论坛公告:应用容器安全指南(SP800-190)中文版   美国政府宣布禁用卡巴斯基软件   《中华人民共和国网络安全法》讨论帖   新手报到专用帖   【论坛公告】关于本站广告贴泛滥问题的整理通知   

当前时区为 UTC + 8 小时


发表新帖 回复这个主题  [ 67 篇帖子 ]  前往页数 上一页  1, 2, 3, 4, 5  下一页
作者 内容
 文章标题 :
帖子发表于 : 2009-06-30 14:22 
离线
站长

关注按钮

注册: 2003-11-11 19:30
最近: 2018-01-08 16:04
拥有: 10,248.00 安全币

奖励: 878575 安全币
在线: 107583 点
帖子: 3276
l0pht 写道:
各有各的道理哈,让小弟受益非浅,但我还有个有趣的想法想说说:

xxxx是一个国内著名的信息安全论坛,该论坛有个严重的漏洞导致会获得一个webshell,事实上个严重漏洞如果够有技术经验一眼就能发现,根本不需要用扫描器或任何工具去挖掘漏洞,但是该bbs上有很多很多人都没有发现,我想因为他们更偏重管理而不是技术(术业有专攻哈),所以这个漏洞可能还会存在很久,所以会一直等到有人来攻破,也许也发现不了……


其实我想要表达的并不是管理不重要,但我认为安全本质还是技术,只是因为安全问题过于复杂,部分问题目前无法通过技术解决,所以同时要引入管理手段。反过来说,如果管理做的很好很好,企业人员整体安全意识也很强,也能够做到熟练使用多种商业化扫描器定期评估,但因为对攻防技术理解不是特别深入,导致出现了一些安全细节的漏洞,导致安全防御体系的全面瓦解。

个人想法哈,别介意:P


这个例子非常不错,也印证一句安全格言:任何安全机制都存在未知的缺陷。

更多安全格言请看:

http://bbs.cisps.org/viewtopic.php?t=19807


--------本帖迄今已累计获得8安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2009-06-30 14:33 
离线
版主

关注按钮

注册: 2004-08-03 11:20
最近: 2018-02-22 15:26
拥有: 24,454.80 安全币

奖励: 24049 安全币
在线: 13043 点
帖子: 1844
地址: 北京
技术 管理 并重 大家都认可

关于木桶的新解释 木板是技术措施 桶箍 是 管理措施 强调管理的重要性 是因为现在管理的差距比较明显 并非是说只有桶箍就OK了 木板那也是必不可少的啊

还有一个比喻

技术措施是砖头 管理措施是水泥砂浆 盖房子 光靠 水泥砂浆 也不行啊 砖头那是必须的

所以 技术是必要手段 但是其充分性 需要管理来约束指导 其有效性需要管理予以保障 反过来 也可以说 技术是达到管理目的的必要手段

再换个角度说 上面兄弟举的那个例子 首先要有意识 可能存着那样的技术漏洞 其次要有意识和能力 去解决那个技术漏洞 这些意识和能力 不是天生具备的 那是要考培训和学习获取的 这个过程可是一个管理过程 哪怕是自管理的过程 呵呵

所以 单纯靠技术人员不行 他们往往只擅长那1块或者几块木板/砖头 缺乏全局观 不注重或者做不到对于流程和规范的建设 这样充分性 和 有效性 都可能没法保证 光靠管理人员肯定也不行 光拿着桶箍和水泥砂浆 您的管理目的都没法落地实现 两者还是要统一起来


--------本帖迄今已累计获得30安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 安全本质是服务,前期主要是集成,技术关键是攻防
帖子发表于 : 2009-06-30 15:59 
离线
高级用户

注册: 2003-11-20 13:39
最近: 2016-04-29 14:58
拥有: 991.10 安全币

奖励: 0 安全币
在线: 2877 点
帖子: 199
地址: 天生热血,谁比我干的更快?
asp3596 写道:
快乐玩家 写道:
那是当然了,大家应该都是这样想的吧?

