- Mar 22 Thu 2007 14:29
-
因脆弱性對策的滲透相反瞄準' Web伺服器' '設置不當'的攻擊增加
- Mar 22 Thu 2007 14:28
-
在攻擊者的手指頭上改變網頁閱讀者的工具 --研究者發表
- Mar 22 Thu 2007 14:27
-
新世紀週刊:解密“灰鴿子”木馬帝國
- Mar 21 Wed 2007 21:50
-
不負責任短文之一 - 工具的迷思
不負責任評論之一 - 工具的迷思
何謂工具?根據Wiki"的解釋-是指能方便人們完成工作的器具,工具可分成兩大類一是物質工具、一是智慧
工具,今天討論的是智慧工具,有幾項分類如語言、邏輯、傳統、算數以及電腦科學類。
所有工具的發明都是為了使人類更方便更快速處理工作。軟體的發明也是,但是工具不代表可以取代所有的
工作,例如健身器材的發明是為了使想運動的人更方便在許多地方運動,不用到特地的地點時間才可以運動
- Mar 15 Thu 2007 16:04
-
人的安全就是管理的安全
加強員工的安全意識比購買[高科技]安全產品來的重要,以下是幾年前英國所做的實驗:
Would you trade your password for chocolate?
OK, security pros, let's talk just amongst ourselves for just a minute. You might have seen that recent news item that reported that 70 per cent of people would willingly trade their computer password for a bar of chocolate. I don't know about you, but that left a pretty sour taste in my mouth. Even worse, 34 per cent would give away their password for nothing! WHAT ARE THESE PEOPLE THINKING?!Clearly, we need to better educate the unwashed masses about the importance of keeping their passwords secure. Along with that, helping them come up with better passwords would be nice. I'm sure you're as sick as I am of seeing passwords like "password", "beer", or "123456". Here's my suggestion: copy the letter below and send it to everyone that needs it. You know who they are. Don't send this part - we don't want them to know that we've been talking about them behind their backs. Just send the letter below, and then follow up with a phone call or a short conversation, just to make sure they "got it." It's not going to be a panacea, but it'll be a start.
- Mar 15 Thu 2007 13:07
-
經由掃瞄網站伺服器,可以發現哪些問題
常用網站伺服器大多分為二大類,當然就是大家最廣為熟知的微軟家族(Microsoft Internet Information Services)與UNIX類家族(Apache),與其他類型服務,如:BEA WebLogic Server / Oracle Application Server / Biztalk Server…..等等,
以下為常見可經由網路型弱點評估系統(Network Secure Scanner)可掃瞄出相關網站攻擊型態:
更多資安訊息請點...
以下為常見可經由網路型弱點評估系統(Network Secure Scanner)可掃瞄出相關網站攻擊型態:
更多資安訊息請點...
