caizehaosg/
共24个网摘 [
1 ] |
访问caizehaosg的个人空间
caizehaosg收录,使用标签:数据库,时间:2008-3-27 9:33:00 | 相关网摘,我也收藏
1. 确认已经安装了NT/2000和SQL Server的最新补丁程序,不用说大家应该已经安装好了,但是我觉得最好还是在这里提醒一下。
2. 评估并且选择一个考虑到最大的安全性但是同时又不影响功能的网络协议。 多协议是明智的选择, 但是它有时不能在异种的环境中使用。
3. 给 "sa" 和 "probe" 帐户设定强壮的密码来加强其安全性。设定一个强壮的密码并将其保存在一个安全的地方。 注意: probe帐户被用来进行性能分析和分发传输。 当在标准的安全模态中用的时候 , 给这个帐户设定高强度的密码能影响某些功能的使用。
4. 使用一个低特权用户作为 sql 服务器服务的查询操作账户,不要用 LocalSystem 或sa。 这个帐户应该有最小的权利 ( 注意作为一个服务运行的权利是必须的)和应该包含( 但不停止)在妥协的情况下对服务器的攻击。 注意当使用企业管理器做以上设置时 , 文件,注册表和使用者权利上的 ACLs同时被处理。
5. 确定所有的 sql 服务器数据,而且系统文件是装置在 NTFS 分区,且appropraite ACLs 被应用。 如果万一某人得到对系统的存取操作权限,该层权限可以阻止入侵者破坏数据,避免造成一场大灾难。
6.如果不使用Xp_cmdshell就关掉。 如果使用 sql 6.5, 至少使用Server Options中的SQLExecutieCmdExec 账户操作限制,非sa用户使用XP_cmdshell.
在任何的 isql/ osql 窗口中( 或查询分析器):
use master
exec sp_dropextendedproc'xp_cmdshell'
对 SQLExecutiveCmdExec 的详细情况请查看下列文章:
http://support.microsoft.com/support/kb/article/Q159/2/21.
如果你不需要 xp_cmdshell 那请停用它。请记住一个系统系统管理员如果需要的话总是能把它增加回来。这也好也不好 - 一个侵入者可能发现它不在,只需要把他加回来。考虑也除去在下面的 dll但是移除之前必须测试因为有些dll同时被一些程序所用。 要找到其他的程序是否使用相同的 dll:
首先得到该 dll 。
select o.name,c.text from dbo.syscomments c , dbo.sysobjects o where c.id=o.id and o.name='xp_cmdshell'
其次,使用相同的 dll发现其他的扩展储存操作是否使用该dll。
select o.name,c.text from dbo.syscomments c , dbo.sysobjects o where c.id=o.id and c.text='xplog70.dll'
用户可以用同样的办法处理下面步骤中其他你想去掉的进程。
7. 如不需要就停用对象连接与嵌入自动化储存程序 ( 警告 - 当这些储存程序被停用的时候 , 一些企业管理器功能可能丢失). 如果你决定停用该进程那么请给他们写一个脚本这样在以后你用到他们的时候你能够把他们重新添加回来 。 记住, 我们在这里正在做的是锁定一个应用程序的功能 - 你的开发平台应该放到其他机器上。
8. 禁用你不需要的注册表存取程序。(同上面的警告)这些包括:
Xp_regaddmultistring
Xp_regdeletekey
Xp_regdeletevalue
Xp_regenumvalues
Xp_regremovemultistring
注意 :我过去一直在这里列出 xp_regread/ xp_regwrite但是这些程序的移除影响一些主要功能包括日志和SP的安装,所以他们的移除不被推荐。
