中国网络安全企业50强(2016年上半年)

2016年6月21日 baoz 没有评论

前言

自2015年10月,《中国网络安全企业50强》(以下简称“50强”)首次发布以来,安全牛就一直在筹划《50强》的第二次发布,并于今年3月初正式启动调查工作。经过三个多月的调研、审核及评定工作之后,于今日凌晨正式发布。

本次调查从近500家安全企业中筛选出150家候选企业,通过公开资料收集、调查表填写、电话会议及当面沟通等形式获得基础资料。再由专业调查人员结合技术专家及行业资深人员组成的调查委员会,根据本次的调查指标和方法论进行审核、打分和评比,最终评选出50家网络安全公司,调查数据基于2015年全年度的数据和信息。

本次《50强》调查,取消了传统、新兴企业和大型企业网安部门之分,统一进行排名。并且,在榜单的最后,还特别推荐了在各个安全新兴领域,最具有发展潜力的20家初创企业。入选这个名单的初创企业,还将优先进入到今年中国互联网安全大会的“创新沙盒”中做候选。

值得关注的是,经统计,本次榜单中的50强企业,在2015年企业安全业务的销售总收入约为180亿元,较为客观真实地反映了中国网络安全自由市场的真实规模。

本榜单全文于2016年6月21日由安全牛微信和网站平台首发,并将面向全球发布英文版,为国内外相关行业和机构了解中国网络安全企业的基本状况提供借鉴与参考。

中国网络安全企业50强

一、50强榜单

阅读全文…

分类: 云安全 标签:

中华人民共和国广告法(2015年修订)

2016年5月2日 baoz 2 条评论
下面四条和互联网行业有关系。
第19条:

广播电台、电视台、报刊音像出版单位、互联网信息服务提供者不得以介绍健康、养生知识等形式变相发布医疗、药品、医疗器械、保健食品广告。

第45条:

公共场所的管理者或者电信业务经营者、互联网信息服务提供者对其明知或者应知的利用其场所或者信息传输、发布平台发送、发布违法广告的,应当予以制止。

第56条:
关系消费者生命健康的商品或者服务的虚假广告,造成消费者损害的,其广告经营者、广告发布者、广告代言人应当与广告主承担连带责任。
第64条:
违反本法第四十五条规定,公共场所的管理者和电信业务经营者、互联网信息服务提供者,明知或者应知广告活动违法不予制止的,由工商行政管理部门没收违法所得,违法所得五万元以上的,并处违法所得一倍以上三倍以下的罚款,违法所得不足五万元的,并处一万元以上五万元以下的罚款;情节严重的,由有关部门依法停止相关业务。

阅读全文…

[深圳]某商业银行招聘信息安全相关岗位(总行正式编制)

2016年4月29日 baoz 1 条评论

代友发一个招聘信息,有兴趣的同事请联系下面的邮箱。

1. 安全管理岗(地点:深圳)
要求:
具备日志分析经验(如IPS/IDS,防火墙,操作系统,应用程序等日志),能够从日志分析中发现异常事件,有APT攻击或防御的经验者优先;
熟悉病毒、木马的原理和行为分析,能够进行病毒、木马的技术分析;
在OS/DB/APP任意一个层面有丰富的运维经验,精通系统、网络以及应用相关的安全攻防知识,对windows、linux等系统管理熟练掌握;
长期跟踪关注国内外的安全动态,或有安全情报分析经验,在安全圈内有一定人脉
精通shell,熟悉(perl、python等)语言中的一种;
本科及以上学历,且3年及以上相关工作经验; 年龄在35周岁以下

2. 网络安全岗(地点:深圳)
要求:
深入了解网络协议(TCP/IP协议栈)或操作系统原理
精通多项网络、安全相关技术,如交换、路由、负载均衡、防火墙、入侵检测、防病毒等
具备良好的文档编写能力和习惯
精通shell,熟悉(perl、python等)语言中的一种;
本科以上学历,且3年及以上相关工作经验; 年龄在35周岁以下

3. 安全内控岗(地点:深圳)
要求:
了解开发安全,包括开发相关流程,代码安全等领域;
了解ISO27001,ISO20000,对信息安全以及IT服务管理体系有深入理解;
熟悉银行业信息科技监管要求;
公文书写,报告编写能力较强;
从事过信息安全、开发管理、IT审计等均可;
持有CISSP/CISA/CISM/ISO27001LA/COBIT/ITIL/PMP等认证尤佳。
本科以上学历,且3年及以上相关工作经验; 年龄在35周岁以下

联系方式:dlhdlh@cmbchina.com
截止时间:2016年5月10日
总行正式编制,具有竞争力的薪酬,有兴趣的请尽快发送简历,谢谢!