- Mar 15 Thu 2007 13:05
-
資安問題 2007年網頁惡意連結最嚴重
道高一尺、魔高一丈,即使現在資訊安全軟體防護周全,但駭客入侵電腦的手法也越來越高明,專家預測2007年網路安全趨 勢,將以網頁惡意連結問題最嚴重。由於遭駭客入侵的網頁從外觀無法辨別,網友一旦瀏覽這些問題網頁,就會被連結到惡意網頁,電腦遭植入木馬程式後,駭客就 能隨意竊取個人機密資料。 根據資訊安全廠商統計發現,全台高達九成的銀行竟然都曾遭駭客入侵,顯見資安問題的嚴重性。不過,許多企業礙於預算,即使曾被駭客入侵,還是不願投資設 備、人力。專家表示,評估今年的網路安全趨勢,將以網頁惡意連結的問題最嚴重。法務部調查局電腦犯罪偵辦科調查員錢世傑說:『譬如駭客會用一種手法叫 SQL Injection,讓大陸駭客只要透過一個程式,就可以入侵你的資料庫,間接把你的網頁改過來了,改過之後你的網頁會變成釣魚網站,任何來到你的網頁瀏 覽的民眾,很可能就經由你的網頁連到一些惡意網頁而被植入木馬(程式)。』
專家指出,被駭客入侵、竄改的網頁,完全無法從外觀分辨,因此使用者的帳戶密碼等機密資料會在不知不覺中被駭客竊取,使用者只能自己多加小心。
詳細內容請點
專家指出,被駭客入侵、竄改的網頁,完全無法從外觀分辨,因此使用者的帳戶密碼等機密資料會在不知不覺中被駭客竊取,使用者只能自己多加小心。
詳細內容請點
- Mar 15 Thu 2007 13:03
-
網路家族 成駭客最愛散播病毒處
網路家族 成駭客最愛散播病毒處
時間: 2007/03/15
撰稿:劉靜瑀 編輯:夏治平 新聞引據:採訪
http://www.rti.org.tw/News/NewsContentHome.aspx?NewsID=65219&t=1
- Mar 15 Thu 2007 11:17
-
微軟2003 SP2千呼萬喚始出來
微軟2003 SP2終於出現了
但是目前只提供 32位元版本英文/德文版本下載,而且他似乎包含去年有補跟沒補的弱點
為何會這樣說呢 所謂有補的版本是指2005-2006年有出HotFix,
如MS05-019~MS06-072多項弱點CAN-2004-1060 TCP/IP Stack
到CVE-2006-5578等MSIE弱點,但是弔詭的事情是2004-2006年微軟一直遺忘的漏勾
CAN-2004-1173 MSIE~DOM與動態網頁 遠端攻擊弱點 、CVE-2005-2388 USB driver緩衝區溢位等弱點,卻到現在才一起包給你真是令人感動. by DragonSoft - Jason Lin
但是目前只提供 32位元版本英文/德文版本下載,而且他似乎包含去年有補跟沒補的弱點
為何會這樣說呢 所謂有補的版本是指2005-2006年有出HotFix,
如MS05-019~MS06-072多項弱點CAN-2004-1060 TCP/IP Stack
到CVE-2006-5578等MSIE弱點,但是弔詭的事情是2004-2006年微軟一直遺忘的漏勾
CAN-2004-1173 MSIE~DOM與動態網頁 遠端攻擊弱點 、CVE-2005-2388 USB driver緩衝區溢位等弱點,卻到現在才一起包給你真是令人感動. by DragonSoft - Jason Lin
- Mar 15 Thu 2007 11:14
-
環保署取得ISO 20000認證
記者馬培治/台北報導
14/3/2007
原文網址 : http://taiwan.cnet.com/news/software/0,2000064574,20115841,00.htm
14/3/2007
原文網址 : http://taiwan.cnet.com/news/software/0,2000064574,20115841,00.htm
行政院環保署取得ISO 20000認證,成為首家取得該認證的公家單位。
環保署環境監測及資訊處今(14)天接受英國標準協會(British Standards Institution)授證,取得資訊科技服務管理認證ISO 20000證書,成為繼台灣IBM後,首家取得該認證的組織。包括監資處及其管理的公文管理系統、行政系統、內部網站,以及署內電腦設備等為認證範圍。並非全署都名列認證範圍內。
環保署環境監測及資訊處處長蕭慧娟說明申請認證原因,表示乃配合政府組織再造計劃,加上研考會曾評定環保署的資訊系統為各部會中最複雜的,因此才打算透過取得ISO認證的過程,重整其資訊系統。
環保署針對ISO 20000專案編列了300萬元經費,於去(2006)年四月評選通過由IBM擔任輔導顧問廠商,在8個月的認證輔導後,在今年初通過了該項認證。