9.移除其他你认为会造成威胁的系统储存进程。 这种进程是相当多的,而且他们也会浪费一些cpu时间。 小心不要首先在一个配置好的服务器上这样做。首先在开发的机器上测试,确认这样不会影响到任何的系统功能。
10. 在企业管理器中"安全选项" 之下禁用默认登录。(只有SQL 6.5) 当使用整合的安全时候,这使未经认可的不在 syslogins 表中使用者无权登陆一个有效的数据库服务器。
11. 除去数据库的guest账户把未经认可的使用者据之在外。 例外情况是master和 tempdb 数据库,因为对他们guest帐户是必需的。
12. 若非必须,请完全地禁用SQL邮件功能。它的存在使潜在的攻击者递送潜在的 trojans ,病毒或是简单实现一个DOS攻击成为可能
13. 检查master..Sp_helpstartup看有无可疑的木马进程。 确定没有人已经在这里放置秘密的后门程序。 使用 Sp_unmakestartup 移除任何可疑进程。
14. 检查master..Sp_password看有无trojan代码。比较你的产品scripts和一个新安装的系统的默认scripts而且方便的保存。
15. 记录所有的用户存取访问情况。 从企业管理器做这些设定或通过以sa登陆进入查询分析器的下列各项:
xp_instance_regwrite N'HKEY_LOCAL_MACHINE', N'SOFTWARE MicrosoftMSSQLServerMSSQLServer',N'AuditLevel',REG_DWORD,3
16. 重写应用程序使用更多用户定义的储存和察看进程所以一般的对表的访问可以被禁用。 在这里你也应该看到由于不必经常进行查询计划操作而带来的性能提升。
17. 除去不需要的网络协议。
18. 注意SQL 服务器的物理安全。把它锁在固定的房间里,并且注意钥匙的安全。只要有机会到服务器面前,就总是会找到一个方法进入。
19. 建立一个计划的任务运行
findstr/C:" Login Failed"mssql7log*.*'
然后再重定向输出到一个文本文件或电子邮件,因此你监测失败的登录尝试。这也为系统管理员提供一个好的记录攻击的方法。 也有很多用来分析NT日志事件的第三者工具。 注意: 你可能需要将路径换成你安装SQL的路径。
20. 设定非法访问和登陆失败日志警报。到 企业管理器中的"Manager sql server Messages "搜寻任何有关无权访问的消息 ( 从查找"login failed"和"denied"开始). 确定你所有感兴趣的信息被记录到事件日志。然后在这些信息上设定警报 , 发送一个电子邮件或信息到一个能够对问题及时响应的操作员。
21. 确定在服务器和数据库层次上的角色都只被授给了需要的用户。 当 sql server 安全模型 7 有许多增强的时候, 它也增加额外的许可层,我们必须监控该层,确定没有人被授予了超过必需的权限。
22. 经常检查组或角色全体会员并且确定用组分配权限,这样你的审计工作能够简化。 确定当你在的时候 , 公众的组不能从系统表执行选择操作。
23. 花些时间审计用空密码登陆的请求。 使用下面的代码进行空密码检查:
使用主体
选择名字,
password
from syslogins
where password is null
order by name
24. 如果可能,在你的组织中利用整合的安全策略。 通过使用整合的安全策略,你能够依赖系统的安全,最大简化管理工作从维护二个分开的安全模型中分离开来。这也不让密码接近连接字串。
25. 检查所有非sa用户的存取进程和扩充存储进程的权限。 使用下面的查询定期的查询哪一个进程有公众存储权限。(在SQL Server中 使用 "type" 而不是 "xtype"):
Use master
select sysobjects.name
from sysobjects,sysprotects