分类: 猎头和求职 标签:

Docker Security: Best Practices for your Vessel and Containers

2016年3月25日 baoz 没有评论

Everything you need to know about Docker security.Docker security

 

 新版本可能有些变化。

阅读全文…

ssh会话建立的整个过程

2016年1月8日 baoz 没有评论

今天老板电话问到ssh建立的整个过程,几年前看过,不过忘的差不多了,复习一下,有几个版本供大家阅读:

0、安全版。简单扼要,恰到好处。 https://www.digitalocean.com/community/tutorials/understanding-the-ssh-encryption-and-connection-process

其中的session key是由Diffie-Hellman密钥交换算法得到的,DH本身很复杂,有兴趣的自行研究。

  1. The client begins by sending an ID for the key pair it would like to authenticate with to the server.
  2. The server check’s the authorized_keys file of the account that the client is attempting to log into for the key ID.
  3. If a public key with matching ID is found in the file, the server generates a random number and uses the public key to encrypt the number.
  4. The server sends the client this encrypted message.
  5. If the client actually has the associated private key, it will be able to decrypt the message using that key, revealing the original number.
  6. The client combines the decrypted number with the shared session key that is being used to encrypt the communication, and calculates the MD5 hash of this value.
  7. The client then sends this MD5 hash back to the server as an answer to the encrypted number message.
  8. The server uses the same shared session key and the original number that it sent to the client to calculate the MD5 value on its own. It compares its own calculation to the one that the client sent back. If these two values match, it proves that the client was in possession of the private key and the client is authenticated.

1、码农版。从openssh函数看ssh连接建立过程

https://baoz.net/%E4%BB%8Eopenssh%E5%87%BD%E6%95%B0%E7%9C%8Bssh%E8%BF%9E%E6%8E%A5%E5%BB%BA%E7%AB%8B%E8%BF%87%E7%A8%8B/

2、运维版。用ssh -v 登陆一个服务器,仔细看输出,就可以知道具体的过程。

 

3、书虫版。

这本书里介绍的很详细。

oreilly ssh the secure shell

分类: 技术点滴 标签: ,

CYBERSECURITY MARKET REPORT FROM THE EDITORS AT CYBERSECURITY VENTURES

2016年1月7日 baoz 没有评论

According to IDC, the hot areas for growth are security analytics / SIEM (10 percent); threat intelligence (10 percent +); mobile security (18 percent); and cloud security (50 percent). According to a report from Markets and Markets, the cloud security market is expected to be worth $8.7 billion by 2019. //cool

原文在 http://cybersecurityventures.com/cybersecurity-market-report/

阅读全文…

分类: 云安全 标签:

ZZ 简单制作 OS X Yosemite 10.10 正式版U盘USB启动安装盘方法教程 (全新安装 Mac 系统)

2016年1月6日 baoz 没有评论

http://www.iplaysoft.com/osx-yosemite-usb-install-drive.html 原文在

不过大家可别被「命令行」三个字吓到,其实你只需按步骤来,复制粘贴命令即可快速完成,事实上是很简单的。

一、准备工作:

  1. 准备一个 8GB 或以上容量的 U 盘,确保里面的数据已经妥善备份好(该过程会抹掉 U 盘全部数据)
  2. 从这里下载苹果官方 OS X Yosemite 正式版的安装程序 (可选 AppSotre 或网盘下载)
  3. 如果你是从 Mac AppStore 下载的,下载完成后安装程序可能自动开始,这时先退出安装
  4. 如从网盘下载的,请将解压后获得的 “Install OS X Yosemite.app” (显示为 “安装 OS X Yosemite.app”) 移动到「应用程序」文件夹里面