ISO 20000為IT服務管理(ITSM, Information Technology Service Management)之國際認證標準,前身為BS15000。ISO 20000規定了五個關鍵IT服務流程,分別為:服務提供流程、關係流程、解決流程、控制流程以及佈署流程,藉由通過該認證,企業可以證明其IT服務管理能力符合ISO之標準。
一般說來,企業或組織可以透過導入ITIL(Information Technology Infrastructure Library, IT基礎建設集成)方法論,來提升ITSM之品質,並進而通過ISO 20000之認證。
蕭慧娟說明此次認證並未包含署內所有資訊系統的原因,表示環保署內系統太雜,七個處都有各自使用的系統,因此此次導入ITIL範圍僅及於監資處。
但由於列入認證範圍的公文管理系統、行政系統、內部網站,以及署內電腦設備等,是全署人員都會使用的系統,因此「影響其實是全面的,」她說。
提供環保署ITIL顧問服務以取得認證的IBM資訊科技服務部經理陳俊昌則補充道,由於環保署的專案執行時間僅八個月,因此曾建議環保署較小規模的認證範圍,「他們(環保署)並不是挑最簡單的來做,」陳俊昌說。
難以評估效益常成為一般企業在導入ITIL前考慮的重點,非營利的政府機構如何評估導入ITIL後的效益亦引發關注。
負責此案的監資處科長顧鋼基表示,是以署內員工及外包IT廠商的使用滿意度調查、系統可用性等指標作為評估標準,他表示,在導入ITIL後,使用滿意度有顯著提高,達到八成以上。
儘管導入ITIL,乃至通過認證後,環保署之IT服務水準確有提升,但在導入過程中,也經歷不少阻礙。
「繁複的教育訓練過程是推動ISO 20000認證中最大的困難,」顧鋼基說。
他解釋,從一開始對全署員工介紹ISO 20000開始,到針對參與人員的8堂ITIL課程、每週的讀書會與檢討會等,「由於常常得在下班時間進行,對同仁來說是很大的負擔,」他說。
陳俊昌則補充,組織在推動ITIL過程中,若員工對導入ITIL缺乏共識、高階主管又未大力支持,「基層員工沒有配合,便很可能失敗,」他說。
可能帶動ISO 20000風潮
環保署通過ISO 20000認證,可能會帶起企業取得該認證風潮。
研究機構IDC企業應用分析師陳志杰表示,環保署取得認證可能引起企業跟進,導入ITIL並申請ISO 20000認證。
提供ITIL導入顧問與ISO 20000輔導服務的IBM,亦大力鼓吹企業導入ITIL以提昇競爭力、降低IT營運成本,「當然也希望環保署的案例能成為企業跟進的範例,」陳俊昌說。
但陳志杰認為,企業跟進不見得是為了導入ITIL所可能帶來的實效。
「導入ITIL需要投資,企業要投資,就會期待看到ROI(投資報酬),」他解釋,導入ITIL的投資不容易立刻顯現效果,ROI也不易量化,是以往企業裹足不前的原因,但導入ITIL有助於取得ISO 20000認證,「對股東來說,有提升企業形象的誘因,」他說。
但他擔憂,若企業導入ITIL的目的是取得認證,而非真正重視ITIL所強調的管理思維,「似乎是有點倒果為因了,」陳志杰說。
- Mar 13 Tue 2007 16:01
-
資安管理與技術應用研討會 ISO27001與ISO/IEC15408
| 近 來資訊安全的議題已受到各國政府機關及企業組織高度重視,為協助企業確保有效管理資訊安全,本研討會首度整合國內資安產業資源,由資安管理與技術應用雙管 齊下,讓您了解何謂資安產品評估標準(ISO/IEC 15408)、如何建置符合企業規模之ISMS、如何有效控管企業資安風險及如何活用安全工具,輕鬆做好弱點稽核,讓您的企業資安一步到位! |
活動時間:
● 台北場:96/4/24(二)文化大學推廣教育部B202~B203 (台北市建國南路二段231號)
● 新竹場:96/4/26(四)交通大學第2會議室(新竹市大學路1001號)http://www.nii.org.tw/TTC_CIS/ (02)2508-2353 分機331(蔡小姐) 線上報 名 (完全免費,名額有限,敬請即早報名)
主題 主講人 報到與領取資料 資訊安全產品評估標準(ISO/IEC 15408) 財團法人電信技術中心
許碧珊 資安組副組長符合資訊安全管理系統標準、控管企業資安風險 CIS大中華區代表
梁日誠中場休息(備有茶點) 中小企業如何以最低成本導入ISMS NII產業發展協進會
魯君禮 協理活用安全工具,輕鬆做好弱點稽核 中華龍網亞太市場協銷部
陳治豪 資深協理交流 Q&A
詳細資料與報名方式請按
