IPv6:黑客的下一个攻击目标

你可以按照自己的意愿推迟IPv6策略的部署,但是你必须应当马上着手解决IPv6存在的安全隐患。如果你计划将IPv6与IPv4进行双堆栈配置,那么在安全方面你不能掉以轻心。如果你考虑全面转向IPv6,这也并不代表你就可以高枕无忧。 最大的潜在安全威胁在于企业网络上已经接入了大量具备IPv6功能的设备,包括所有运行Windows Vista 、Windows 7、Mac OS/X、Linux和BSD设备。 与以前IPv4需要DHCP不同,IPv6不需要人工配置。思科杰出系统工程师,《IPv6安全》一书的合著者Eric Vyncke称,这种无状态的自动配置特点意味着“支持IPv6的设备只需单一的路由通告即可识别自己在网络上的身份”。 他提醒称:“仅支持IPv4的路由器和交换机无法对IPv6设备通告进行识别或做出回应,但是一个流氓IPv6路由器能够发送并解译这种信息。” 无状态自动配置允许支持IPv6的设备与其它的IPv6网络设备和在同一LAN中的服务进行通信。通过这一程序,设备能够通告自己的位置,并可通过IPv6邻居发现协议(NDP)被定位。 但是如果不加管理,NDP可能会将邻近的设备暴露给那些急于收集网络内部信息的黑客,甚至允许这些设备被接管并变成“僵尸”。 Vyncke警告这种威胁是真实存在的。他称:“我们在全球范围内进行了观察,这些僵尸机器正在越来越多的使用IPv6作为与僵尸主控机进行通信的 隐蔽渠道。”在许多伪装中,支持IPv6的恶意软件能够在一个或多个IPv4信息中封装恶意负载。如果没有数据包深度探测等符合IPv6规范的安全措施, 这类负载通过穿透IPv4边界,而DMZ防御却无法探测出来。 安全邻居发现协议(SEND)为IETF针对流氓RA和NDP欺骗等Layer-2层IPv6威胁所开发的解决方案,这些威胁相当于IPv4威胁中的流氓DHCP和ARP欺骗。尽管微软和苹果等知名厂商并不支持SEND,但是一些操作系统厂商已经开始对SEND提供支持。 思科和IETF正在为IPv6制定安全措施,这些措施与目前在用的保护IPv4免受这类威胁侵害的措施相似。 IETF已经成立了一个SAVI(源地址认证)工作小组。思科始于2010年的IOS升级计划目前也已经进入到了第三阶段,预计将在2012年开始全面实施。 Vyncke强调,许多常见的IPv6安全风险是由于终端用户设备在网络中配置不当产生的,正确的配置和IPv6安全措施能够消除许多这类风险。他 解释称:“这类问题的解决办法是部署原生IPv6,以在同一水平上保护IPv6信息,应对你已经在IPv4上成功防御过的同类威胁。” IPSec安全神话 目前普遍认为,IPv6天生就比IPv4要安全,因为在IPv6中IPSec支持是强制性的。Vyncke称:“这个神话需要被揭穿。” 他指出,除去大范围部署IPSec所面临的实际挑战之外,由于(路由器/交换机/防火墙)设备无法看到IPSec封装的信息内容,导致它们的重要安全功能受到了影响。 出于这一原因,作为IETF活跃成员和《RFC 3585》一书作者的Vyncke称,一个IETF工作小组正在考虑在IPv6部署中将IPSec支持由“必须”调整为“推荐”。 关于禁止IPv6,Vyncke认为这是一个非常糟糕的主意,其原因有两个。首先,微软表示在Windows 2008中禁止IPv6是因为配置不支持。Vyncke称,禁止IPv6的做法是一个不切明智的策略,这将导致IPv6的部署不可避免的出现拖延。其次, 无论IT部门愿意与否,支持IPv6的设备已经开始在网络中大量出现,这将导致安全形势出现恶化。 发展动力 除去威胁以外,IPv6的商业部署案例正在越来越多,IPv6已经无法继续被忽视。由于许多国际客户的网络已经不再支持IPv4,银行和在线券商正在失去与这些客户的联系,为此银行和在线券商已经开始正视这一挑战。 西班牙电信和T-Mobile等公司已经开始大规模部署IPv6,尤其是在欧洲地区。美国政府目前也已经开始向IPv6过渡,同时他们还呼吁提供商和厂商提供更多的IPv6产品和服务。 博科通讯系统公司产品管理总监Keith Stewart称:“你永远不希望自己处于无法与客户互动的困境之中。”通过与网络厂商分享观点,Stewart发现向IPv6过渡已经成为了一个大趋势。 Stewart称:“在互联网中整体升级为IPv6既不现实也无法办到。客户需求一个平衡的、实际的解决方案”。他指出,由于服务提供商消耗地址的 速度最快,因此他们是首批升级至IPv6的团体,其次是谷歌和脸谱等内容服务商,最后才是终端用户,因为这些终端用户的家庭路由器有99%是基于IPv4 协议研发的。 在向IPv6过渡的同时,博科也在部署负载平衡器,向对公服务提供IPv6翻译,在内部网络中保留IPv4连接。 瞻博网络公司称,迄今为止,在申请IPv6服务的客户中,大部分来自教育和政府部门,尤其是需要遵守联邦IPv6命令的大学研究实验室和政府机构。 瞻博网络公司预测,2012年IPv6将更为活跃,特别是在服务提供商中。该公司软件工程总监Alain Durand称:“对于我们在全球的客户来说,IPv4地址枯竭日益成为一个非常严重的问题。”Durand预测,大部分IPv6部署都将是一些小项目,它们在现有的IPv4对公服务中采用双堆栈解决方案以增加IPv6功能。他称:“为了解决IPv4地址短缺问题,客户经常会选择增加一个NAT层。” 尽管目前还无法准确预测IPv4地址将于何时枯竭,但是亚太互联网络信息中心(APNIC)首席科学家Geoff Huston 根据IANA和区域互联网注册管理机构公布的数据分析,剩余的IPv4地址将在2014年被彻底用完。 不过,需要注意的是Huston的分析忽略了那些私营公司手中保留的地址,这些地址未来可能会被拿出来使用或被出售。比如,微软在近期收购北电资产 的过程获得了超过60万个IPv4地址。在近期的评估当中,这部分IPv4地址没有被考虑在内,许多业内人员预测随着IPv4地址供应短缺,升级成本将会 上涨。 由于没有可供借鉴的最佳IPv6转型实践,许多网络经理并不愿意主动采取行动。尽管安全问题以及担心无法与已向仅支持IPv6系统过渡的客户通信的问题日益突出,但是保持观望并等待他人探路可能并不是一个明智的态度。 明智的做法是在规划阶段与能够提供架构和安全指导的值得信赖的网络厂商建立或重新建立联系,共同在众多的IPv6过渡方案中找到一个切实可行的方案

集团信息安全

如果您想维持一定的成本,并实行有效的安全,您需要得到并拥有整体业务战略的支持——即使用自上而下的方法。一个自下而上的方法看起来似乎是有效的,但实际上它是非常低效率的。http://w3.isvoc.com/archives/457

Advertisements

30 November, 2011 12:16

信息安全管理领导小组

火灾事故不断有发生,每次火灾都会造成大量的损失,起因往往是缺乏足够的安全防范意识或者人员的马虎大意,而并不是缺乏防火的设备和和灾火的措施,信息安全事故也是如此,进行有效的信息安全防范意识,可以帮助我们避免和减少损失。

29 November, 2011 17:12

桌面安全

各部门以科学发展观为指导,坚持积极防御、综合防范的方针,以基础信息网络和重要信息系统安全防护水平明显提高为目标,进一步强化信息安全监测、预警与应急处置能力,加强安全保密设施建设。

