- 資訊安全:
1.安全建设需求:生态级公司vs平台级公司 by ayaz3ro
生态级公司的大型基础架构如果用传统的安全方案几乎都无法满足,所以会大量的进入自研,而平台级公司则会依赖开源工具更多一些,不会全线安全工具进人自研。如果有预算的话也会优先投在“业务安全”侧,比如反欺诈平台等等,而不会自己去搞入侵检测。
平台级公司是不是就没有乐趣呢,其实他们也玩一些小花样,比如修改sshd、LVS,加入一些安全特性。可能也会自己定制一个WAF,或者搞搞日志的大数据分析。但比如涉及DPI、全流量入侵检测、SDN、kernel level的安全机制基本上都不会介入。这些对一个规模不是特别大的平台级公司的甲方安全团队而言门槛还是有点高。
自己发明轮子是不是全领域进军呢?也不是,主要还是在入侵检测、WAF、扫描器、anti-DDOS、日志分析等领域。在SDL环节上可能也会自己研发些工具,但未必有直接使用商业工具来的短平快。
2.崩溃的Android:问题出在交叉证书上 by 红黑联盟
交叉证书提供了一种方法,从单一的受信任的根或者从属证书颁发机构,为多个其他根或从属CA创建信任链。一个CA颁发的交叉数字证书用来为另一个CA的根证书签发公钥,允许在两个CA层次结构之间使用和信任证书。
例如,在微软Windows中,交叉证书允许操作系统内核有单个受信任的微软根授权,同时扩展信任链到多个商业CA,这些CA签发证书用于代码签名软件,以在Windows机器中分发和安装软件。
当在Android设备安装新应用或者导入特质钥匙串时引入特殊构造的恶意证书(当两个证书在连续循环中交叉签名时创建),设备可能会减慢或者死机。这个漏洞是由Android框架中两个常用类造成:JarFile和KeyStore类。
JarFile类用于验证jar数据包的证书和签名文件,但当尝试验证交叉签名证书链时它会陷入无限循环中;这个过程会不断使用系统资源直到它耗尽,而这会导致设备重新启动。KeyStore类用于为遭遇相同问题的Android KeyStore处理PKCS#12文件。这个漏洞出现在所有Android版本中,并且,直接或间接使用这两种类任何代码都可能面临风险。
3.Linux安全之SYN攻击原理及处理 by 全栈工程狮
TCP在传递数据前需要经过三次握手,SYN攻击的原理就是向服务器发送SYN数据包,并伪造源IP地址。服务器在收到SYN数据包时,会将连接加入backlog队列,并向源IP发送SYN-ACK数据包,并等待ACK数据包,以完成三次握手建立连接。
由于源IP地址是伪造的不存在主机IP,所以服务器无法收到ACK数据包,并会不断重发,同时backlog队列被不断被攻击的SYN连接占满,导致无法处理正常的连接。
SYN攻击处理:
(1)减少SYN-ACK数据包的重发次数(默认是5次):
sysctl -w net.ipv4.tcp_synack_retries=3 sysctl -w net.ipv4.tcp_syn_retries=3
(2)使用SYN Cookie技术:
sysctl -w net.ipv4.tcp_syncookies=1
(3)增加backlog队列(默认是1024):
sysctl -w net.ipv4.tcp_max_syn_backlog=2048
(4)限制SYN并发数:
iptables -A INPUT -p tcp --syn -m limit --limit 1/s -j ACCEPT --limit 1/s
生态级公司的大型基础架构如果用传统的安全方案几乎都无法满足,所以会大量的进入自研,而平台级公司则会依赖开源工具更多一些,不会全线安全工具进人自研。如果有预算的话也会优先投在“业务安全”侧,比如反欺诈平台等等,而不会自己去搞入侵检测。
平台级公司是不是就没有乐趣呢,其实他们也玩一些小花样,比如修改sshd、LVS,加入一些安全特性。可能也会自己定制一个WAF,或者搞搞日志的大数据分析。但比如涉及DPI、全流量入侵检测、SDN、kernel level的安全机制基本上都不会介入。这些对一个规模不是特别大的平台级公司的甲方安全团队而言门槛还是有点高。
自己发明轮子是不是全领域进军呢?也不是,主要还是在入侵检测、WAF、扫描器、anti-DDOS、日志分析等领域。在SDL环节上可能也会自己研发些工具,但未必有直接使用商业工具来的短平快。
2.崩溃的Android:问题出在交叉证书上 by 红黑联盟
