前面一年多的时间里,一直不停的在寻找架构师Architect。简历收集了上百个,前后面试了至少数十人,大多有相当不错的职业经历,也有相当不错的项目经验,他们在很多技术方向都很出色,也有不少含金量高的证书,例如CCIE。可是,令人遗憾的告诉大家,找到一位令人满意的架构师实在是一件非常不容易的事情。架构师,如同字面上的含义一样,掌握着一个建筑的风格、层次、标准等。IT Architect也不例外。架构师决定技术方案的走向,很大程度上会影响管理层的决策,并且对后续的运行和业务交付都至观重要。
坦白说,虽然也有些候选人是因为英语的问题,但是大部分候选人让我放弃的原因是考虑问题的方式和技术素养。让我来总结一下我对架构师的理解。 Read more…
The below charts are worldwide distribution of malcode and DDoS attacks by Arbor networks.
The first one is a set of major malcode distribution points for May, 2008, by country, while the second one is who are hosting the DDoS attack botnets (these are the controlling servers, NOT the attacking bots). This is the number of attacks commanded by hour by server country.
It seems that too much malcode and DDoS attackes are originated from China. If this data is true, it betrays that China ISPs and government should do more to clean the network. Meanwhile, this means a great security market potential at China, even though the security market volume is relatively very small at this moment (less than 2B$ per year)
原来一直在传说,Symantec的SAV和Windows XP的SP3有冲突。但是我自己和一些同事都升级了SP3,却没有发现什么问题。Symantec官方原来也一直没有正式承认。但是下面这则新闻公布了Symantec和Windows冲突的地方,并且Symantec还发布了一个小工具SymRegFix来解决这个冲突。
冲突来自于Symantec用于保护软件自身不受恶意软件蠕虫等修改的模块SymProtect,它与微软的Fixccs.exe软件在修改注册表时会发生冲突。下面是新闻原文… Read more…
WordPress是个Web应用,那么它也遵循普通Web应用的安全加固原则。但是它也有一些自己的特点。
上次说到被人种了webshell, 在后续安全加固Wordpress中,还遇到了一个小插曲 – .htaccess该乱了,系统不能访问了。参照了wordpress.org上面的官方网站上http://codex.wordpress.org/Hardening_WordPress上的建议,安装了两个安全插件wp-security-scan以及AskApache . WP-Security-Scan的安装和运行比较顺利,对wordpress进行了一个初步的文件权限、口令、数据库等的检查,发现了几个小问题。AskApache的安装也还好,设置了管理员口令,对wp-admin的目录进行保护。设置完后,很想看看它在系统上到底做了什么。
AskApache在wordpress的根目录生成了.htaccess, 和.htpasswda1,在管理目录wp-admin下生成了.htaccess,它们的内容格式附在下面。
如果要手工修改这几个文件,需要特别小心。如果发生以外,wordpress的管理界面可能无法登录。这时,能做的是登录到网站上手工删除这几个文件,然后在重新启动AskApache,重新配置生成。 Read more…
今天在检查sbin.cn上面的文件时,偶然间发现了网站被植入了一个webshell,看了一下时间大概是一个星期前的事情了。一边心中有些郁闷,一边做一些清理工作,把密码都换了一遍,希望没有入侵得很深。
大家知道sbin.cn是个在Bluehost上面的虚拟主机,于是我就想搜索一下关于bluehost的安全性问题。结果让人喜忧参半。
其中一则新闻称Bluehost的CEO Matt Heaton的博客(http://mattheaton.com/)在二月份两度被黑,文章的作者还安慰性的同时举例说美国副总统戈尔的网站也被人黑过。如此看来,或者Bluehost的安全性不够理想,或者Bluehost的IT Security Team把VIP们的网站给忽略了,没有特别保护。
另一个网络帖子是一个国外网友的,他论述了他的安全观点,如何保护信用卡信息,给出了一些忠告,同时他提出Bluehost是PCI符合的,换句话说Bluehost在信用卡信息保护方面达到了PCI的安全要求。这样,或许我的信用卡信息还没有被人在买卖。
This is an old topic, but it’s not an easy one. For everyday, IT managers are facing the questions : how to make sure the business continuity? what’s the proper redundancy to balance between continuity and cost? You know the redundancy and complexity themselves can introduce additional potential failures and issues. So redundancy is not the silve bullet for continuity, not mentioning the cost.
I have been working on this for a while. I don’t have budget to have a consulting project to help me to get a comprehensive and holistic picture. I have to do it by myself.
As the first step, I am considering the mothodology. The below diagram is the draft in my brain. Read more…
5月30日,NIST(美国技术标准局)推出了一个用于对安全配置进行打分的草案,其全称是:NIST IR-7502 DRAFT The Common Configuration Scoring System (CCSS) 。
CCSS是用于对有关软件安全配置问题(Issue)的特征和影响提供的一个标准测量集合。CCSS可以帮助企业组织在解决安全问题时做出正确的决定,另外,它还可以提供数据以便对主机的安全状况进行量化的评估。从体系上看,CCSS借鉴了CVSS,但是针对软件的安全配置问题做了特别调整(CVSS专注于软件缺陷和漏洞)。我们知道,一个软件系统的安全性,不仅仅是软件本身的安全问题,很大程度上还决定于安装、配置和运行管理。
据报道,NIST还计划扩展CCSS,将环境度量也包含进来。点击下载原文。
I found the G7-v5 theme at Wulujia.com. At the first glance, I begin to like it. It’s so concise and crisp. I translates the Chinese words into English and uploaded into sbin.cn. Now you have seen this. Do you like it as well?
If you like the English version of this theme, please click here to download.
Recent Comments