卡恩疑其手机曾遭黑客攻击 指向萨科齐

据新华社电国际货币基金组织前总裁卡恩怀疑自己的智能手机曾遭黑客攻击,而这部手机“凑巧”消失在他因性侵案在纽约被捕那一天。 这部黑莓手机是国际货币基金组织配发给卡恩的“官方手机”。他今年5月14日在前往纽约机场途中曾用这部手机给妻子打电话,告诉她“一些严重的事情”。同一天,这部手机丢失,主人被捕。 即将出版的最新一期《纽约书评》双周刊一篇文章援引接近卡恩消息源的话报道,卡恩被捕当天收到一条手机短信,短信内容是:法国总统萨科齐所在政党人民运动联盟已得知卡恩经由黑莓手机发送给妻子的一封邮件内容。 这篇文章质疑,手机遭黑、丢失乃至卡恩后来卷入一系列不光彩的官司之间,或许存在某种关联。而这些事情或许与卡恩当时的身份相关:卷入官司前,他是萨科齐明年竞选总统的最大竞争对手。 卡恩今年5月因涉嫌性侵索菲特酒店女服务员迪亚洛而遭纽约警方逮捕,但由于迪亚洛可信度存疑,纽约州最高法院8月底撤销针对卡恩的刑事指控。虽然甩掉了刑事指控,但卡恩的政治生涯戛然而止,无缘明年总统选举。 对于这篇报道将手机被黑与萨科齐挂钩的说法,法国执政党人民运动联盟总书记科佩26日回应,卡恩遭“政治黑手”的说法“极其荒谬”。科佩说:“如果它(阴谋)存在,我希望看到证据。”

数据中心安全

SQL注入攻击已经在在10多年了,但是各组织仍未采用适当的措施来防范它们的数据免受这类攻击,它更多是应用安全的范畴,需要将安全内置进整个系统开发生命周期当中。

Facebook 手机明年 4 月发布,免费提供

此前 AllThingsD 报道 Facebook 手机 12-18 个月才能面市,但据 BusinessInsider 提到的独家消息,Facebook 手机发布的时间是明年二季度,可能是 4 月。“AllThingsD 的消息可能是指 Facebook 第二部手机”。

同样根据 BI 获得的消息,Facebook 手机由 Facebook 自己设计,免费提供给用户,再通过广告来收入来收回成本,用户与 Facebook 之间也没有什么协议。但据说 Facebook 每部手机成本 700 美元,这可不是一个小数目。

Facebook 手机将由 HTC 来负责生产。在摩托罗拉还没被 Google 收购之前,Facebook 曾经考虑过 MOTO 和 LG。

Via: BusinessInsider

$70 maybe.

Clicky Web Analytics

匿名者黑客组织公开美国“喷辣椒水”警察信息

\ 美国雅虎新闻网报道,黑客组织“匿名者”22日公布了向美国加州大学戴维斯分校示威学生使用辣椒喷雾的警察信息。他名叫约翰-派克,黑客组织以网络视频方式公布了其手机号、电子信箱和住址。22日晚派克的手机留言箱就被塞满。黑客们称想让警察也尝尝痛苦的滋味

信息化安全规范

不对一线员工进行严格的信息安全管理,就无法达到关乎企业成败的信息保护的高品质要求,这是人所周知的事情。

微软“黑色星期五”促销力度大,Xbox 套装降幅达 50%

微软在自己的 Facebook 页面发布了“黑色星期五”促销信息,与苹果的促销力度相比,可谓“大方”。

促销活动将在美国太平洋时间 11 月 25 日凌晨开始。

Via: Geekwire

奶奶的,人类希望美利坚么。。。。

可惜咱们优惠不到啊!

XBOX只有ultimate gaming bundle降价200刀,那也要444.94吧。普通的套装只降50-100刀而已。请作者自己查看一下.http://www.microsoftstore.com/store/msstore/html/pbPage.BlackFriday。

at Your Local Microsoft Store

Clicky Web Analytics

黑客攻击数十家网吧敲诈 得逞多家极度嚣张

22日晚上7点左右,铁西区很多网吧都遭到了“黑客”攻击。“黑客”不但声称如果一小时内不把钱打到指定账户,就让网吧的所有机器立即“掉线”。而且还公开公布自己的手机号码和银行账号及户名,最后还嚣张地声称“欢迎报警”。许多网吧老板在发现自家网吧果真掉线后,不得不给“黑客”指定的银行账户汇去了现金。   QQ群里传来勒索信息    当天晚上7点左右,在铁西区一些由网管组成的QQ群上,大家都收到了一网名为“G”的人发来的信息。“G”在信息里声称,只要交一定数额的钱,就可以帮助老板攻击其它的网吧,每家交的钱数多少,根据网吧的规模来定。如果哪家网吧不同意,就让哪家网吧立即“掉线”。有的网吧老板以为这不过是诈骗信息,所以就没有理会。   可过了没几分钟,一些网吧的机器却真的开始频繁“掉线”,时间间隔不超过1分钟。许多正玩“网游”的网民,都因为频繁掉线而丢了不少“装备”,纷纷找到网吧要求索赔。网吧老板们感觉到事态的严重性后,立即在QQ上求助“G”,表示愿意破财免灾。但“G”却表示,“你们是敬酒不吃吃罚酒,刚才和你说你们不信。现在晚了,要想不被攻击,只能把刚才的钱翻倍,就算是保护费。如果同意的话可以加我QQ私聊。”发完这些信息后,“G”的QQ号就显示了隐身状态,接着不少网吧的老板都加了他的QQ号。   嚣张“黑客”像是本地人   在铁西解放路立交桥附近开网吧的小刘,就是其中一个当事人。在尝到“黑客”的厉害后,小刘表示愿意交300元钱的“保护费”。于是小刘在QQ上和“G”聊了起来。小刘表示自己开网吧也不容易,每天挣不了多少钱,希望“G”能便宜些。“G”嚣张地回复:“刚才让你们交钱你们不交,现在晚了,我都说翻倍了。不过看你态度比较好,就收你500元钱吧。我欢迎你们报警,报的人越多越好,警察抓不住我的。”接着,“G”发来一个某银行的账户及户名。还有一个鞍山本地手机号码,并表示可以来电细谈。看到这些后,小刘认为“G”指定的银行在铁西区比较少,再说当时已经是晚上8点多了,银行早已经关门了。于是,小刘给“G”打去电话说明了情况。   电话那头是个青年男子的声音,而且还是鞍山本地口音,对鞍山城区十分了解。当听说小刘找不到指定的银行后,“G”清楚地告诉了小刘这家银行在铁西的具体位置,并表示这家银行可以通过自动提款机转账,全天都能用。在小刘给“G”转去500元后,他的网吧机器果然又能正常上网了。   “这个‘黑客’太坑人了,估计是用的木马病毒。这下我们都成‘肉鸡’了,只能任他宰割。我在网管群里了解到,至少有50到60家网吧都给他汇钱了,从300到1500元钱不等。”小刘无奈地说。   目前,受害的部分网吧老板已经报警,案件正在进一步调查中。

人员安全意识

信息安全管理体系的部署是一个商业项目,而不是技术或IT项目。除非获得会对业务的成功有重要影响力的董事会、高层管理及高阶业务和职能经理们的积极支持,否则项目会失败。

微软与雅虎签署保密协议,进入收购者队列

微软与雅虎签署了一份保密协议,微软可以像 Silver Lake、TPG 一样更清晰地了解雅虎的财务状况。这意味着微软加入收购者队列,开始认真考虑竞购雅虎。

购买雅虎可以为微软带来巨大的流量,以与内容大户 AOL 竞争,但微软投资者认为雅虎增长潜力有限。

微软曾在 2008 年准备 446 亿美元收购雅虎,但遭到雅虎拒绝,当时雅虎股价是 33 美元,现在已经跌到 15 美元。

Via: VentureBeat

Clicky Web Analytics

24 November, 2011 09:51

南京安全意识培训

各部门要建立健全监测预警应急处置机制、深化等级保护和风险评估、开展党政机关网站信息安全专项整治、加强信息安全知识普及宣传培训和加强信息安全工作考评等工作作了具体部署。