二、格式化 U 盘:

插入你的 U 盘,然后在「应用程序」->「实用工具」里面找到并打开「磁盘工具」,或者直接用 Spotlight 搜索“磁盘工具” 打开,如下图。

格式化U盘

  • 1 – 在左方列表中找到 U 盘的名称并点击
  • 右边顶部选择 2 -「分区」,然后在 3 -「分区布局」选择「1个分区」
  • 在分区信息中的 4 -「名称」输入「iPlaySoft」 (由于后面的命令中会用到此名称,如果你要修改成其他(英文),请务必对应修改后面的命令)
  • 在「格式」中选择 5 -「Mac OS 扩展 (日志式)」
  • 这时,先别急着点“应用”,还要先在 6 -「选项」里面,如下图

GUID 分区表

  • 选择「GUID 分区表」,然后点击「好」
  • 最后再点「应用」开始对 U 盘进行格式化。

三、输入终端命令开始制作启动盘:

  • 请再次确保名为 “安装 OS X Yosemite” 的文件是保存在「应用程序」的目录中
  • 在「应用程序」->「实用工具」里面找到「终端」并打开。也可以直接通过 Spotlight 搜索「终端」打开
  • 复制下面的命令,并粘贴到「终端」里,按回车运行:

 

回车后,系统会提示你输入管理员密码,接下来就是等待系统开始制作启动盘了。这时,命令执行中你会陆续看到类似以下的信息:

Erasing Disk: 0%… 10%… 20%… 30%…100%…
Copying installer files to disk…
Copy complete.
Making disk bootable…
Copying boot files…
Copy complete.
Done.

当你看到最后有 「Copy complete」和「Done」 字样出现就是表示启动盘已经制作完成了!

四、U 盘启动安装 OS X Yosemite 的方法:

当你插入制作完成的 OS X Yosemite U盘启动盘之后,桌面出现「Install OS X Yosemite」的盘符那么就表示启动盘是正常的了。那么怎样通过 USB 启动进行全新的系统安装呢?

其实很简单,先在目标电脑上插上 U 盘,然后重启你的 Mac,然后一直按住「option」(alt) 按键不放,直到屏幕显示多出一个 USB 启动盘的选项,如下图。

Yosemite USB盘启动

这时选择 U 盘的图标回车,即可通过 U 盘来安装 Yosemite 了!这时,你可以直接覆盖安装系统(升级),也可以在磁盘工具里面格式化抹掉整个硬盘,或者重新分区等实现全新的干净的安装

分类: 技术点滴 标签: ,

debian 创始人 Ian Murdock 去世

2015年12月31日 baoz 没有评论

认识debian和linux的小伙伴从linuxfocus开始,翻译文章,翻译安全手册,复盘debian.org被黑过程,学习do_brk,sk13b,phrack58-7 linux on the fly kernel patching,感恩murdock,英年早逝,一路走好。

期待死亡原因披露。

https://bits.debian.org/2015/12/mourning-ian-murdock.html

Ian Murdock

With a heavy heart Debian mourns the passing of Ian Murdock, stalwart proponent of Free Open Source Software, Father, Son, and the ‘ian’ in Debian.

Ian started the Debian project in August of 1993, releasing the first versions of Debian later that same year. Debian would go on to become the world’s Universal Operating System, running on everything from embedded devices to the space station.

Ian’s sharp focus was on creating a Distribution and community culture that did the right thing, be it ethically, or technically. Releases went out when they were ready, and the project’s staunch stance on Software Freedom are the gold standards in the Free and Open Source world.

Ian’s devotion to the right thing guided his work, both in Debian and in the subsequent years, always working towards the best possible future.

Ian’s dream has lived on, the Debian community remains incredibly active, with thousands of developers working untold hours to bring the world a reliable and secure operating system.

The thoughts of the Debian Community are with Ian’s family in this hard time.

His family has asked for privacy during this difficult time and we very much wish to respect that. Within our Debian and the larger Linux community condolences may be sent to in-memoriam-ian@debian.org where they will be kept and archived.