where sysprotects.uid=0
AND xtype 在 ('X','P')
AND sysobjects.id=sysprotects.id
Order by name
26. 当时用企业管理器的时候,使用整合的安全策略。 过去,企业管理器被发现在标准的安全模态中储存 "sa" 密码在注册表的 plaintext 中。 注意: 即使你改变模态,密码也会留在注册表中。 使用 regedit 而且检查键:
HKEY_CURRENT_USERSOFTWAREMicrosoft
MSSQLServerSQLEW Regedi
sql 6.5
现在数据被隐藏在
HKEY_USERS/softwareMicrosoftMicrosoft sql servertoolSQLEWregistered server XSQL server group
("SQL server组" 是默认值但是你可能已建立用户组因此相应地改变其位置)
27. 发展一个审核计划而且订定每月的安全报告,对IT主管可用的报表包括任何的新exploit,成功的攻击 , 备份保护 , 和对象存取失败统计。
28. 不要允许使用者交互式登陆到 sql Server之上。这个规则适用任何的服务器。 一旦一个使用者能够交互式进入一个服务器之内,就有能用来获得管理员的存取特权得到管理员权限。
30. 尽力限制对SQL Server的查询与存取操作。 用户可以用最小权限查询sql server中的很多东西。若非必须不要给他们机会。
http://blog.csdn.net/onlyzhangqin/archive/2008/03/26/2219189.aspx
caizehaosg收录,使用标签:安全,时间:2008-3-27 9:32:40 | 相关网摘,我也收藏
为什么中小型企业易遭攻击?对于中小型企业网络而言,也许最大的威胁就是企业所有者对网络安全的认识错误,并且缺乏保护网络的必要措施。同时有业内人士分析,去年国内的股市热潮加剧了网络犯罪的发生率,受到出售机密信息的诱人利益所驱使,网络罪犯已经逐渐将Web作为从事恶意活动的新途径:大量网银大盗利用恶意程序试图窃取用户股票和银行的账号密码。
趋势科技病毒处理中心Trend Labs研究了最近两年来蠕虫和Web威胁程序的发展态势,结果表明蠕虫这一病毒形态在最近两年中发展基本平稳,而利用Web方式进行传播的恶意程序正呈大幅增长态势。对于员工的HTTP/FTP应用完全不加控制的企业,其爆发安全事件的比例要比严格加以控制的企业高3.5倍。
Web威胁汹汹来袭 中小企业成重灾区
拥有大型网络的公司通常拥有复杂的防火墙和入侵防御系统,并且定期更新和维护这些系统。中小型企业则恪于有限预算,不可能花费很多人力、财力或时间来维护企业级网络安全系统。于是给了黑客更多可乘之机。
为了更好地了解这个问题的严重性,趋势科技《2007年下半年网络安全分析报告》指出:报告全面分析了目前的网络环境下企业遭受的恶意威胁分布。本次调查涉及12万台计算机,共查获4700余万条病毒纪录。报告显示在不到100家企业的范围内,平均每天就有267,350条病毒记录。其中100-500U的中小企业占监控规模的44%。被排名前二十大恶意程序肆虐的企业中,100U以下的中小企业占61%,成为病毒发作的重灾区。
上述报告中还有一个值得关注的数据:99.85%的恶意程序都可以轻松突破网关和邮件服务器,直到在桌面端才被拦截,这反映出绝大部分企业和机构,都缺乏网关端防护或未确实执行有效的管理政策。一旦最后一道防线——客户端未能做好防护与管理,就很容易发生内部大量病毒爆发的事件。而事实上,目前手机、无线等移动上网方式和以USB设备为代表的移动存储装置已被越来越广泛地应用,而这些上网终端的桌面防护力度根本不足以抗衡来势汹汹的Web威胁,一旦网关端的防护力度不够,这些未受完整保护的使用者将完全暴露在病毒攻击面前,企业以往的安全解决方案在愈演愈烈的Web威胁面前岌岌可危!