Windows 8将捆绑杀毒软件 相关公司或重洗牌

微软十分平静的宣布,Windows8将捆绑反病毒保护组件,不像Windows 7那样需要手动下载Security Essentials。用户多年来一直批评Windows不安全,此举将可增加系统安全性。但对多年来受益于Windows安全漏洞的安全公司来说,这个消息是惊天霹雳,利润颇丰的安全产业面临重新洗盘。 Sophos认为更安全的Win8虽然有益于消费者,但会伤害Sophos在内的安全公司。微软的新举措与十多年前的捆绑IE浏览器

火狐安全员发现Chrome高风险漏洞获千元奖金

谷歌近日推出Chrome15.0.874.121,更新浏览器JavaScript引擎,并修复了一个高风险的安全漏洞。该安全问题是在浏览器JS引擎的越过内存写入结果。在正常情况下这种漏洞会允许远程执行代码,属于关键漏洞。然而,由于谷歌浏览器使用一个本地的沙箱,以防止攻击者执行恶意代码,有效防止了Bug的严重性。 该漏洞被Mozilla的安全工程师Christian Holler发现,通过报告该漏洞给谷歌,获取了$1,000的奖金。谷歌Chrome 15.0.874.121推出Win/mac/linux三版,还修复非安全问题,SVG元素可在iframe内加载,忽略指定的维度。    其他修复包括Chrome浏览器在Chrome OS系统的表现,以及包括Chomoting远程访问所采用的默认NAT横跨政策、下载文件夹显示、登录过程、以及GPU黑名单设置。此更新还包括修复的V8 JavaScript引擎中的小bug。   Google Chrome通过使用内置更新机制,建议用户升级到新版本,重新启动浏览器即可体验新版。

安全技术、流程与人员

云计算的发展还面临诸多挑战。首先是信息安全和隐私保护问题。它涉及三个层面:云计算服务用户数据和应用的安全、云计算服务平台自身安全和云计算平台提供服务的滥用。http://www.isvoc.com/information-security-training-advantages.html

BIND 9 DNS域名服务器遭受拒绝服务攻击

发出警告,称BIND 9 DNS域名服务器正遭受协调的拒绝服务攻击,它可能存在一个未知的0day漏洞。 警告称,DNS域名服务器执行查询时出现崩溃,返回了一个错误信息"INSIST(! dns_rdataset_isassociated(sigrdataset))"。多个版本的BIND受到了影响,包括BIND 9的所有版本。ISC认为是一个目前还没有识别的网络事件导致BIND 9解析器去快取一个无效的记录,后续查询引起了解析器崩溃。ISC正在寻找原因,制作补丁解决异常退出问题x

山西信息安全

保障业务信息安全和业务持续运作是组织中所有人的职责,要让每位员工了解和切实履行自己的安全职责,需要信息安全管理层和员工之间进行有效的沟通,而且这种沟通还需要持续不断地进行,这可不是一项轻松的工作。点击http://vitamins.isvoc.com

视频:国内组织发布iPhone4S越狱视频 拟绕过代码签名

http://type= 昨日国内破解组织CD-Team公布了一段iPhone4S的破解视频,画面中已经顺利的装入了Cydia,并且手机可以无需引导进行重启。破解后支持iTools工具的连接。同时这一国内破解组织还表示目前正在研究绕过代码签名的方法。   从画面中可以看到iPhone4S中已经装入Cydia。同时在开关机环节中也无需引导,基本达到了完美越狱的标准。   公布视频的这支国内破 解组织的名称为“CD-Team”,即CNDevTeam的缩写。该组织为一个由来自国内计算机安全行业的专业人士组成的iOS设备越狱研究小组。在目前 国内外尚未iOS5完美破解和iPhone4S破解方法的公布,而该组织如果一切工作顺利,全球首个iPhone 4S破解方法的公布将由中国人来完成

信息安全博客

普通用户缺乏对信息安全所面临的普遍威胁的正确认识是网络犯罪上升的主要原因,所以公司需加强对非IT人员的计算机安全基础培训。如何应对,请看我们的信息安全教育方案:http://www.isvoc.com/information-security-awareness-solutions.html

日防卫省要求军工企业加强网络安全 全天监视重要信息

环球网记者赵文杰报道,据日本《每日新闻》11月15日报道,由于“连续遭到网络攻击”,日本防卫省近日要求军工企业加强网络安全措施。   报道说,日本防卫省将修订《确保信息安全有关特别条款》,要求企业受到病毒感染和非法链接时立即上报。防卫省还要求,对保存在网络或电脑内的应受到保护的信息是否被移动要保持“365天和24小时”的监视,并采取加密技术和保存链接记录三个月以上等措施。此外,日本防卫省还计划对相关企业的员工进行培训,制作各个企业负责人的联络组织图表等。   另一方面,此前曾疑似感染电脑病毒的日本三菱重工也为加强网络安全,将采取24小时监视网络通信,以及把应受到保护的信息从企业局域网进行隔离保存等措施

西安信息安全培训

那些由先进的网络信息安全系统搭建的技术防范体系很可能脆弱不堪,这是因为企业信息安全的真正短板就在于人们的安全防范意识。

赛门铁克退出与华为的合资公司,将继续投资中国

据路透社报道,华为出资 5.3 亿美元收购了与赛门铁克合资公司 49% 股权,公司性质变为华为独资。这一消息得到了赛门铁克 CEO 恩瑞克·塞伦(Enrique Salem)的证实,塞伦今天在北京的“赛门铁克中国区用户大会”上表示,“合资公司已经完成了四年前的使命”,提高了中国市场的渗透率,所以现在选择退出。

塞伦同时表示将继续投资中国,目前赛门铁克北京、成都分别有两个研发中心,大中国区的员工数超过 900 人。

塞伦在今天的用户大会上,阐述了赛门铁克将来业务的方向:移动互联网、云计算(私密云)和虚拟化技术。“致力于保护和管理用户的身份和信息资产”。

Via: ifanr现场报道

Clicky Web Analytics

2011年上市的互联网巨人【信息图】

似乎互联网也随季节的变化而变化,你知道,冬天到了,互联网的冬天也来了。

就拿刚上市的GROUPON来说,有人就不看好它的前景,认为它提交了IPO申请,拟融资10亿美元

可是,冬天来了,春天还远吗?

信息安全游戏

非法闯入是指黑客利用企业网络的安全漏洞,不经允许非法访问企业内部网络或数据资源,删除、复制甚至毁坏数据。http://www.isvoc.com/information-security-training-advantages.html