或者说,这种想法都是大家处于网络安全服务的初级阶段,想到的一些东西,还没有深入下去,有些东西也有待完善的 :D


楼上前辈好像是目前为止,唯一同意我观点的人,哈哈


:D 我可没有完全同意你的看法

我只是婉转地说,你这样认识安全服务,在初级阶段是对的,呵呵


--------本帖迄今已累计获得10安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2009-06-30 16:04 
离线
高级用户

注册: 2003-11-20 13:39
最近: 2016-04-29 14:58
拥有: 991.10 安全币

奖励: 0 安全币
在线: 2877 点
帖子: 199
地址: 天生热血,谁比我干的更快?
l0pht 写道:
jqunjian 写道:
l0pht 写道:
究竟技术与管理哪个比重重些,在国内这种环境不是太好分。你说管理更重要吧,极少有公司真正能去彻底执行的,绝大多数公司也就是得到一堆文档然后送文档博物馆。

其实技术方面倒是相对管理要容易实现的多,而且事实上绝大多数安全事件都是源于技术原因,技术大部分公司还是得从技术层面解决,你比如公司web被入侵,并不能说明肯定是对安全不重视,或是管理缺失,往往确实没有人太懂web的安全技术细节,安全部门也不可能像专业人士那样深入技术。


这也正验正了你前期存在的风险没有及时发现,还有你WEB上线运营前没有做好安全设计


没错,为什么没有及时发现没有设计好?说到底还是技术原因吧。

并不是做了评估了,做了设计了就没有严重的漏洞,这完全取决于技术团队和评估人员的实际水平以及工作态度,然而实际中能做好评估的团队和从业者太少太少太少……


其实,怎么说呢,在做过的大量案例看,许多嘴上能说的,实际真没啥水平,根本解决不了客户的问题,甚至刚毕业的,也夸夸其谈,很会蒙人

技术,从某个角度看,是达到理想安全效果的实现手段,没有技术实现,瞎扯那么多干啥呀.国内的咨询,瞎扯的多,有好效果的少,根本原因也是缺少相关的技术和执行人才


--------本帖迄今已累计获得36安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2009-07-01 12:44 
离线
版主

注册: 2005-03-05 09:28
最近: 2015-07-18 20:44
拥有: 4,166.30 安全币

奖励: 620 安全币
在线: 4182 点
帖子: 310
asp3596 写道:
stanley 写道:
asp3596 写道:
chinadoors 写道:
安全本质是风险控制

前期主要是风险评估和方案设计

关键是有效性


身体健康本质是预防,
前期主要是养成良好的生活习惯,
关键是坚持

but,对医疗这个行业来说,最体现医生的价值,也最挣钱的还是 看病啊~

我承认风险控制很重要,但是客户多半还是在出事后,才最能想起你来啊


安全不仅仅是为了救火,更多的还有防火或者说是规范一个无火隐患的现场与环境的职责;
暂且不理论你的判断是否准确--“客户的需求多半是在事后”,就这个结论本身来说,做为行业内的人员需要的不仅仅是满足用户提出的需求,我们能提供的更多是需要为我们的客户提供风险预警和风险规避服务,指导用户正确认识安全和安全理念;
就像国家建立医院的初衷不是希望所有人生病一样的道理,医院只是在正常的调节机能出现问题时才需要的,如果一定要和安全做类比的话,医疗机构就不能仅仅看医院,还有预防机构、体检机构和保健机构一样~
建立楼主好好理解一下chinadoors的总结,很有深度的。安全人员遵从的是一个体系,绝不仅仅是断章取义的“扑火队”,如此安全的话,对我们的客户和我们自身都是没有任何意义和不负责任的。

我是楼主。额~重新想了下,chinadoors老大的观点确实是高屋建瓴的,俺的确是层次低了点儿,哈哈 ~~~

嗯 再问个问题吧:现在甲方和乙方,最重视那类人呢?是前期搞风险控制的咨询人员,还是后期能解决实际问题的安全服务人员?
简单来说就是问:是“救火的”受重视,还是“防火的”受重视?

