September 8, 2009 by ABAP999.

饭否被毙掉了，Facebook也被毙掉了，随着网络技术的不断发展，博客，微博客，视频发布和社交网站等等的产生，使得在网上做内容发布变得无比容易，对网络内容的控制也越来越成为掌权派头疼的事，一方面完全屏蔽某些网站有不民主之嫌，另一方面要想根据内容来有选择性的控制，在技术上又不成熟。

是堵，是疏还是引都没有一个准确的定论。而且技术还在发展，带宽会更宽，电脑操作会更容易，可惜技术分不清好人坏人，大家都能利用。

看来只能等养条大狗来解决了。

Posted in IT Security Story 安全的故事 | Print | 2 Comments »

June 22, 2009 by bigdog.

象其他重要业务资产一样，信息也是一种资产。随着IT系统应用的深入,它对一个组织具有越来越大的价值，因此需要加以合适地保护。信息安全防止信息受到的各种威胁，以确保业务连续性，使业务受到相关损害的风险减至最小，从而帮助企业达到回报和业务机会最大化。
    信息安全即组织通过建立一系列控制手段,从而达到该组织的特定安全目标。控制可分为策略、规程、组织, 软件应用。

ISO/IEC 27001制定的宗旨是确保机构信息的机密性、完整性及可用性，为达成上述宗旨，该标准共提出了39个控制目标及134项控制措施. 

以PDCA为模式, 应用以上各项目标及措施, 理论上可以建立起一个较完整的ISMS, 但是,是否就一定有效呢? 会不会全面但流于表面呢? 现实的问题是这种百科全书式的标准还需要结合具体组织的实际情况, 有针对性地执行创建. 如果缺乏对组织生存哲学的了解,没有IT整体战略的规划, 仅仅依靠标准去闭门造车, 难免最终成为标准无用的案例. 有佛无书不可成经,但有经未必一定成佛.

Posted in IT Security Story 安全的故事 | Print | 2 Comments »

June 14, 2009 by bigdog.

虽然我不喜欢,但风险是人类最重要的生活伴侣之一. 当人类走出伊甸园-那个无风险的保险箱. 人类的生存发展史,就是一部和风险相伴的历史. 我认为人脑这个组织很大程度上是为了计算风险而发展起来的.

那么,一个组织,从其最初的建立到发展壮大的过程中,风险的评估也是一直在进行着的,否则组织将无法生存.可以这么讲: 不同的生存哲学是建立在不同的对风险的认识之上的.

那么,在所有的IT专家在给企业提供风险评估之前,其对企业生存哲学的认识有多深就决定了其工作最终的效果. 这些, BS7799或ISO9000 都不会告诉你.

Posted in IT Security Story 安全的故事 | Print | 5 Comments »

June 13, 2009 by ABAP999.

今天越来越多的公司业务的运作依赖于可靠的IT系统支持，可是日益增多的黑客，DoS，病毒等等的攻击和天灾人祸对系统构成了巨大的威胁，公司不得不在安全防范，灾难处理等方面投入巨资来应付这些问题。而对IT安全的投资通常特别专业，公司的领导通常难以理解这些技术的细节，也没法很好的评估投入和结果的平衡性，另一方面再大的投入也是用来处理已经知道的潜在的威胁，对如从未发生过的问题，如何去防止还是一个未知数。
该投入多少，怎么投入成了IT这方面管理的难点。

Posted in IT Security Story 安全的故事 | Print | 1 Comment »