使用亚马逊云服务的或有被“黑”风险 数据可能丢失或被感染病毒

新的调查显示,在无安全保障的公共云上使用虚拟映像可能带来不安全因素。 从Eurecom,东北大学以及SecludIT的调查结果来看,尽管不是亚马逊的错,但是使用其EC2(弹性计算云)服务却会给用户带来安全上的威胁。倘若第三方在使用亚马逊公共检索目录内的预设虚拟机图像时不遵循最佳安全做法,用户和供应商便会面临诸如越权存取,恶意软件感染和数据丢失等风险。 调查者说同样的安全漏洞可能会在像Rackspace, IBM, Joyent和Terremark这样的供应商提供的公共云上出现。其潜台词是,在享受公共云带来的好处的同时,供应商和用户需提高警惕,共同找出最安全的运行方式。一个房东需要对发生在他房子里面的所有事负责,可是别指望云基础供应商像房东那样,他们可不能对他们机器上的每个映像,每则运算和每笔交易负全责。 一份名为“亚马逊 云服务安全性分析”的调查报告显示,EC2的安全疏漏源于对AMIs(亚马逊机器映像)的滥用和管理不当。AIMs是一种虚拟映像,它的预操作系统和应用程序是由第三方供应商和亚马逊一起提供的。您可以通过EC2方便快捷地部署服务。调查者们在过去五个月内分析了从欧洲,亚洲和美国数据中心获取的5000份基于Linux和Windows的AIMs数据。 他们发现了许多AIMs中存在的问题。首先,98%的Windows AIMs和58%的Linux AIMs都有软件存在关键漏洞。报告声称,“此份调查是基于多重服务而不仅仅局限于某个应用,平均每46个Windows 映像会搭配11个Linux映像。”“我们观察到许多映像和软件都已经使用不止两年了”。 这些漏洞将用户暴漏在恶意软件和未经请求的链接之下。黑客们可以通过恶意软件和链接收集AIMs用户的信息。他们还会通过内置程序漏洞收集目标IP地址以便将来进行攻击。 调查者还发现了涉及证件过期的一个漏洞。当用户使用其密码或者部分SSH密匙登陆远程Linux服务器后,AIM上便留有登陆痕迹。这时黑客们会将自己的完整的公共密匙留在AMI上,这样他们便可以登陆任意一个正在运行的映像。另外,供应商也可能在AMI上留下SSH密匙或密码,第三方会借此进行恶意攻击。(研究者发现每56个SSH密匙中就有54个没有设置密码保护,这显然并非最安全的做法。)AMIs本身也有一些可利用的信息,例如浏览器历史。浏览器历史会泄漏用户的私人信息或Shell的历史记录。黑客可以通过这些信息获取证书信息,例如DNS管理密码。 从理论上讲,映像供应商在再次将AMI公诸于众之前只能删除原来的敏感信息。 可不幸的是,从报告内容来看,这些基本的做法是不够的。“在许多文件系统中,当用户删除过一个文件之后,其显示并未占用空间,但是这个文件仍然保存在物理媒介上(例如,保留在硬盘上)” 这样一来,黑客们便能使用像asextundelete和Winundelete这类的工具恢复已删除的数据。研究人员在测试中发现,98%的AMIs文件,PDF检索,Office文件,密码文件以及私人密匙都能被恢复,这些密匙中包括未采用密码保护措施的亚马逊AWS密匙。黑客们便能免费使用亚马逊资源,而受害者只好为其付费。Amazon’s Web Services Security team has acted on their researchers’ 据报道,亚马逊Web安全服务团队已经在其研究结果的基础上采取行动。例如,亚马逊发布了帮助客户安全共享公共映像的教程。报告中还指出,亚马逊也在寻找防止已删除私人文件被恢复的方法。研究者们在提出的解决方法中强调,适当的培训用户如何使用公共云服务映像是非常重要的。报告中也提到,“尽管公共云服务映像益处多多,但是如果使用者没有受过良好的培训,其使用过程中面临着很高的风险。这些预装和预设的设备可能会传达错误的信息。例如,他们会提供给不会配置复杂服务器的用户们一种易于操作的“快捷方式”。但是现实情况是完全不同的。想要保证能够安全操作虚拟映像,我们必须考虑到许多安全问题

安全小贴士

数据分级时有制定数据的“所有者”及给敏感数据分级,按照 分级的要求制定严格的访问控制策略,基本的思想是最小特权原则和权限分离原则。更多内容请见安全培训中心:http://www.isvoc.com/information-security-awareness-solutions.html

如何让用户点击广告?给他们优惠券吧

相信很多人和我一样,很少会去主动点击互联网上随处可见的各式广告。于是乎,如何提高网络广告的营销效果,成了众多广告主和网络推广从业者一直在思考的问题。很显然,想要驱使“精明的“用户去主动点击广告需要一些精心策划的诱导。所做的诱导并不能仅仅限于吸引用户的单次点击,还应该产生这样的效果:用户感觉这种主动点击是有价值、有收益的,如果机会适合,还会继续尝试这样的主动点击广告的行为。

如果你对一个Linkable就是这么做的。本周的早些时候,Linkable和广告公司 24/7 Real Media达成协议,合作共建“广告-优惠券”平台。这个平台的运作方式如下:用户在Linkable上关联了一张信用卡后,只要点击了那些带有Linkable推广Logo的广告,就可以在线上商城或线下实体店内使用点击广告后赠送的电子优惠券。赠送的电子优惠券和关联信用卡是绑定的,只有通过信用卡支付才能享受这张优惠券。

Linkable的目标并不仅限于网络广告,根据公司官网上的介绍,他们的广告业务还将覆盖电视、广播、平面媒体等领域。然而,如何在这些传统广告领域建立一个有效的“广告-优惠券”平台还是个问题。

Linkable在数字优惠券领域内还面临着不小的挑战,越来越多的公司开始涌向这一市场,比如数字优惠券公司 Offermatic、AisleBuyer、Zavers(社交网络跟踪用户上网行为事件的发生已经让很多用户开始越来越关注自己的数据安全。交易的安全性,正成为用户衡量一个在线平台可靠性的重要因素。因此,除了避免在支付环节出现用户隐私泄露的情形,平台提供者还需要为用户创造一个更安全的消费环境,这样才能建立一个“点击-优惠券-消费-再点击”的良性循环。

天津信息安全知识

云计算、SaaS、社交网络、移动通信和信息安全是拉动科技界并购增长的主要动力。

网络空间:提升战斗力的必争之地

当今世界,网络空间已经切实成为没有硝烟的新战场。网络空间战已不再是纸上谈兵,而成为军事强国新的战略必争之地。 站在国家战略层面重视网络空间 近两年,美国明显加快了抢占网络战制高点的步伐。在2010年《国家安全战略》的指导下,美军于2011年2月、5月和7月分别通过《国家军事战略》、《网络空间国际战略》和《网络空间行动战略》,对网络战进行系统阐述,并第一次针对网络空间制定全盘计划,旨在使用一切手段维护美国的网络霸权。 其他军事强国也不甘落后。俄罗斯在2002年的《俄联邦信息安全学说》中将信息网络战称为未来的“第六代战争”。英国在2009年的《国家网络安全战略》中把网络攻击列为英国面临的四大威胁之一。日本在2010年5月的《信息安全战略》中要求各部门构建能够应对大规模网络攻击的体制,确保网络空间安全。 成立专职网络战指挥和作战部门 1998年和2005年,美军曾先后建成了两个网络战中心,一个是负责网络防护的全球网络作战联合特遣队,另一个是负责网络攻击的网络战联合功能构成司令部。2010年5月,美军又把上述两个部门合并改组为网络空间司令部,该部隶属于战略司令部,总人数约1100人,是美军负责网络安全和网络战最高级别的指挥机构。按照计划,美军各军种也组建了相应的网络战指挥和作战部门。 俄罗斯曾于上世纪90年代成立了信息安全委员会,目前在联邦安全局的牵头下,由各强力部门的情报、通信和电子对抗等单位协同配合进行网络战。英国于2001年成立了一支隶属于军情六局的“黑客”秘密部队;日本于2010年成立了网络空间防卫队;印度也组建了自己的网军——陆海空三军联合计算机应急分队,并计划在所有军区和重要军事部门建立网络安全分部。 提升网络战力量的现代化水平 在技术层面,当前美军的一大建设重点是实现各种作战平台和力量的网络化,如在投入巨资建设“全球信息栅格”的同时,大力加强战场态势感知网络、指挥控制网络和交战网络建设,努力提高各级指挥机构、各军种作战部队和军种内部各级部队的互联互通和信息共享能力,力图通过网络把各部门合成为一个有机的整体。目前,美军在全球4000多个军事设施中建有1.5万余个计算机网络,已经装备“特洛伊木马”等2000多种病毒武器。美军还计划开发一种新的网络监控技术,可以探测并阻止因操作人员疏忽或恶意操作而对国家防御系统造成负面影响。 俄军也已掌握了一些重要的网络攻防技术,开发研制了僵尸网络、计算机病毒、无线数据通信干扰器、网络侦察和数据收集工具等网络战武器,以及一种名为“隐身病毒”的反病毒技术。印军则充分发挥本国软件优势,利用民间资源对芯片技术、密码技术、数据安全等网络技术进行升级,提高网络战能力。其“闪光信使”高速宽带网络和“第三只眼”海军保密数据信息传输网络的建成使用,进一步增强了印军在网络战领域的优势。 检验网络空间战斗力提升的效果 为了检验和提升军队内部、跨部门和跨国网络一体化作战能力,全面增强网络战能力,各国频繁开展网络战演习。近年来,美军内部每年都举行一次“网络防御”项目演习。中央情报局还于2005年5月在弗吉尼亚州举行了为期3天的“沉默地平线”网络反恐演习,通过模拟类似“9·11”事件规模的网络攻击,检验网络安全实际防御能力。 美国除了进行内部演习外,还联合英、法、日等10余个盟国于2006年2月至2010年11月间进行了3次“网络风暴”大规模网络战演习。欧盟27个成员国和冰岛、挪威、瑞士3个非成员国也于2010年11月进行了“欧洲2010网络”联合演习,以检验全欧范围内的联合网络战能力。 此外,美军还率先建立了网络对抗训练模拟系统,对网络对抗技术进行研究。英国则效仿美国于2010年11月启动了一个相当于“网络战靶场”的国家级网络训练场,并计划与美国的相关机构进行连接,进行高烈度的网络战演习,共同检验网络空间战斗力提升的效果

