惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

freeCodeCamp Programming Tutorials: Python, JavaScript, Git & More
腾讯CDC
cs.AI updates on arXiv.org
cs.AI updates on arXiv.org
L
LINUX DO - 热门话题
D
Darknet – Hacking Tools, Hacker News & Cyber Security
Project Zero
Project Zero
V
Vulnerabilities – Threatpost
Cisco Talos Blog
Cisco Talos Blog
P
Palo Alto Networks Blog
C
Cisco Blogs
A
Arctic Wolf
月光博客
月光博客
The GitHub Blog
The GitHub Blog
T
The Blog of Author Tim Ferriss
量子位
小众软件
小众软件
Latest news
Latest news
OSCHINA 社区最新新闻
OSCHINA 社区最新新闻
Microsoft Security Blog
Microsoft Security Blog
T
The Exploit Database - CXSecurity.com
Security Latest
Security Latest
N
Netflix TechBlog - Medium
K
Kaspersky official blog
人人都是产品经理
人人都是产品经理
Cyber Security Advisories - MS-ISAC
Cyber Security Advisories - MS-ISAC
博客园_首页
Y
Y Combinator Blog
P
Proofpoint News Feed
H
Hackread – Cybersecurity News, Data Breaches, AI and More
M
MIT News - Artificial intelligence
T
Threat Research - Cisco Blogs
S
Schneier on Security
D
Docker
Scott Helme
Scott Helme
MyScale Blog
MyScale Blog
Spread Privacy
Spread Privacy
cs.CL updates on arXiv.org
cs.CL updates on arXiv.org
Threat Intelligence Blog | Flashpoint
Threat Intelligence Blog | Flashpoint
GbyAI
GbyAI
有赞技术团队
有赞技术团队
Google DeepMind News
Google DeepMind News
The Hacker News
The Hacker News
H
Help Net Security
Simon Willison's Weblog
Simon Willison's Weblog
J
Java Code Geeks
C
Cyber Attacks, Cyber Crime and Cyber Security
T
Tenable Blog
B
Blog
Know Your Adversary
Know Your Adversary
IT之家
IT之家

博客园 - OwenWong

翻下旧资料,发现96年考过foxbase二级 这几年专注于流程管理与RPA落地 关于SSD硬盘 权限模型AGDLP 财务分析的30个基本指标[转] 电子取证工具[转] Odoo-10开发环境配置与测试 AX2012 ERP 维度相关表数据关系图 AX2012 ERP Excel报表方案 AX2012 ERP “系统慢”调优---跟踪SQL执行,优化代码 软件推荐----数据库数据处理Navicat Premium 软件推荐----截图软件Snagit 软件推荐----RDO(Remote Desktop Organizer) 浅谈企业信息化 经典笔试题型----IT经理(IT Manager) 浅谈数据库日志 数据访问安全--数据库遮罩及断词 Data Masking & Tokenization 流程优优项目流程 产品经理--这绝对是一个非常有价值的岗位
浅谈安全(数据安全、网络安全)
OwenWong · 2018-01-02 · via 博客园 - OwenWong

做IT多年,安全事件接触了不少(CIH、勒索病毒、XX泄密等等),从病毒到安全事件(包括政府机关的安全事件),也给不少的企业上过安全的课,还做了一年多数据安全产品的产品经理。随便谈谈关于我理解的一些安全。
安全界法则之一:世界上没有绝对的安全。安全的目标:进不来、看不懂、拿不走、跑不掉。

所有的安全中,最重要的是安全意识,而安全意识并不是哪家公司的产品所能达到的,因此安全产品仅能治标,不能治本。

以一个案例来谈,地主老财家,有一个祖传宝贝,你如何确保安全?
1、不让人知道,钱财不露白。这就是安全意识之一,至少你不能让人惦记,不能让人知道你最核心的数据是什么,在哪里。
2、你会在庄园入口增加安防,限制人员进入。这就是准入,比如接入准入,MAC认证
3、你会用一个密码柜把宝贝锁起来。这就是加密,比如文档加密,数据库遮罩
4、你会用院内放一些狗,防止生人误入。这就是访问控制及报警
5、你会安装一些监控,记录15天。这就是审计,数据库审计、日志审计、访问审计等
6、你会用一个一模一样的保险柜,用来骗人。这就是蜜罐、入侵检测等
7、你会做一个大设想,用一个大罩子盖住。这就是政府的内网独立,使用网闸或光盘等进行数据交互。

从小偷的角度来看:
先问清是什么宝贝(社会工程学,几乎都能得手)
踩点(网络嗅探等)
下手(木马植入等)
到手并出售

企业在IT投资上,一般都以业务型投资(ERP、MES、OA、BPM等)为主,安全投资一般比较少。因此企业抗风险能力较小。常见的企业安全投资一般有如下:

1、可靠性:双线路、硬盘阵列等
2、可恢复:备份(Symantec等)、双机热切(Hyper-v、Vmware平台,让热切变简单)
3、杀毒软件,微软的MES不错,但客户端几乎是360等的天下
4、防火墙与上网行为:深信服
5、路由器
6、三层交换
7、无线网络及控制:Ruckus直接的好用
8、统一身份认证:AD
其它的产品用的不多,比如审计、堡垒机、加密、入侵检测等,仅会对特定的环境使用,如设计部门一般会上加密。

以上随想随写,欢迎拍砖。