扼杀Web威胁 中小企业需要终端+服务的主动防御
趋势科技网络安全专家徐学龙认为,在来势汹汹的恶意攻击面前,传统防护手段总是处于预防威胁-检测威胁-处理威胁-策略执行的循环之中,其效果显得越来越苍白无力。他提醒广大中小企业用户,企业网络安全最重要的三要素是:员工的防范意识,网络安全的流程化管理,还有安全技术的加强。
网络安全需要从企业的安全部署与管理政策来协同进行,除了提高员工对新型态病毒威胁的警觉性并定期举办相关网络安全培训课程外,专业的防毒专家服务可以提供协助及弥补不足。例如趋势科技TMES Standard针对绝大部分企业和机构都未确实执行有效的管理政策的弱点,提供不间断的远程及现场服务,快速病毒响应及处理。会提供7X24专家在线值守、紧急上门问题处理 以及日常的报表服务。在异常状况发生时主动提供早期预警及通知,让企业可以在病毒或其它安全威胁大量扩散之前就得以察觉。并运用专家提供的建议方案做好处理,降低企业在处理web威胁时必须付出的人力成本,并得以维持网络的持续运作、维系企业正常营运。
在提高人员安全防范意识,加强网络安全专家服务的同时,中小型企业应进一步强化桌面端防护,强化企业内部数据分享机制的权限控管,杜绝web病毒网内流窜。目前很多厂商都推出了基于主动防御技术的桌面端杀毒软件,趋势科技也推出了针对300个客户端的中小型企业桌面安全产品。据了解,趋势科技开发的Officescan 8.0整合网页信誉评估服务,通过增加网络安全等级与得到增强的反间谍技术加强对web威胁的桌面防护。基于网络的管理控制台允许管理员对网络中的客户端和服务器进行远程配置,保证病毒码、扫描引擎、程序版本得到及时更新。使用针对群组的安全策略,以及实时监控,事件通知以及综合报表功能,网络安全性可以得到进一步强化。并同时配合企业级防毒委外服务TMES-S,借助趋势科技TMES网络安全专家的丰富经验,为中小企业提供专业咨询服务和主动式病毒爆发防护策略,让中小企业更迅速的获得响应和支持,保证了中小企业有效对抗web威胁。
http://security.ctocio.com.cn/securitycomment/307/8054807.shtml
caizehaosg收录,使用标签:CIO,时间:2008-3-27 9:32:25 | 相关网摘,我也收藏
天灾,也叫"不可抗力"的灾难,通常指水火无情的自然灾害,而在今天企业可能要面临另一种"天灾人祸",那就是网络安全。如今你若问CIO最关心的问题是什么时,他们中的绝大多数会不约而同地说:"当然是网络安全了!"。企业网络安全问题,不仅牵系着企业用户业务能否正常运行,而且还直接影响到企业效能和核心竞争力的发挥。
在过去的2007年,无论是年初蔓延网络的"熊猫烧香"病毒,还是11月的英国政府遭史上最大资料外泄使2500万人受到影响的事件,都说明网络安全面临着病毒更毒,黑客更黑。诸如从间谍软件、网游木马、流氓软件、IM通讯病毒、病毒邮件的肆虐,到性质极为严重的网络银行钓鱼和针对性很强的木马、蠕虫病毒的不断出现。
俗话说:"道高一尺,魔高一丈",网络系统的安全性问题之所以让企业头疼,是因为指望通过一劳永逸解决所有安全问题是不可能的。类似的例子不胜枚举,不论是病毒、数据丢失,还是垃圾邮件等等企业网络系统的安全性问题,都给企业敲响了警钟。因此,网络系统的安全性也成为CIO最为头痛和最为棘手的问题之一。
什么是网络安全威胁?