北京安全培训

国人普遍重技术,忽视人员的安全,然而人的因素却是信息安全成败的关键。向最终用户推广信息安全意识,让他们明白和采纳基本的安全防范知识和技能,是信息安全管理人员的工作重点之一。

Flash停止开发 Android是否更加安全

据国外媒体报道,由于Adobe不再开发移动版Flash,恶意软件撰写者可能暂时较难攻击Android。 大部分的攻击都是锁定Flash与其他Adobe产品,包括Flash Player for Android。事实上,Adobe才刚将它的移动版Flash Player更新到11.1.102.59版,它修正了危险安全漏洞。 因此,不将Flash包含在内将可降低操作系统的威胁程度,但究竟能降低多少?   攻击者将必须寻求其他攻击对象,Sophos的首席恶意软件研究人员Fraser Howard表示,实际上,攻击者的目标通常是Windows PC而非移动设备。   Lookout Mobile Security的首席工程师Tim Wyatt则不太担心这个问题。他表示Adobe将Android视为是第一级平台,并且为Android用户提供即时更新。此外,他也从未遇过特别针对Flash执行期的Android恶意软件。   Adobe日前确认在下一版推出后,它将不再为移动设备开发Flash,并将重心改放在HTML5与AIR程序。但该公司保证会为执行该软件的设备持续推出关键补丁修正与安全更新—例如BlackBerry PlayBook与Android设备。   由于Android最为普及,而且是开放性的移动平台,它所吸引的恶意软件也最多。一般Android木马程序会通过有毒的程序、假的防毒软件与有毒的搜索结果偷溜进智能手机之中

网络与信息安全事件应急预案

重视安全不能停留于口头,如何设定信息安全的战略目标?如何分解这些目标?还有如何衡量这些目标的实现情况?信息安全处于混沌之中的组织不重视这些,甚至不屑,而这些恰恰是我们组织的信息安全处于混沌状态的根本原因。http://www.isvoc.com/default.html

Google收购Apture:互联网将可能进入字字“千金”时代

上午的时候我们报导过Google收购页面内即时搜索创业公司Apture的消息。然而这仅仅是一次普通的收购吗当然不是Google很可能会通过这次收购将互联网上的每个词语都变成收入来源。

先看看Apture其浏览器扩展Apture Highlights允许你高亮选择网页内的一到三个单词直接为你弹出一个页面内窗口并呈现给你超过60个来源的信息以帮助你更好的理解你选择的这几个单词。同时如果这几个单词被高亮选择的次数过多那么其会自动变成一个可以点击的链接。

那么收购这一技术和团队后Google可以如何使用呢最大的可能性就是将其植入Chrome浏览器使得你在Chrome浏览器内的搜索方式由搜索引擎搜索转变为高亮选择搜索。也就是说今后你看到一个不懂的词语不明白你就不需要在google.com内进行搜索了而是可以直接高亮选择这几个单词获得来自YoutubeWikipediaGoogle等超过60个来源的信息。

当然单纯的为用户弹出信息肯定不能产生许多收入Google如果将Adwords植入弹出窗口将可能给Google带来巨大的收入增长因此届时网络上将是字字“千金”。

当然Google的官方表态说是为了改善Chrome的用户体验可是如果能够将Adwords植入弹出窗口而又不非常影响用户体验那么Google有什么理由不这样做呢我们就等着看Google什么时候会这样做吧。

另外这里又出现了一个问题届时人们到底是会更加习惯Google的高亮选择搜索呢还是会更加喜欢Siri的语音搜索

Via

青海信息安全

安全是一种状态是一种人文精神是一种企业灵魂安全是对商业风险的平衡信息安全维他命全心全意帮助您详情点击http://vitamins.isvoc.com

首款 BBX 系统的黑莓手机将有 PlayBook 的分辨率并支持 BES

RIM 确认将会在发布第一款手机前把全部的黑莓企业服务带到 BBX 平台上。值得注意的是分发给开发者的 PlayBook 2.0 测试版中仍没有原生的 RIM 企业支持。

RIM 还说即将到来的 BBX 手机将会有和 PlayBook 一样的 1024 x 600 分辨率,保证为 PlayBook 所写的应用能在手机上运行。但这也意味着此款手机要么没有物理键盘,要么是滑出式键盘。RIM 在将来可能会使用不同的分辨率,但第一部手机如此选择能在短期内保证最大的程序兼容性。

传闻第一部 BBX 手机的代号为黑莓 Colt,被认为不会早于 2012 年初发布,但 RIM 急需加快速度以在被过度边缘化之前推出。全功能 BES 支持能保证其企业基础,但是否足够和 Apple 与 Android 竞争还很难说。

Via: theverge

Clicky Web Analytics

亚马逊79美元Kindle成本需花费84美元

MainStreet的一篇文章为我们揭示了其中的秘密文章详细介绍了一部79美元的Kindle究竟会让亚马逊赔多少钱。

如果想了解所有亚马逊产品比较请看这里

根据市场研究公司 IHS iSuppli 提供给 MainStreet 的独家报道说79美元的 Kindle 实际上要花费84.25美元制造。这意味着亚马逊每卖一个Kindle fire 就要损失5美元。

亚马逊的Kindle电子阅览器在价格上不仅击败了所有的竞争对手也同样击败了自己。

iSuppli 将79美元Kindle拆开后将所有元器件包括e-ink显示屏和印刷电路板的成本相加得出总成本大概是78.59美元而制作的人工成本大概是5.66美元。

iSuppli的拆卸服务主管说这个估算是由生产线装配前元器件成本进行估计的也就是说还没有计算附加的花费如执照费软件和运输费用而这些可能会进一步增加 Kindle 的成本。对此亚马逊还没有回应MainStreet的报道。

但是公司卖79美元的 Kindle 赔钱并不意味这公司在长期的运营中会赔钱。于消费者购买的79美元的电子阅览器是带广告的 而同类无广告产品则需要99美元Enderle Group 的分析员Rob Enderle分析说“这种设备是有广告赞助的所以会抵消一部分硬件成本。”

亚马逊在今年4月份发布了“广告赞助”的第三代 KindleEnderle 分析说这给了公司足够的时间分析年收益模型并决定新一代 Kindle 到底定价几何。

Kindle 植入广告并不是亚马逊可以低价销售产品的唯一原因Enderle 还指出Kindle 阅览器帮助亚马逊卖出大量的杂志和电子书籍所以“即便没有广告Kindle 还是会帮助亚马逊提高销售额”。这使得 Kindle成为帮助提高未来销售额的一项长期投资。

