你知道么?时下最新潮的固态硬盘或许并不安全。很少有专家认为：擦除存储在固态硬盘上的数据比擦除存储在普通硬盘上的数据来得困难。

研究发现，为存储在固态硬盘上的数据确保安全是项困难的任务;覆盖或密码擦除似乎是销毁固态硬盘的最有效方法。

就在上周一项大学研究结果出来之前，很少有专家认为：擦除存储在固态硬盘上的数据比擦除存储在普通硬盘上的数据来得困难。

业内专家们被这项研究大吃一惊，但是强调市面上有些固态硬盘本生具有加密功能，就算硬盘报废后，也能防止里面的数据被人看到;一些固态硬盘销毁方法比另一些更有效。

安全技术专家Bruce Schneier说：“我不认为谁都了解这一点。”

加州大学圣迭戈分校的研究人员开展的这项研究表明，销毁固态硬盘的数据是项困难的任务，甚至几乎不可能实现。虽然数次覆盖数据能确保可以擦除许多固态硬盘上的数据，但研究人员发现他们还是能够恢复一些产品上的数据。

固态硬盘控制器制造商SandForce的产品营销高级主管Kent Smith表示，肯定可以保护固态硬盘上数据的一个办法就是密码擦除(cryptographic erasure)。

密码擦除需要先对固态硬盘进行加密，那样只有持有密码的用户才能访问里面的数据。固态硬盘报废后，用户可以删除硬盘上的加密密钥，这就排除了解密或者访问数据的可能性。

Smith说：“除非你能破解128位AES加密算法，否则根本没办法获取数据。报废后的硬盘现在仍是完全可以使用的硬盘，能够再次开始写数据。那只是一刹那的工夫。”

[……]

查看更多

来源：ZDNet

数据泄露俨然成为当前一个非常突出的IT话题，仅在2月份就先是有新闻爆出中行网银或藏安全漏洞，多名用户百万资金被盗，随后联通移动又宣布立规矩防内鬼泄密。当今的很多企业都认识到数据安全对其业务发展将造成很大的影响力，一旦重要数据泄漏，经济损失、企业形象损失、竞争力削弱以及法规惩罚[……]

查看更多

来源：51CTO

网络连接的安全问题随着计算机技术的迅速发展日益突出，从网络运行和管理者角度说，他们希望对本地网络信息的访问、读写等操作受到保护和控制，避免出现“陷门”、病毒、非法存取、拒绝服务和网络资源非法占用和非法控制等威胁，制止和防御网络黑客的攻击。对安全保密部门来说，他们希望对非法的、有害的或涉及国家机密的信息进行过滤和防堵，避免机要信息泄露，避免对社会产生危害，对国家造成巨大损失。从社会教育和意识形态角度来讲，网络上不健康的内容，会对社会的稳定和人类的发展造成阻碍，必须对其进行控制。

准确地说，关于信息安全或者信息保障主要有两个要素：首先，正确配置系统和网络并且保持这种正确配置，因为这一点很难做到完美;第二个要素就是清楚知道进出网络的流量。这样的话，当发生严重的问题时，你就能检测出问题错在。因此，网络安全的主要任务主要包括以下三方面：

保护，我们应该尽可能正确地配置我们的系统和网络

检测，我们需要确认配置是否被更改，或者某些网络流量出现问题

反应，在确认问题后，我们应该立即解决问题，尽快让系统和网络回到安全的状态

[……]

查看更多

来源：cnBeta

思科安全顾问Tom Gillis称网络欺诈者的攻击方式正在从大批量的电子邮件攻击转为使用Facebook和Linkedln等社交网站进行定点攻击。

Gillis 称虽然2010年网络欺诈行为首次减少，但并不能证明网络欺诈已经不再是问题。欺诈者已经发现使用Faceboo[……]

查看更多

来源：51CTO

信息安全策略是信息安全项目的基石。它应当反映一个企业的安全目标，以及企业为保障信息安全而制定的管理策略。因此，为了实施信息安全策略的后续措施，管理人员必须取得一致意见。在策略的内容问题上存在争论将会影响后续的强化阶段，其结果就是导致信息安全项目“发育不良”。这意味着，为了编制信息安全策略文档，企业必须拥有明确定义的安全目标，以及为保障信息安全而编制的管理策略。

安全与管理不能分家

市场上集成了安全策略的产品中，很少有哪种方案能够同时让安全专家和管理人员都满意。试图教育管理人员如何思考安全问题并非恰当的方法。相反，构建安全策略的首要一步是明确管理部门如何看待安全。因为，所谓的安全策略就是关于信息安全的一套管理要求，这些要求向安全专业人员提供了规范指南。另一方面，安全专业人员向管理人员提供规范指南，容易忽略管理需求。

