业的商业需求需要利用IT来满足时所需要面对的风险即可，既然有了风险，就有了风险应对，我们姑且先按照PMBOK里面的风险应对来进行分类。1、消极风险或威胁的应对策略Avoid：通过安全咨询的服务，顾问们可以给出一些方法回避业务系统可能存在的风险，我们的存在是因为我们专门干这个的。Transfer：对于业务系统而言，风险的转嫁非常困难，我们在这个时候担当的很多时候是责任的转嫁对象，没关系，拿人钱财，替人消灾。Mitigate：我们的大部分工作都是在这个环节，大部分的安全服务和产品部署都是去减少风险的影响或降低风险发生的概率。2、积极风险或机会的应对策略Exploit：Share：Enhance：在安全行业，积极风险似乎非常少，或者是我个人还没有想得太清楚。3、威胁和机会的应对策略Accept：基于Cost-Effective分析后，很多人可能都会采取的方式，对于同一个风险，可能使用网络设备的访问控制、防火墙部署、主机加固、补丁安装等方式都能进行管理，但是客户往往缺乏的是综合分析每一个控制手段所带来的其他好处，因为有一些应对措施客户不会去计算Effectives，甚至有一些咨询的专家也未必能说得十分清楚，一套清晰的安全投资决策树系统肯定能协助所有的人。4、应急应对策略不是所有的风险都能够控制，于是就有了应急应对策略；诚然，项目管理里未识别的风险是没有放在这个里面，但我们必须考虑，在安全行业，未识别的风险的处理方式应该也是放到应急应对策略里面了吧。 说了这么多，很多人一定认为我跑题了，对于安全的理解，批判一个常见的概念吧。批判对象：“三分技术、七分管理”3＋7＝10，也就是安全就分了技术和管理了，从事安全行业的人都推崇备至，我并不去证明到底是3还是7抑或是其分配的比例，而我认为安全仅仅包括技术和管理么？还有更高层面的东西吧－战略层面，业务系统已经意识到安全的重要性了，业务系统的三大需求（Quality、Fiduciary、Security）里已经开始把Security提到了很高的位置了，尤其是在一些金融行业，做安全的怎么去满足这些需求呢？所以从战略、管理、技术层面都应该去满足业务系统的需要，同时也要兼顾其他两个需求，我承认安全有两面性，会让业务系统损失一些Quality，也会让业务系统提高Fiduciary，是不是应该准备一些说辞来满足战略层面的东西呢？难道指望客户去进行分析，而我们不去引导，这样恐怕不是以客户为中心吧。有人也许会说管理就涵盖了我说的这些东西，但管理这词恐怕缺乏方向性的东西吧。（有戚戚者Comment，不信者免谈） 再跑回来，从公司角度吧，我对安全的理解是战略、管理、技术三个层面的，是建立在业务系统这个主体上的，是对IT资源的安全管理(people,application,technology,facilities,data)，是对于P(people)P(process)T(technology)的安全建设，是P2DR(Policy,Protection,Detection,Response)……这些概念有满足我心中三个层面的，也有满足管理和技术层面的，当然，我自己也有在技术层面的解释，每一个都可以说得上是引经据典，但提取出属于自己的方法论才是有效的，只有自己达到了这个高度，才可以跟客户见人说人话，见鬼说鬼话，而所说的这一切都是为公司的商业目标实现卖力的（当然也不排除发自内心的与客户真诚面对的交流），不同的客户选择的风险应对策略是不一样的，同一客户不同的人员关注的焦点也不一样，“只有变化是唯一不变的”，“以不变应万变”，这都是古人教给我们的好招啊，借助别人的研究成果提升对安全的理解，提炼出自己的方法论，找出自己心中理论的基础，从容面对所有挑战。最后给公司做个广告，俺们公司是绿盟科技，欢迎来人来函洽谈业务。 想到哪里说到哪里，这里是blog，我自己的天地。祝福看贴的人身体健康、工作顺利，身体健康>工作顺利。...[阅读全文]

摘要:今天偶然在MS的Download区瞎逛，突然发现Windows 2003的SP1已经出来了，这个SP1相对于2000的SP1时间还是挺长的了，不过一看它的大小，着实吓了我一跳，E文版本的都有337230 KB，现在真是存储变便宜了，MS就开始瞎搞了啊，狠！ 看了看安装SP1的Top 10 Reason，都是和安全相关的，吸引住我的只有一个Windows Firewall Policy Management，看起来好像不错的样子，对部分企业打击很大啊。:0 现在还只出了E文和德文版本，大家先别着急去下啊…… 相关链接：http://www.microsoft.com/windowsserver2003/downloads/servicepacks/sp1/default.mspx...[阅读全文]