 

Debian.org Hacked http://mirror.hamakor.org.il/archives/linux-il/12-2003/7013.html

Linux kernel do_brk() lacks argument bound checking http://isec.pl/vulnerabilities/isec-0012-do_brk.txt

Linux on-the-fly kernel patching without LKM http://phrack.org/issues/58/7.html#article

方法论丨构建机器学习系统的20个经验教训

2015年12月24日 baoz 没有评论
2015-12-24 孙镜涛 InfoQ
数据科学家对优化算法和模型以进一步发掘数据价值的追求永无止境。在这个过程中他们不仅需要总结前人的经验教训,还需要有自己的理解与见地,虽然后者取决于人的灵动性,但是前者却是可以用语言来传授的。最近Devendra Desale就在KDnuggets上发表了一篇文章,总结了Quora的工程副总裁Xavier Amatriain在Netflix和Quora从事推荐系统和机器学习工作时所总结的20条经验教训。

1.更多的数据 & 更好的模型

并不是数据越多结果就越好,高质量的数据才能产生高质量的结果。多并不意味着好,事实上,有些情况下较少的数据反而效果更好,因此数据要适量,质量要高。

2.可能并不需要所有的大数据
组织可能积累了不同种类的大数据,但是并不是每一个场景都会用到所有的数据。大部分情况下,通过一些样本数据就能获得比较好甚至是比使用全量数据更好的效果。

3.有时候更复杂的模型并没有带来任何提升,但这并不意味着就不需要它了
如果将一个线性模型的特征数据作为另一个更复杂模型(例如非线性模型)的输入,而复杂模型产生的结果并没有任何提升,那并不意味着这个复杂模型就毫无意义。因为通常情况下只有更复杂的特征数据才需要更复杂的模型,对于简单的特征数据复杂模型往往难以发挥出自身优势。

4.学会处理展现偏见
系统通常会将那些预测的比较正确的结果展示给用户,用户会选择性的查看,但是用户不看的那部分并不一定就毫无吸引力。更好的选择是通过关注模型或者MAB分析用户的点击概率,合理地呈现内容。

5.认真思考训练数据
构建训练和测试数据的时候需要充分考虑结果和各种不同的场景。例如,如果要训练一个预测用户是否喜欢某部电影的分类器,那么产生数据的可能场景包括:用户看完电影并给出了一星的评价,用户看了5分钟、15分钟或者一小时之后离开,用户再次查看电影等,如何选择这些数据是需要经过深思熟虑的。

6.UI是用户与算法通信的唯一方式
系统通过UI展现算法结果,用户通过UI提供算法反馈,它们应该是相互对应的关系,任何一个发生变化另一个也需要进行改变。

7.数据和模型是否已经足够好了?要有正确的评估方法
产品决策始终应该是数据驱动的。对于不同的问题,要选择正确的评估方法,例如,通过A/B测试来衡量不同特征数据,不同算法的优劣;通过脱机测试使用 (IR) 度量测试模型的性能。

8.分布式算法重要,但是理解它的分布式程度更重要
分布式/并行算法分三级:第一级针对总体的每一个子集,第二级针对超参数的每一种组合,第三级针对训练数据的每一个子集,每一级都有不同的要求。

9.慎重地选择超参数
要选择正确的度量标准自动化超参数的优化。

10.有些事情能线下做,有些不能,有些介于两者之间,为此需要支持多层次的机器学习

11.隐式信号几乎总是打败显式信号
许多数据科学家认为隐式反馈更有用。但真的是这样么?实际上有些情况下结合不同形式的隐式和显式信号能更好地表示长期目标。

12.模型会学习你教给他的内容
机器学习算法并不是一个随意的过程,它的每一步都涉及到科学方法。模型要从训练数据、目标函数和度量中学习。

13.有监督的 + 无监督的学习
开发模型的时候不能简单地选择有监督的或者无监督的学习,它们各有长处,适用场景不同,用户需要根据具体情况同时迭代地使用它们,通过两种方法的融合获得更好的效果。

14.所有的事情都是一种集成(Ensemble)
使用机器学习的大部分应用程序都是一个集合体。你可以添加完全不同的方法(例如CF和基于内容的方式),你也可以在集成层使用许多不同的模型(例如LR、GDBT、RF和ANN)。

