Cloud & Telecom Security

数月前，应该是二月份，有个帖子讲2009年的安全市场预期，中间和大潘讨论到了2009年的前景，我们俩“谨慎地”预测了一下：“赵博谨慎看多，潘总静候春天”。昨天读到安永公司的一份2008年安全市场调查报告，其中有几个数字很有趣，我把它们转帖过来：

Historically, the IT function is one of the frst to feel the pressure to reduce expenditures, and traditionally,information security has been closely linked with IT. Our survey confrms the link between IT and information security is still very strong (71% of respondents meet monthly with IT), but the pressure to reduce costs does not appear to be carrying over to the information security function. In fact, only 5% of respondents indicate they will be reducing annual expenditures for information security and 50% plan to increase their investment in information security as a percentage of total expenditures.In addition, only 33% of respondents cite adequate budget as a challenge to delivering their information security initiatives. Read more…

【写在前面的话】其实2008年已经过去3个月了，其实这篇博客是一个“续貂”之作，源于皓月的2008盘点。我只是取了一个巧，悄悄增添了一些陋见和博客广告，狗尾貂皮大家不得不混而读之，呵呵。

本文旨在于对2008信息安全业界及安全技术的演进趋势加以整理，方便大家各位能够较为清晰的加以回顾。为确保适合于不同读者阅读，本期盘点以时间顺序并分事件篇与工具篇加以阐述。不详之处，还望多指点批评。 Read more…

Establishing Data Ownership is a fundamental component or building block of any Information Security Management System (ISMS).  The Data Owner is the single person ultimately responsible for their data.  They define policy, control who has access and may delegate some or all of their responsibility to Data Stewards.  The Data Custodians (typically IT) are the instrument of the Data Owner’s policies, enforce and manage policy compliance and help manage access rights and other IT controls according to the Data Owner’s requirements.

- From one security assessment report

给大家拜个晚年！祝大家牛年大吉，全家和和美美！没出正月都是年，何况没有到十五呢。前些时候一直和大潘商量着为2009年写点什么，一直没有理出个头绪。下面这些文字算作抛砖引玉，起个话头。

2009年安全业界的热点在哪里？

信用卡处理公司Heartland Payment Systems在2009年1月20日声明,曾有黑客于2008年入侵了其系统并盗取信用卡信息，高达上亿用户的信用卡信息可能被盗。Heartland首席财务官Robert Baldwin说:”我们上周发现了被入侵的证据,并立即知会了联邦执法部门以及信用卡品牌运营商. Read more…

在我们国庆节期间，2008年10月1日，PCI安全标准委员会PCI-SSC在其官方网站发布了最新数据安全标准PCI-DSS版本v1.2.  PCI-DSS的官方网页目前可以下载到最新的1.2版本的PDF和DOC文件。目前官方网站只有英文版可以下载，联系组织者Shawn说，简体中文版在翻译中，应该很快可以发布，和大家见面。

另外同时发布还有1.2版本相对于1.1版本的更改。按照官方网站的消息，v1.1版本还将继续有效至今年年底，也就是2008年12月31日。

总体来说，新版本变化不是很大。下面是12个要求的主要变化总结，希望对大家有所帮助。

要求1：Install and maintain a firewall configuration to protect cardholder data
主要变化是对于防火墙和路由器的内审周期从每个季度调整为至少每六个月，以方便企业组织定制。

要求2：Do not use vendor-supplied defaults for system passwords and other security parameters
主要变化是删除了关于“禁止SSID广播”的描述。将其留给企业组织自己决定。事实上不少企业组织使用广播SSID来提供Guest VLAN等服务。
Read more…

前不久，PCI委员会公布了两则安全要求的新解释 – 关于渗透测试11.3，以及关于Web应用安全的要求6.6. McAfee的官方博客进一步讨论了这两则具体要求。

关于渗透测试，PCI并不要求某些具体的人员或者厂商做安全扫描或测试，内部人员或者其他有能力的资源都可以，至少每年一次。在范围上，与持卡人数据有网络连接的所有信息系统都在测试范围。

关于Web应用安全，从6月30日开始生效，提供了两个选项- Read more…