摘要: PortQuery 出2.0了，这次的版本可谓大有改进啊，尤其是对本机的scan，可谓是费尽心机。该版本仅能在Windows 2000和以后版本上运行，但如果你是用2000的话建议就不要下载了，因为在2000下Port to process mappings会unavailable，我是在2003下才让我觉得需要推荐一下di…… 我的老规矩，字数不够，帮助来凑 PortQry version 2.0 Displays the state of TCP and UDP ports Command line mode:? portqry -n name_to_query [-options]Interactive mode:?? portqry -i [-n name_to_query] [-options]Local Mode:???????? portqry -local | -wpid pid| -wport port [-options] Command line mode: portqry -n name_to_query [-p protocol] [-e || -r || -o endpoint] [-q]??????? [-l logfile] [-sp source_port] [-sl] [-cn SNMP community name] Command line mode options explained:??????? -n [name_to_query] IP address or name of system to query??????? -p [protocol] TCP or UDP or BOTH (default is TCP)??????? -e [endpoint] single port to query (valid range: 1-65535)??????? -r [end point range] range of ports to......[阅读全文]

摘要: XML 是因特网以及近来 Web 服务持续增长和开发的主要支持者。但是，在实现 XML 语言的全部能力之前，还有许多与安全性相关的工作要做。目前，加密整个 XML 文档、测试其完整性和确认其发送方的可靠性是一个简单的过程。但是，越来越有必要对文档的某些部分也使用这些功能，以便以任意顺序加密和认证以及涉及不同用户或发起方。目前，在与 XML 相关的安全性领域方面开发规范的最重要部分是 XML 加密、XML 签名、XKMS（W3C） 和 XACML、SAML（OASIS） 。 呵呵，做完安全评估，做完防火墙、IDS，做完主机加固，咱们也得多多关心一下应用安全了，不然去客户那能侃的就很少了…… 来源：IBM的XML安全专题...[阅读全文]

摘要:Secunia发布了"Internet Explorer URL Spoofing Vulnerability"，该漏洞理论上并不存在太大的危害，但要求我们在浏览网站时应更加小心了，由于该漏洞利用起来非常简单，估计最近会有一批这种伪造的网站出现，诱惑你输入密码。 打一个比方，如果你在bbs.nsfocus.net论坛中有一个帐号，如果你的帐号有一定的权限的话，我可能会模拟论坛管理员的信箱给你发一封邮件，或者说你的密码即将过期，请前往哪里哪里进行修改，并“好心”地为你做好链接，你点击该链接，IE的url显示的是bbs.nsfocus.net，页面你也非常熟悉（不过已经是经过定制了的），当你输入密码的时候，可能你的用户和密码已经提交到另一个地方去了。 同理，这样的方法也可以适用什么QQ啊之类的玩意，所以以后点击链接前最好多看看连到哪里去了。 以下是一个测试，你访问的是我的blog，但IE的url显示的是http://www.Microsoft.com，仅仅是一个测试，放心地点击试验一下。...[阅读全文]