15.一个模型的输出可能是另一个模型的输入
确保模型的输出具有良好的数据依赖关系,例如可以容易地改变值的分布而不影响依赖它的其他模型。要尽量避免反馈循环,因为这样会在管道中造成依赖和瓶颈。另外,机器学习的模式设计也需要遵循最佳的软件工程实践,例如封装、抽象、高内聚和松耦合。

16.特征工程的失与得
良好的机器学习特征可重用、可转换、可解释并且可靠。捕获的特征越好,结果越精确。为了量化数据的属性必须将维度翻译成特征。

17.机器学习基础设施的两面性
任何机器学习基础设施都需要考虑两种不同的模式。模式1:机器学习实验需要扩展性、易用性和可重用性。模式2:机器学习产品不仅需要模式1的特性,还需要性能和可伸缩性。理想情况下,应该保持这两种模式尽可能地相近。

18.要能回答有关于模型的问题
必须能够向产品所有者解释模型的行为,知道如何使用模型,它需要哪些特征,导致失败的原因是什么;同时还需要知道产品所有者或投资者的期望,能够向他们介绍模型为产品带来了什么价值。

19.不需要分发机器学习算法
Hadoop/Spark这些“容易的”分布式计算平台也有一些陷阱,例如成本和网络延迟,实际上有些情况不使用它们也能很好的完成工作,通过智能数据样本、离线模式以及高效的并行代码等方法训练模型所花费的时间甚至比这些分布式平台要少的多。

20.数据科学 vs. 机器学习工程不为人知的故事
拥有强大的能够挖掘数据价值的数据科学家是非常值得的。但是既懂数据又有扎实工程技能的数据科学家非常稀少,通常情况下,构建数据科学家团队和机器学习工程团队并让他们通力配合才是比较好的方案。

  • 更多干货内容,敬请关注InfoQ[id:infoqchina]微信公众号

绿盟科技:非公开发行股票募集资金使用的可行性分析报告 绿盟上云的打法

2015年12月24日 baoz 没有评论

上年8月,和12家基金公司挨个聊过安全相关股票,一晃眼1年多过去了,很多事情的发展还是超出了我的预料之外。今天看到绿盟的这个信息,没憋住:( 多聊几句,也给标题写成nsfocus reborn。云来了,IT公司也好,安全公司也好,都在琢磨变革这事。

里面难免会有取舍,这个我便瞎喷,没到最后,谁都没法敲定对错,各位看官可以闭上双眼放飞思想的翅膀,放长双眼看,我的点评也是点到即止,不构成任何投资建议。

安全公司上云,几种玩法:

1、自己做上游。例如深信服,自己做私有云解决方案,注意,不是私有云的安全解决方案。深信服的精锐力量都投入到这里面了,可见其决心。

2、合体。你中有我,我中有你。外国厂商好这一口,前期逐利略短视,当然这是外国厂商在国内的通用玩法,一朝天子一朝臣,落袋为安,可以理解。SI玩起来成本大,当然也有可以玩的方法,就看SI的决心了。路子很多,至于行不行,明年年中能看出些端倪了。

3、结婚。注意,不是牵手,牵手很简单,合体略困难,但结婚就很严肃了。安恒和阿里云的婚姻还是很不错的,双赢。

4、走自己的路。如果这次绿盟没和公有云玩,而是自己想搞个类似加速乐的东西,那就是走自己的路,大概可以揣度其雄心壮志。所以我们就看这个case里有没鹅厂的影子了。从资本上猜测,是有可能拉鹅厂进来玩了的,而从业务上揣摩,好像又觉得怪怪的:)但是这不重要。

5、牵手。上市场。公有云都有云市场,这和1、2、3、4不矛盾。其中山石的热情比较高涨 :)

好重要的一步,PDF必须完整保存一份。nsfocus_reborn.zip 有兴趣的同学可以仔细看,我就拿2个图出来。

UCloud作为一个中立的公有云,欢迎各类安全公司来洽谈各种玩法 :)

QQ20151224-0QQ20151224-1