交叉证书提供了一种方法,从单一的受信任的根或者从属证书颁发机构,为多个其他根或从属CA创建信任链。一个CA颁发的交叉数字证书用来为另一个CA的根证书签发公钥,允许在两个CA层次结构之间使用和信任证书。
例如,在微软Windows中,交叉证书允许操作系统内核有单个受信任的微软根授权,同时扩展信任链到多个商业CA,这些CA签发证书用于代码签名软件,以在Windows机器中分发和安装软件。
当在Android设备安装新应用或者导入特质钥匙串时引入特殊构造的恶意证书(当两个证书在连续循环中交叉签名时创建),设备可能会减慢或者死机。这个漏洞是由Android框架中两个常用类造成:JarFile和KeyStore类。
JarFile类用于验证jar数据包的证书和签名文件,但当尝试验证交叉签名证书链时它会陷入无限循环中;这个过程会不断使用系统资源直到它耗尽,而这会导致设备重新启动。KeyStore类用于为遭遇相同问题的Android KeyStore处理PKCS#12文件。这个漏洞出现在所有Android版本中,并且,直接或间接使用这两种类任何代码都可能面临风险。
3.Linux安全之SYN攻击原理及处理 by 全栈工程狮
TCP在传递数据前需要经过三次握手,SYN攻击的原理就是向服务器发送SYN数据包,并伪造源IP地址。服务器在收到SYN数据包时,会将连接加入backlog队列,并向源IP发送SYN-ACK数据包,并等待ACK数据包,以完成三次握手建立连接。
由于源IP地址是伪造的不存在主机IP,所以服务器无法收到ACK数据包,并会不断重发,同时backlog队列被不断被攻击的SYN连接占满,导致无法处理正常的连接。
SYN攻击处理:
(1)减少SYN-ACK数据包的重发次数(默认是5次):
sysctl -w net.ipv4.tcp_synack_retries=3 sysctl -w net.ipv4.tcp_syn_retries=3
(2)使用SYN Cookie技术:
sysctl -w net.ipv4.tcp_syncookies=1
(3)增加backlog队列(默认是1024):
sysctl -w net.ipv4.tcp_max_syn_backlog=2048
(4)限制SYN并发数:
iptables -A INPUT -p tcp --syn -m limit --limit 1/s -j ACCEPT --limit 1/s
- 企業管理:
1.从工作分析提炼人力资源经理的胜任力 by 黄红发
优秀的人力资源经理应具备的胜任力模型:
(1)人力资源经理最主要工作之一是提炼与推行企业文化,而企业文化在员工心中的感知是钢性还是柔性,更多的体现在人力资源经理对制度的执行与宣传过程,或者说更主要体现在人力资源经理的处事方式是柔还是钢。
(2)人力资源工作中占比量比较大的工作之一是招聘。如何才能提升招聘的合格率?充分撑握岗位的需求细节,工作量、考核要求(业绩产出),仅这此工作也是用人部门的负责人比人力资源经理更清楚。
(3)人力资源的使命之一是培养人才、用好人才。在培训人才与用好人才方便,人力资源经理不应对下属有任何的顾虑。
2.决策变执行:只需三步 by 拉姆·查兰
(1)从对话开始
(2)将对话变成行动
(3)后续跟踪与反馈
3.建立持久的企业需要知道的7件事情 by BNET 商学院
(1)培养并传达出你的愿景
(2)建立协作环境
(3)保持相关
(4)回馈社会
(5)创新
(6)根据需要改变方针
(7)激励他人
优秀的人力资源经理应具备的胜任力模型:
(1)人力资源经理最主要工作之一是提炼与推行企业文化,而企业文化在员工心中的感知是钢性还是柔性,更多的体现在人力资源经理对制度的执行与宣传过程,或者说更主要体现在人力资源经理的处事方式是柔还是钢。
(2)人力资源工作中占比量比较大的工作之一是招聘。如何才能提升招聘的合格率?充分撑握岗位的需求细节,工作量、考核要求(业绩产出),仅这此工作也是用人部门的负责人比人力资源经理更清楚。
(3)人力资源的使命之一是培养人才、用好人才。在培训人才与用好人才方便,人力资源经理不应对下属有任何的顾虑。
2.决策变执行:只需三步 by 拉姆·查兰
(1)从对话开始
(2)将对话变成行动
(3)后续跟踪与反馈
3.建立持久的企业需要知道的7件事情 by BNET 商学院
(1)培养并传达出你的愿景
(2)建立协作环境
(3)保持相关
(4)回馈社会
(5)创新
(6)根据需要改变方针
(7)激励他人
如欲閱讀更多文章摘要,請見 每日晨摘
沒有留言:
張貼留言