而且现在看起来亚马逊已经完全采纳了这种价格策略iSupply 之前做过的一个分析发现亚马逊卖的每一个Kindle Fire 都会赔钱10美元也有分析说卖一部 Kindle Fire 会赔钱50美元。之所以这样部分原因也许是平板电脑可以比电子阅读器更直接的推销亚马逊的服务和内容。

亚马逊并不是唯一使用其他方式抵消硬件成本的公司很多公司都有促销的策略如在产品推出初期亏本销售而通过其他方式赚钱。Enderle预测亚马逊在电子阅览器和平板电脑方面的竞争者也可能会考虑采用相同的策略。

Enderle说“我们刚刚开始这种理念而且我预测其他产业也会慢慢采纳这种方式。”

以下是 iSuppli 的详细拆分79美元Kindle 电子阅览器制造成本详单

元器件成本价格

显示模块$30.50

主板$30.37

其他附件/最终装配成本$15.08

外壳$2.06

PCB其他接 口$0.59

元器件材料成本小结$78.59

制造成本$5.66

总成本$84.25

关于亚马逊的产业布局可以参见所有亚马逊相关文章

via MS

信息安全经理

现时信息社会种种的便利之余也包含很多信息安全上的漏洞被不法分子利用而产生很多新的骗局和不法手段。保护个人信息安全应该从个人日常小节开始。

RSA 2011:防范针对移动网络的入侵

11月2日至3日,2011年RSA大会信息安全国际论坛在北京举行。在本次大会期间,来自世界各地的46位信息安全专家在大会上发表了演讲,主题涉及应用与开发、密码学与体系结构、黑客与威胁、移动与网络安全,可信计算与云计算等等内容。   本届RSA大会信息安全国际论坛的主题被定为“Alice和Bob的历险记”。所谓Alice和Bob,是指广泛地代入密码学和物理学领域的通用角色。除了Alice和Bob外,安全领域还有其他相关角色。这些名称是为了更为方便地说明议题。   RSA EMC信息安全事业部首席技术专家Samir Saklikar隶属于RSA CTO办公室。他领导者一个高级开发团队,并主要负责关于云计算和移动安全的新奇创意的架构和实施。Samir在移动安全、网络服务安全和身份解决方案领域有着多年的时间经验,因此,他所演讲的一个主题就是——《移动信任经纪人——真实世界中互动的一次安全握手》。   移动安全技术并非一劳永逸   随着移动智能终端的不断普及,关于移动网络的应用,包括移动支付都已经逐渐开始出现并得以利用。那么,如何能够确保用户在移动网络中传输的信息不受侵害呢?   Samir Saklikar认为,随着智能手机的发展,很多移动安全的技术都将会被纳入到操作系统当中。这就意味着RSA将有机会以这类技术为基础,将服务整合到系统中。   他同时表示,在网络中不可能出现一劳永逸地免除被袭击风险的情况,移动网络也如是。Samir说:“因为袭击是永远存在的,我们需要做的就是建立起以风险为基础的模型,了解每一笔交易的发生情况,要对交易当中的各种要素,比如用户的状态、他们参与了什么样的支付、他们使用什么样的移动支付、有哪些特点、他们的渠道是什么、终端是什么等等进行总结,然后进行交易风险分析,并给予评分。”   “我们要做到的不仅仅是解决传输和终端的漏洞问题,我们要更上一层楼,从更高的层次分析其中的风险,并且采取相应的应对措施。”Samir,“在这个领域,不仅仅要依靠认证来保证安全问题,同时我们要对交易风险进行分析,了解交易过程中存在哪些风险,再采取相应的安全措施。”   将数据分享和数据分析引入安全领域   网络安全,尤其是Internet互联网安全正在面临前所未有的挑战,这主要就来自于有组织、有特定目标、持续时间极长的新型攻击和威胁,国际上有的称之为APT(Advanced Persistent Threat)攻击,或者称之为"针对特定目标的攻击".。   一直以来,RSA都在防范APT攻击方面进行着深入研究,包括对虚拟化技术的应用。Samir表示,目前RSA已经就APT攻击防范研究出了两个新的方式和途径。   1、智能分享平台 “在这样的机制中,如果多家公司正在处理APT袭击,那么这个智能分享平台就可以使这些公司一起分享APT袭击信息,并且这是保密的分享。通过这些信息的聚集,使我们可以在早期防止APT袭击。”Samir介绍说。   2、对大数据进行分析 大数据是当前非常热门的一个概念,如今,这一概念也被引入到了安全领域。RSA利用大数据分析方法,对用户的安全问题进行分析,使得安全处理和介入更加迅速。Samir表示:“从APT的角度来说,我们着重发展的就是智能分享平台和大数据分析技术。我是来自CTO办公室的,我们正在对这样的技术战略和方向进行分析,但还没有取得最成熟的结果。”   Samir最后表示,在移动平台仍然存在着多种针对数据安全的挑战与难点。比如,我们如何给操作系统提供安全保证,使得应用程序能够在网络中安全地存储数据?“我们的挑战就在于一旦出现这种情况,我们如何保证设备平台的安全性,使得这些应用程序中的数据得到保护。”他说。

青海信息安全

近年来,针对政府、金融、交通、电力、教育、科研等领域系统的攻击数量明显上升。要想在未来的博弈游戏中取胜,各类型的组织还是得加强整体的信息安全管理。http://www.isvoc.com/information-security-awareness-video-library.html

Adobe 将放弃移动版 Flash Player

Adobe 将会在明天宣布他们将不再专注于为移动浏览器开发 Flash Player。

根据 Jason Perlow在 ZDNet 的报告,我们得到了以下信息:

“ 我们未来的在移动设备上的工作重点将是帮助 Flash 开发者使用 Adobe AIR 在各大主要的程序商店中发布本地应用。我们的 Flash Player 将不再适应移动设备上的新浏览器,系统版本和设备配置。”

这些年,Adobe 一直在解决 Flash 在移动设备上的问题,但情况并一直不容乐观。

Via: ZDNET

不指望TA

真的假的啊……?

以后这块被HTML5占领了?

干嘛要放弃呢

Clicky Web Analytics

想知道听Lady Gaga的时候喝什么吗?Drinkify会告诉你

喜欢的口味选择听的歌曲。

Drinkify,是一家新建立的网站,帮助你获得特殊的音乐体验。并没有告诉你听什么音乐,Drinkify告诉你听不同音乐的时候应该喝什么,而且告诉你如何准备这杯饮料。

比如,当你想听Damien Rice,Drinkify建议喝杜松子酒,蜂蜜和V8。

如果想听一些欢快点的音乐,例如听Lady Gaga的话,Drinkify 建议喝点伏特加,并配以橄榄叶。Drinkify 不仅告诉你喝什么而且根据你选择的艺术家下载音乐。

虽然仅仅只有这些,但是说实话,在听音乐的时候可能也不需要其他了吧。这个网站做的功能简单,但是目标明确,如果说改进的话,也许再加一点心情选择,又或者做一个反向搜索来寻找什么音乐与你最喜爱的饮料相配。我们不得不承认,人们确实很好奇到底每首歌都和什么饮料相配。

因为源于Last.fm, 这个网站支持几乎所有能想到的艺术家。Drinkify是在波士顿的Matthew Ogle三个人在24小时内开发出来的。

via

bohui
安全响应中心

印度在信息全球技术产业的研发、设计、外包和培训服务方面有独特的优势。采用符合国际标准的信息安全意识培训课程,可以帮助您节省培训成本,http://www.isvoc.com/information-security-training-advantages.html

Photoshop Elements 和 Premiere Elements 进入 Mac App Store

Adobe 终于向 Mac App Store 迈出了重要的第一步:发布 Photoshop Elements 10 EditorPremiere Elements 10 Editor。它们是 Adobe 的专业级图片和视频编辑套装,每个售价 79.99 美元。

这是 Adobe 第一次把自己大受欢迎的软件放至苹果的软件商店中。之前在 Mac App Store 推出的唯一产品是 Carousel,一个云端的照片浏览应用。

尽管苹果要抽取 30% 的提成,此价格仍低于直接在 Adobe 网站上购买的 99.99 美元。这一举动可能会对将来的第三方软件发售产生长远影响。

Via: thenextweb

Lightroom呢?