摘要: 今天看到Microsoft 更新了Outlook里面的Junk Email Filter，其实现在把垃圾邮件拿出来说已经不是一件新鲜事了，我的信箱每天收到的邮件大概在100封左右，其中有用的信件大概是3－5封而已，这些日子也有客户不断提出解决垃圾邮件的需求，我也测试了一些垃圾邮件的产品，有国外的，也有国内的，也了解了不少的信息，但我觉得值得我推荐的还是一个0，我今天也提出一个垃圾邮件的解决方案，希望对一部分人有用。 这个方案是服务器和客户端相结合的方案，我在此只做一些分析，实现我就不在此讨论了，这里这么多搞开发的大拿，嘿嘿 首先，服务器具备一些基本的防垃圾邮件的措施，如现有的打分系统，比如某客户端每天收到20封邮件，其中18封是垃圾邮件，现有的防垃圾邮件系统可以防范住10封，还有8封可能是无法防止的，那么，我们在客户端收到剩余的8封邮件后，客户端可以有一个很方便的提交方式提交给某个信箱，如公司的专门防垃圾邮件的邮箱，这个方式一定要非常方便，比如Outlook里面的一个按钮。当100个客户端提交了一定量的垃圾邮件（如500封）后，需要有一个非常智能的系统对这500封邮件进行分析（我现在没有发现具备这种功能的产品），有一个非常优秀的算法能自动改进现有的打分系统。而对于自动block的mail，邮件系统能每天发送一份报表给客户端，告诉客户端今天你有哪些邮件被Block掉了，每个Block掉的邮件都会分配一个ID号，有一个url，客户click一下这封被误Block的Email就会回到客户端，服务端对这些操作也应该能够进行智能的分析，这个分析可能是一周一次，用于改进垃圾邮件打分系统。 这个系统最重要的其实是垃圾邮件的分析方法，主题、正文、接收者、发送者、发送者的邮件地址、发送者的domain、发送时间等等信息，基本上邮件的所有信息都应该分开进行分析和进行整合分析，这个还是等专业人员来做吧。 希望我的想法能有人进行一下讨论 最后还是把Outlook 2003的更新地址pub一下 Overview: http://support.Microsoft.com/?kbid=832333 Download: http://download.Microsoft.com/download/a/d/d/addc1a61-68be-45a1-a780-8b4d668bdc09/office2003-kb832333-client-enu.exe...[阅读全文]

摘要:搞笑啊，前些日子说了一个IE的Spoofing漏洞，这个漏洞已经报告给微软了，不过微软并没有未该漏洞发布补丁，倒是MYIE（一个IE内核的浏览器）倒是很快做了一个更新，今天又看到一个刚开张没多久的网站居然给IE做了个补丁出来了，而且还公布了源码，去看看吧。 咱们也没事给微软做做补丁吧，hoho :> 消息来源：http://www.theregister.co.uk/content/4/34610.html Patch源码：http://www.openwares.org/downloads/IEpatch.zip? Patch下载：http://www.openwares.org/downloads/IEpatch.EXE 非官方补丁，风险自担哦（我装了一下，暂时还没发现问题）...[阅读全文]

摘要:如果你安装了Office System 2003，如Word 2003，你应该会发现Word 2003的工具栏里面多了一个IRM的按钮，你可以使用它创建带限制权限的内容，支持IRM的产品包括了Office System 2003里面的三板斧－－Word、Excel、PowerPoint。 就目前的技术手段而言，敏感信息仅可以通过限制对存储信息的网络或计算机的访问来进行控制。但是，一旦赋予了用户访问权限，就会对如何处理内容或将内容发送给谁没有任何限制。这种内容分发很容易使敏感信息扩散到从未打算让其接收这些信息的人员。Microsoft Office 2003 提供了一种称为“信息权限管理 (IRM)”的新功能，它可以帮助防止敏感信息扩散到错误的人员的手中，而不论是由于意外还是粗心。即使在文件离开您的计算机桌面之后，IRM 也可有效地帮助控制文件。 当然，Office本身也具备一些安全功能，但相应的Crack技术也在不段发展，文档的密码现在已经不能作为信息保密的唯一屏障了，因此，IRM用来做这些工作还是相当不错的，但Office System 2003自带的IRM必须要求你使用.net passport，这样的限制对于企业内部来说要求未免过高，在1个多月前，MS推出了用于在企业内部使用的IRM Server，也就是我今天要说的RMS（Rights Management Server），你可以在企业内部为将访问该内容的特定人员创建具有受限权限的Doc、Xls、Ppt，而且操作步骤也非常简单，你可以设置读取、更改权限，还可以设定到期时间，你可以让某人只能在哪几天内才能访问该文档。 Winnetmag发布了一篇关于如何Deploy RMS的文章—— http://www.winnetmag.com/Article/ArticleID/41191/Windows_41191.html，软件你可以去微软下载。当然，如果你的企业里面没有Windows 2003，没有SQL Server，没有Office System 2003，那就不要关注了，hoho。 RMS主页：http://www.microsoft.com/windowsserver2003/technologies/rightsmgmt/default.mspx服务器下载：http://go.microsoft.com/fwlink/?linkid=17673客户端下载：http://go.microsoft.com/fwlink/?LinkID=18134相关SDK：http://www.microsoft.com/downloads/details.aspx?FamilyId=2DFCAFB9-3E7B-4F70-B6D3-AECC965CD598&displaylang=enRMS Toolkits：http://go.microsoft.com/fwlink/?linkid=20760...[阅读全文]