其实是两手都要硬,但是非选一种呢?实际情况是怎样的?
咱这社会好像就是“救火的”更受重视~~~~


如果一味重依靠救火也是不可取的,防范比救火更重要,事实上大多数安全事件都是因为犯了一些低级的错误,为何总是要等到出事才去补救或者重视呢。


--------本帖迄今已累计获得32安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2009-07-02 17:42 
离线
超级用户

注册: 2008-06-03 09:24
最近: 2018-02-24 14:02
拥有: 1,992.30 安全币

奖励: 3942 安全币
在线: 5485 点
帖子: 556
地址: 北京
l0pht 写道:
asp3596 写道:
stanley 写道:
asp3596 写道:
chinadoors 写道:
安全本质是风险控制

前期主要是风险评估和方案设计

关键是有效性


身体健康本质是预防,
前期主要是养成良好的生活习惯,
关键是坚持

but,对医疗这个行业来说,最体现医生的价值,也最挣钱的还是 看病啊~

我承认风险控制很重要,但是客户多半还是在出事后,才最能想起你来啊


安全不仅仅是为了救火,更多的还有防火或者说是规范一个无火隐患的现场与环境的职责;
暂且不理论你的判断是否准确--“客户的需求多半是在事后”,就这个结论本身来说,做为行业内的人员需要的不仅仅是满足用户提出的需求,我们能提供的更多是需要为我们的客户提供风险预警和风险规避服务,指导用户正确认识安全和安全理念;
就像国家建立医院的初衷不是希望所有人生病一样的道理,医院只是在正常的调节机能出现问题时才需要的,如果一定要和安全做类比的话,医疗机构就不能仅仅看医院,还有预防机构、体检机构和保健机构一样~
建立楼主好好理解一下chinadoors的总结,很有深度的。安全人员遵从的是一个体系,绝不仅仅是断章取义的“扑火队”,如此安全的话,对我们的客户和我们自身都是没有任何意义和不负责任的。

我是楼主。额~重新想了下,chinadoors老大的观点确实是高屋建瓴的,俺的确是层次低了点儿,哈哈 ~~~

嗯 再问个问题吧:现在甲方和乙方,最重视那类人呢?是前期搞风险控制的咨询人员,还是后期能解决实际问题的安全服务人员?
简单来说就是问:是“救火的”受重视,还是“防火的”受重视?

其实是两手都要硬,但是非选一种呢?实际情况是怎样的?
咱这社会好像就是“救火的”更受重视~~~~


如果一味重依靠救火也是不可取的,防范比救火更重要,事实上大多数安全事件都是因为犯了一些低级的错误,为何总是要等到出事才去补救或者重视呢。


哎~但现实就是这个样子,不出事觉得我们安全是摆设,出了事儿才想起我们安全的重要性。
医生何尝不是如此,不得病谁想得起你?

不过,情况正在改善哈哈,我当然不希望这样子老救火啊~


--------本帖迄今已累计获得8安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2009-07-02 20:59 
离线
超级用户

注册: 2006-10-29 16:28
最近: 2014-08-12 11:01
拥有: 5,066.00 安全币

奖励: 806 安全币
在线: 2522 点
帖子: 306
地址: 北京
l0pht 写道:
各有各的道理哈,让小弟受益非浅,但我还有个有趣的想法想说说:

xxxx是一个国内著名的信息安全论坛,该论坛有个严重的漏洞导致会获得一个webshell,事实上个严重漏洞如果够有技术经验一眼就能发现,根本不需要用扫描器或任何工具去挖掘漏洞,但是该bbs上有很多很多人都没有发现,我想因为他们更偏重管理而不是技术(术业有专攻哈),所以这个漏洞可能还会存在很久,所以会一直等到有人来攻破,也许也发现不了……