安全专业人员应当吸取管理人员的观点，不妨向其“讨教”下面这些与信息安全有关的问题：

1、你如何描述自己所接触的信息类型？

2、你依赖哪类信息做出决策？

3、有没有哪些信息比其它信息更加需要保密？

根据这些问题，就可以制定信息分类系统（例如，形成客户信息、财务信息、销售信息等），每种信息系统的正确处理过程都可在业务处理层次上描述。

[……]

查看更多

来源：51CTO

信息是企业的命脉，有价值的企业数据可供员工、业务伙伴和承包商通过本地、云计算和虚拟环境来访问， 提供对非公开重要信息的即时访问。但是，员工经常在未经允许的情况下加载第三方软件或者应用程序到他们的笔记本和智能手机上，并且这些设备都被连接到企业网络和数据存储中。

“信息无处不在”带来便利和创造商业价值的同时，也带来风险。虽然企业想要支持设备、软件和应用程序使员工能够顺利完成工作，但企业也必须非常仔细地监督和管理与使用这些信息和IT有关的业务风险。

针对信息无处不在的解决方案就是信息安全无处不在，但是这是不切实际且无法实现的。企业需要确定什么时候便利会导致很大的风险以及应该怎样做来限制风险。这是一个很大的挑战，特别当你考虑到大多数企业都不能回答这个简单的问题，“我们企业现在的信息风险是什么?”

根据IT Policy Compliance Group关于与信息使用和IT资源有关的企业风险的研究显示，政策合规只有8%的企业可以确定目前企业的信息风险情况。此外，2%的企业根本无法回答这个问题，或者9个月或9个月以上才能给出答案，70%的企业不能在3个月内回答这个问题，20%需要一个星期到三个月。定义不清的企业风险、不适当的信息收集、装备不良的报告系统和非优先控制都是导致这些不合理延误的原因。

[……]

查看更多

||编者按：

常常有客户提到信息安全的时候会觉得无从下手，各种各样自称是信息安全“终极”解决方案的产品在迷惑着IT经理们的眼球。那么，信息安全究竟是什么？怎么做？事实上按我们的理解，各种内容过滤、反病毒、防火墙、入侵检测产品的简单堆积并不能带来带来安全，每一种安全产品既有其专长所在，也有其必然的短板，安全的前提条件，应该是在一个统一的明确的安全目的下，利用各种信息安全产品的有机结合，达到事先确定的目的。换句话说，先有目标与策略，然后才有产品的寻求，走一步算一步的安全，很可能带来的是处处被动，下面这篇文章很好的阐释了信息防泄露即DLP应有的流程，IP-guard的整体思想，当然也是基于这种整体安全的观点。

来源：TechTarget中国

发生在去年的维基泄密事件令美国五角大楼惶恐不已。如今，事情似乎已经过去，但它所带来的影响却远远没有结束。对于安全和IT专家来说，这种泄密可以作为企业改进策略、过程和防卫的一个重要警醒。下面笔者给出一些技巧，目的是为了帮助政府部门或企业避免成为下一个维基泄密的源头。

[……]

查看更多

||编者按

我们常常说“三分技术七分管理”，平时的内容基本上都是基于技术的，多读一点管理，可能就能更好的理解技术。

来源：IT168

很多时候，在考虑建立或者扩大信息安全性并报告给高级管理层时，我们面临的最大挑战不是技术上的，而是文化上的。

业务经理犹豫是否应该突出有风险的领域，因为他们担心会被人认为没有尽忠职守。律师担心在文件中出现漏洞，因为某些漏洞最终会对组织不利。有时，经理们不愿意对公司高层讲的太多，虽然其中确实可能存在很大的风险，但是他们担心高层不能完全理解这些信息，只会再提出一些无理的要求。

这就是我们作为安全和规则遵从管理人员所面临的现状。如果成熟的公司想全局把握信息安全的风险和规则遵从，这些问题都是必须首先要解决的。

与许多人所认为的相反，在寻求解决安全和规则遵从的弱点时，知识就是力量，且保持良好的透明度是一件好事。不过，要成功的跨越文化障碍，从而有效地报告信息安全状况，是需要策略的。一些经过时间考验的解决方案，它们可以用来解决这些阻碍有效管理信息安全风险及规则遵从的文化障碍。

[……]

查看更多