Clicky Web Analytics

据说苹果将要为下一代iPad高清屏启用新的背光设计

据苹果的两个台湾LED背光单元BLU, Back Light Unit供货商提供的消息苹果为下一代iPad使用的高清显示屏将会有很大的改变。

为了支持2048 x 1536的分辨率现在iPad2支持的单条LED平板设计可能需要改变很多才能保持或者加强屏幕的亮度。这两家供应商给为下一代苹果iPad提出了两个可选方案一个是保持单条LED但是增加两块LED芯片另一个是使用双条LED。

新一代的屏幕应该可以支持264PPI或者更高至少是当前iPad2支持的132PPI的两倍而且更接近iPhone 4/4S的326PPI。

据说苹果更倾向于选择双条LED的选择而且供应商也已经解决了双LED技术所导致的发热量增加和耗电量的问题。

via

bohui
信息安全讲师

信息安全体系的所有参与者包括信息技术业内人士与信息安全攸关的利益方以及信息系统的最终用户群乃至用户个体都应担负起提高安全意识维护信息安全的责任。http://forum.isvoc.com

黑客抢先一步 早于苹果放出Siri移植教程

           配置文件(AssistantServices.framework.zip):

信息安全意识培训

信息安全威胁也来至多个方面:病毒的侵袭、黑客的非法闯入、数据”窃听”和拦截、拒绝服务、内部网络安全、电子商务攻击、恶意扫描、密码破解、数据篡改、垃圾邮件、地址欺骗和基础设施破坏等。http://bbs.isvoc.com

Google老大认为Siri是严重威胁

人似乎都会健忘选择性健忘。

上月Google董事长Eric Schmidt曾在参议院司法小组委员会面前回答过Google的行为是否构成反竞争当时有两个问题非常引人注意第一是他认为苹果不是一种竞争威胁第二是他承认Google在搜索市场占主导地位。

现在Schmidt改口了。根据该小组委员会公布的书面答案Schmidt在上述两个问题上的态度发生了180度大转弯。

谈到苹果他说Siri是一种“重大进步”Siri作为一种搜索工具的有效性让Google措手不及。“Google有很多强大的竞争对手我们有时无法预料新的信息访问方式带的竞争威胁。”

此外Schmidt还在书面回答中表示Google实际上没有主导搜索市场并且Google一直在努力才有了现在此外还有很多运气的成分在里面。他无法把Google和市场力量联系到一起。

此前听证会曾讨论Google在搜索结果页面的“实时搜索结果”部分显示的股票信息、地图线路等是否构成竞争。

现在Google在苹果的平台Siri上也遇到了类似的问题。当你问Siri一个问题时她只有迫不得已时才会在网页上搜索只要能通过Wolfram Alpha和Yelp等合作伙伴上找到答案就会绕开Google。

苹果实际上在去Google化Schmidt认为这是一种威胁。或者说至少他希望小组委员会也这么认为。

从Siri对克星

还有另一种可能Schmidt不是健忘而是顿悟

来源


南京安全意识培训

通过白色恐怖来恫吓员工员工的工作激情会受到打击协同合作的氛围、员工及部门之间的信任关系也会受到重创提升员工的信息安全意识才是正道请看安全教育方案http://www.isvoc.com/information-security-awareness-solutions.html

iPhone 4S 在香港 Apple Store 接受预订,港币 5088 元起

港行 iPhone 4S 已经上架销售,定价从 5088 港币起,折合人民币不到 4200 元。这个价格比澳大利亚无锁版便宜了很多。具体价格是:16GB 5088 港币,32GB 5888 港币,64GB 6688 港币。

现在预订,需要等2-4个星期才能发货,而且每个 ID 限购 10 台。看来很有可能出现缺货的情况。

人类是无法阻止黄牛的

港版siri支持的是普通话,粤语,还是英语??

应该还是只有英语和部分欧洲语言。就好像日本上市的4s也不支持日语一样。

Clicky Web Analytics

iPhone 4S 在香港 Apple Store 接受预订,港币 5088 元起

港行 iPhone 4S 已经上架销售,定价从 5088 港币起,折合人民币不到 4200 元。这个价格比澳大利亚无锁版便宜了很多。具体价格是:16GB 5088 港币,32GB 5888 港币,64GB 6688 港币。

现在预订,需要等2-4个星期才能发货,而且每个 ID 限购 10 台。看来很有可能出现缺货的情况。

港版siri支持的是普通话,粤语,还是英语??

应该还是只有英语和部分欧洲语言。就好像日本上市的4s也不支持日语一样。

Clicky Web Analytics

LoiLoScope 2 让你实时编辑高清视频

LoiLoScope 是一款视频编辑软件,最近该软件又推出了新版本,主要针对Windows平台,仍然保持之前的非常易用的图形界面,并且添加了一些技术性非常强的功能。

新版本进行的改进主要是将之前交给CPU去完成的一些任务比较重的工作交给了Geforce GPU的PureVIDEo进行解码,CPU占用率只有4%。

由于有了这种“GPGPU编辑引擎”的功能,LoiLoScope可以让使用者进行实时的编辑高清视频,可以在编辑过程中实时查看效果如何,而不用等到整个视频编辑完才能查看编辑效果。

LoiLoScope支持很多种的视频格式。除了可以使用一般的方式来编辑视频,LoiLoScope允许使用者在视频中添加图像、邮戳、照片、声音或其他各种效果。当编辑完成之后可以直接在软件中分享这个视频或或者将其刻成HDDVD或蓝光DVD

LoiLoScope2针对之前版本在界面上有很大的改进,并且仍然支持拖拽,并且提供了一个指导的功能。可以去帮助初学者去完成他们的工作。

下面是一个LoiLoScope2的介绍视频。

LoiLoScope2售价98美元,但在今年圣诞节之前打折为79美元。Windows使用者可以从这儿下载

via

fangzhen
CISSP教材

想要安全高效地使用计算设备和互联网,并不是件简单和容易的事,信息科技不断变化,我们需要不断探索和学习,很高兴您能看到、理解并认同这一点。http://www.isvoc.com/information-security-awareness-video-library.html

中国成为世界第二大移动应用市场

据 Flurry 调查数据,中国已经成为仅次于美国的世界第二大移动应用市场。

数据显示,在 2011 年(1月—10月)中国应用使用量增长了870%,是排名前 100 名国家平均增速的 4 倍以上。

此外,中国应用下载量的份额增至 12%,次于美国 57% 的份额。

Flurry 预测,如果中国维持目前的增速,可能会在 2013 年底超越美国。

Via: TNW

不知道用户价值在世界上排第几?