其实我想要表达的并不是管理不重要,但我认为安全本质还是技术,只是因为安全问题过于复杂,部分问题目前无法通过技术解决,所以同时要引入管理手段。反过来说,如果管理做的很好很好,企业人员整体安全意识也很强,也能够做到熟练使用多种商业化扫描器定期评估,但因为对攻防技术理解不是特别深入,导致出现了一些安全细节的漏洞,导致安全防御体系的全面瓦解。

个人想法哈,别介意:P


也发表一下看法:
信息安全论坛直接看确实是技术漏洞,但是深入想一想,为什么论坛系统开发人员会编写出此漏洞?为什么测试人员没有测试出漏洞?为什么选用此论坛系统的时候没有测评系统有没有漏洞?为什么没有及时打补丁修正此漏洞?

要回答这些问题,最终我们会发现,根源还是管理问题还是人的问题。

目前系统的漏洞主要原因是人的能力、组织的能力和市场压力等方面造成,人的能力不足会给系统带来漏洞,组织的能力不足也不能及时发现漏洞,由于外部竞争的压力,企业即使有能力也很难保证有足够的时间发现所有漏洞。


--------本帖迄今已累计获得53安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2009-07-02 21:35 
离线
超级用户

注册: 2006-10-29 16:28
最近: 2014-08-12 11:01
拥有: 5,066.00 安全币

奖励: 806 安全币
在线: 2522 点
帖子: 306
地址: 北京
安全本质是服务

IT本质也是服务

任何复杂一些的东西最后都体现为服务。医疗是一种服务,是因为人体结构的复杂性;IT规划设计也是一种服务;IT运维也是一种服务;现在家用电器越来越复杂,服务也越来越重要。


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2009-07-03 09:25 
离线
版主

注册: 2007-02-24 17:41
最近: 2014-12-26 13:46
拥有: 7,252.90 安全币

奖励: 11840 安全币
在线: 4106 点
帖子: 497
地址: 广东深圳
guangjun 写道:
安全本质是服务

IT本质也是服务

任何复杂一些的东西最后都体现为服务。医疗是一种服务,是因为人体结构的复杂性;IT规划设计也是一种服务;IT运维也是一种服务;现在家用电器越来越复杂,服务也越来越重要。


安全是服务是没错的,本质是服务是否合适?本质应该是根源性的东西,需要从最终实现的目的和愿望出发来确定,安全就是为了消除或规避风险,本质就是风险评估或者风险管理;
不是重要的东西就归纳为本质的,“服务”的范围太广,做为本质为说太泛,吃饭很重要,但人的本质一定不是吃饭那么简单,呵呵~ :)


--------本帖迄今已累计获得29安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2009-07-04 00:20 
离线
超级用户

注册: 2005-07-27 15:12
最近: 2017-12-26 19:14
拥有: 7,227.20 安全币

奖励: 490 安全币
在线: 4353 点
帖子: 543
不同角度,不同的问题。

基本是,企业的商业性质决定其安全需求。所以你们争也争不出什么东西。
例子:

第三方支付平台,那个需要安全管理?就算需要,那么分量多少?其商业的核心是支付平台的安全性及稳定性,技术架构是其关键的关键。有几个做安全咨询的去忽悠淘宝了?块钱?银联支付?等等。

我们说的信息安全管理是基于office的,现在对互联网公司及电子商务,第三方支付,来说。信息安全管理(我们常规认为的)并不非常适用。

web 安全及架构安全(纯技术上的)对他们来说更重要,当然管理不是没有,相对来说少。职责分离就需要,开发人员绝不能接触到生产环境,就算有,那么如何控制数据库与程序之间的接口问题就必须考虑。


--------本帖迄今已累计获得29安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2009-07-04 11:34 
离线
超级用户

注册: 2008-06-03 09:24
最近: 2018-02-24 14:02
拥有: 1,992.30 安全币

奖励: 3942 安全币
在线: 5485 点
帖子: 556
地址: 北京
请教楼上老大和大家:
1、没有针对 第三方支付的安全管理标准吗?

2、即便没有,第三方支付的安全管理还是需要的吧?只是和通常的有区别吧?


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2009-07-04 12:38 
离线
超级用户

注册: 2005-07-27 15:12
最近: 2017-12-26 19:14
拥有: 7,227.20 安全币

奖励: 490 安全币
在线: 4353 点
帖子: 543
回楼上的,目前只有VISA和mastercard 做了相关的标准。还有个就是PCI但是针对在线支付不是很合适。VISA的SET只是个协议,也有一些标准,但是是针对卡组织的。

第三方支付出来才几年?需要自己去完善的。支付宝目前走在全球的最前端,标准是什么?当你在一个行业垄断后,或市场份额最大时,你所做的就是标准。


--------本帖迄今已累计获得4安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2009-07-04 13:01 
离线
超级用户

注册: 2008-06-03 09:24
最近: 2018-02-24 14:02
拥有: 1,992.30 安全币

奖励: 3942 安全币
在线: 5485 点
帖子: 556
地址: 北京
stanley 写道:
guangjun 写道:
安全本质是服务

IT本质也是服务

任何复杂一些的东西最后都体现为服务。医疗是一种服务,是因为人体结构的复杂性;IT规划设计也是一种服务;IT运维也是一种服务;现在家用电器越来越复杂,服务也越来越重要。


安全是服务是没错的,本质是服务是否合适?本质应该是根源性的东西,需要从最终实现的目的和愿望出发来确定,安全就是为了消除或规避风险,本质就是风险评估或者风险管理;不是重要的东西就归纳为本质的,“服务”的范围太广,做为本质为说太泛,吃饭很重要,但人的本质一定不是吃饭那么简单,呵呵~ :)

和stanley和johnzw前辈讨论:

stanley前辈上边的这句红色的话,用“风险管理”一词;容易让人产生误会,我理解您表达的意思和chinadoors前辈一样,是:
安全本质是风险控制,手段是技术和管理并重,而不是光靠“管理手段”。

So:
johnzw前辈,您可能是误会了stanley,第三方支付技术多些,管理少些,和“风险控制”是不矛盾的。

还有:您提出了一个非常好的观点:不要一味相信“三分技术,七分管理”,即管理比技术重要;还是要看具体的业务安全需求。


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2009-07-04 13:20 
离线
超级用户

注册: 2005-07-27 15:12
最近: 2017-12-26 19:14
拥有: 7,227.20 安全币

奖励: 490 安全币
在线: 4353 点
帖子: 543
风险控制 这个词是基于社会学,商业学,管理学而来的,是人类社会存在的必然。所以这是一个全能词,并不能代表任何实际意义。任何的管理,任何的安全都符合风险控制这个理念。但是风险控制却不能真实的反映出行业差距和产业区别。


--------本帖迄今已累计获得4安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2009-07-04 13:42 
离线
超级用户

注册: 2008-06-03 09:24
最近: 2018-02-24 14:02
拥有: 1,992.30 安全币

奖励: 3942 安全币
在线: 5485 点
帖子: 556
地址: 北京
johnzw 写道:
风险控制 这个词是基于社会学,商业学,管理学而来的,是人类社会存在的必然。所以这是一个全能词,并不能代表任何实际意义。任何的管理,任何的安全都符合风险控制这个理念。但是风险控制却不能真实的反映出行业差距和产业区别。


您的意思是:安全根本就不存在本质吗?


回到顶部
 奖励本帖 用户资料  
 
显示帖子 :  排序  
发表新帖 回复这个主题  [ 67 篇帖子 ]  前往页数 上一页  1, 2, 3, 4, 5  下一页

当前时区为 UTC + 8 小时


在线用户

正在浏览此版面的用户:没有注册用户 和 1 位游客


不能 在这个版面发表主题
不能 在这个版面回复主题
不能 在这个版面编辑帖子
不能 在这个版面删除帖子
不能 在这个版面提交附件

前往 :  
cron
华安信达(CISPS.org) ©2003 - 2012