Clicky Web Analytics

Kinect 商用 SDK 将于明年发布

Kinect 体感控制器作为 Xbox 360 的配件显然是大材小用。据悉,已经有来自 25个行业的 200 家企业和微软接触,希望可以将 Kinect 技术运用在他们的产品上。

以往,程序员只能通过破解 Kinect 来将其运用 Xbox 360 以外的设备上,明年这种情况将会改变。微软官方证实,2012年将会有一个 Kinect 商用 SDK 交到开发者手中。由此,利用一系列开放的 API ,我们将在诸多设备上看到这一先进的操控技术。

微软将这一开放称为:“感受 Kinect 效应”。

Via: Techradar

Clicky Web Analytics

LINUX的前世今生【信息图】

Ubuntu也要进军移动市场,众所周知Ubuntu是开源操作系统LINUX的版本之一。

红帽CEO吉姆·怀特赫斯特曾在采访时说过,没有开源,谷歌和Facebook根本不可能继续存在。而LINUX作为开源软件的先驱,它的出现充分体现了互联网的分享精神,也在一定程度上促成了后来的许多互联网巨擘的出现。

下面我们就来一起回顾一下LINUX的前世今生吧。


广州安全培训

信息安全运维本身是比较枯燥乏味的工作,但是世界快速发展变化,新的安全威胁不断出现,运维团队也需及时了解新的安全态势和应对策略。http://www.isvoc.com/infosec-awareness-success-stories.html

Windows 8十大安全漏洞缠身 尚需第三方安全软件

众所周知,微软谈论Windows 8已经超过一年多时间了,每次谈论话题都会引出不少兴趣点,引起人们的极大关注。近期,微软开始对Windows 8的安全问题大为关注,该公司表示,由于Windows Defender、IE和系统内核的进一步强化,会给软件应用带来比以往更高效的使用体验。微软的这些努力,似乎会给用户和某些安全专家带来疑惑:在Windows 8上还需要使用其他安全工具吗?但纵观微软过去的历史,这不大现实。   也许它会比Windows 7更安全,但并不足以说明它“坚如磐石”。因为有黑客已经发现Windows 8还有不少安全细节没有充分考虑到。下面,我们逐一为您介绍。   1、应用程序安全级别   和Mac OS X Lion一样,Windows 8也提供有applications marketplace,它能帮助人们在平台上更好的工作。然而,不同应用软件在Windows平台上拥有不同的安全级别,这样一来,这些应用程序在 Windows 8上其后果同样不可想象。 Windows 8难逃厄运 十大安全细节缠身  2、漏洞百出的Flash平台   使用过Windows的用户,就很清楚Flash的安全问题了。日复一日的安全更新,却还不能减少其带来的安全风险问题。正是因为如此,乔布斯在几年前就指出,在iOS上不支持Flash。Adobe平台上的安全风险问题成为Mac OS X弃之不用的主要原因。可以毫不客气的说,Flahs是Windows用户当前所面临的最大安全威胁,就这一点来说,Windows 8难逃厄运。 Windows 8难逃厄运 十大安全细节缠身  3、Facebook   目前,还不十分清楚Windows 8是否能为用户在使用社交网络的时候提供安全服务。拥有8亿活跃网民的Facebook,成为了备受用户喜欢的网络服务之一。不过,每天数十亿页面内容的共享,也同时会带来很多恶意软件。如果某个恶意软件或者病毒也被带入到了共享页面中,被用户访问到了,Windows如何提供更好的防御措施? Windows 8难逃厄运 十大安全细节缠身  4、Twitter   不仅仅是Facebook,Twitter也同样每天汇集了数百万网民的共享链接。虽然大部分网络链接都是安全的,但情况并不总是如此。更糟糕的是,用户往往不会仔细检查这些链接的合法性。这种问题,对于Windows 8用户来说,更具有危险性。 Windows 8难逃厄运 十大安全细节缠身  5、用户的网络浏览习惯   除了Facebook和Twitter,网络浏览习惯也是Windows 8安全问题的一大源头。人们会在搜索引擎中点开充满挂马的网站链接,也有时候会通过垃圾邮件登入非法网站。无论是哪种情况,也无关用户使用何种OS,都难以避免。就此而言,Windows 8如何消除这些问题,仍然没有答案。 Windows 8难逃厄运 十大安全细节缠身  6、电子邮件   只要用过电脑的人都知道,电子邮件带来的便捷性,同时,它也是滋生各种恶意软件和网络病毒的温床。不仅垃圾邮件会给用户发送带有恶意链接的内容,而且通过“共享”伪装成安全电子邮件的链接也会给用户带来麻烦。更为严重的是,当用户在不知情的情况下点击下载这些电子邮件的时候,系统不会及时给出风险提示。微软表示系统应该会进行拦截,但它并没有说明是否能成功。 Windows 8难逃厄运 十大安全细节缠身  7、平板电脑成安全盲区   Windows 8的另一大亮点是随之而来的平板电脑。这对于市场来说是个好事,因为它提供了更多选择。然而对于安全问题本身,却并不是什么好事。黑客逐渐把目光盯向了这些移动终端用户,而Windows 8平板电脑自然也会想传统PC时代一样,成为黑客的主要目标。 Windows 8难逃厄运 十大安全细节缠身  8、IE浏览器   一直以来,IE浏览器是黑客攻击Windows用户最简便的途径之一。在Windows 8上,微软表示通过对IE内核进行加固,以确保安全威胁不再增多。事实上,微软主要是针对“使用已释放位址”(use-after-free) 内存漏洞进行了修复。微软过去提及的IE得到完善的说法,其实早已被不断出现的安全漏洞和攻击事件所反驳。 Windows 8难逃厄运 十大安全细节缠身  9、Windows Defender势单力薄   微软曾表示,Windows 8中Windows Defender获得了显著提升,该安全工具可以使用Malware Protection Center中的恶意软件特征信息。可能有人会觉得,这项新增功能将有效预防僵尸网络和rootkits。但事实并不如此,我们并不能指望仅仅依靠 Windows Defender就能在安全问题上高枕无忧。 Windows 8难逃厄运 十大安全细节缠身  10、Hyper   Windows 8的安全问题已经得到了显著改善,这从微软到安全专家的看法就可以大体得出如此结论。然而,别忘了Hyper会给Windows用户带来安全困恼。用户在 Windows 7能保持安全的其中一个原因就是,他们意识到这个问题的存在,从而时刻保持警惕。如果用户认为Windows 8无坚不摧,那么他将饱受各种安全威胁带来的压力,并成为它们的攻击目标。 Windows 8难逃厄运 十大安全细节缠身

信息安全形势

在了解信息安全培训需求的基础上,组织要进行相关的培训规划,针对不同的目标群体,选择和制定不同的培训课程,以及培训的详细计划。http://w3.isvoc.com/archives/67214

书亦社交,社交电子书服务OpenMargin正式开放

Readmill,它刚刚发布了“Last.fm”,这个应用可以帮助读者记录并且分享读书的时间和进程,或者分享书籍中喜欢的部分,又或者对书籍进行评论。

现在另外一家公司 OpenMargin(姑且翻译为“留白”吧)也在今天正式发布了他们自己的应用。

留白是一个社交平台,可以帮助读者分享对书籍的注释和评论,甚至可以让读者互相对话讨论文章。而且,它有一个很炫的计划,就是允许出版商通过在书籍空白处发布新的内容来增强书籍的可读性。这些新内容的作者可能是原作者或者其他名人提供的注释,这相当于延长了书籍的生命。

现在每个人都可以在其新建的网站上注册,享受他们的服务。并且其iPad应用也已经免费出现在苹果的应用商店中。但是其服务现在只支持不受数字媒体版权保护的epub 书籍。在此服务中,读者发布的所有评论和注释都会被搜集,其他人可以通过其网站获取。

有意思的是,他们的网站并没有用传统的“跟随”其他用户的模式,而 是采用了更偏向兴趣圈的方法。留白创建了一个内在网络,将对书籍有相同兴趣的人们聚合在一起,这样拥有类似想法的读者就能更方便的交流。

像其他在此领域的创业公司一样,位于阿姆斯特丹的留白公司现在最缺少的是和主要出版商的合作。但这未必是个大问题,留白将主要目光留在了新一代希望和读者直接交流的作者身上。

随着亚马逊跳过出版商和作者直接签约模式的产生,还有留白这种跳过出版商将作者和读者直接连接的新型文艺社交网络,我们不仅要问,传统出版商的未来在何方?文化产业的革命即将到来了么?欢迎大家一起讨论。

你可以在

via

bohui
信息安全典故

使用者特别是公司员工,可能是信息安全体系中最脆弱的一环,根据木桶理论,最脆弱的往往决定安全管理的整体水平,所以除了加强补丁管理和终端安全之外,重要的是加强员工的安全意识教育。http://bbs.isvoc.com