想要应付网络安全威胁,就要先认识到什么是"安全威胁"。据有关调查显示,85%的被采访者表示曾经遇到网络安全问题,其中遇到次数最多的是网络病毒。另外,还有70%的被采访者表示公司网络曾经被黑客访问过。因此,企业网络安全性有两个最大威胁,它们是病毒侵袭和黑客入侵。
(1)病毒侵袭。
这几乎有计算机的地方,就有出现病毒的可能性。计算机病毒通常隐藏在文件或程序代码内,伺机进行自我复制,并能够通过网络、磁盘、光盘等诸多手段进行传播。计算机病毒传播速度相当快、影响面大,必须对它的危害要引起关注。杀毒软件是对付病毒的最好方法之一,然而如果没有"忧患意识",很容易陷入"盲从杀毒软件"的误区。
(2)黑客入侵。
一般来说,黑客常见的入侵动机和形式可以分为两种。第一种是拒绝服务(DOS)攻击。这类攻击一般能使单个计算机或整个网络瘫痪,黑客使用这种攻击方式的意图很明显,就是要阻碍合法网络用户使用该服务或破坏正常的商务活动。另一种是非法入侵,非法入侵是指黑客利用企业网络的安全漏洞访问企业内部网络或数据资源,进行删除、复制甚至毁坏数据的活动。这两种黑客入侵行为都可能致使公司停工、增加清除成本或数据被窃而造成无法挽回的损失。除此之外,非法入侵对于企业的品牌形象、客户信赖度、市场占有率甚至股价都有潜在性的影响。
保障网络安全有两个支柱,一个是技术、一个是管理。而我们日常提及网络安全时,多是在技术相关的领域,例如IDS入侵检测技术、Firewall防火墙技术、Anti-Virus防病毒技术、加密技术、CA认证技术等等。但正如"木桶原理"所示,你的能力是由你最弱的那个环节决定的,我们在保护网络安全时,也应该从上述二个方面全面考量,而不能只偏重其中的某一个部分。
(3)网络行为规范化管理
网络行为的根本立足点,不是对设备的保护,也不是对数据的看守,而是规范企业员工网络行为,这已经上升到了对人的管理的阶段,通过技术设备和规章制度的结合来指导、规范员工正确使用单位的网络资源。
网络安全的根本政策,一定要包含内部的安全管理规范。许多企业花大成本买最好的防火墙,黑客或是熟悉该企业网络环境的离职员工,还是有办法绕过从墙外进来,这是因为没有一套软件可以在没有网络安全管理策略之下发挥作用。防火墙、防毒墙都是提供服务的工具之一,人,才是网络安全最大的关键。CIO必须为网络安全建立一套监督与使用的管理程序,并且彻底实行。
(4)安全意识最重要
面对不断袭来的安全威胁,除了购买安全产品以外,我们还应该做些什么呢?这里需要指出:"安全意识最重要!"。
安全设施的建立只是企业信息安全的第一步,如何在安全体系中有效彻底的贯彻安全制度,以及不断深化全员安全意识才是关键所在。光依靠技术不能完全解决安全问题,因为过了一段时间,一些先进的技术可能就过时了,所以CIO应该有安全意识,重视自己企业的安全措施。加强安全意识的培训,首先要集团的领导认识到网络安全问题,另外也要对技术人员加强培训,统一认识。
这些安全措施包括,培养员工的安全意识,养成良好的上网习惯,比如及时打好系统补丁、不要浏览不良网站、不随意下载安装来历不明的软件等等;对相关的技术管理人员进行技能培训,对于重要数据一定要做好数据备份,否则会导致灾难性的后果。
其它确保网络安全的有效措施
现在网络安全可以说是关系到企业命运的大事,不管愿意不愿意CIO其中的一个职责就是要保证网络安全。如果公司的信息系统脆弱不堪,CIO必须对此负责。那么,CIO应该制定什么措施来履行这个职责呢?
(1)明确岗位职责,保障网络安全
CIO重要责任之一是保障本公司网络的安全、完整与可用性。这项工作不能外包出去,也责无旁贷,因此要在岗位职能上明确规定。CIO要有特许权,只要检测到网络安全违反行为,就要收集、分析与调查事件。例如职责上明确规定负责安全协调,确保影响网络安全的职能是集成在业务流程过程中而不是独立的任务。同时要进行评估网络安全受到危及或有受到危及之嫌的每一个事件,并把网络安全的质量、健全性和可靠性通知和报告高层管理人员。此外,CIO还应该指导开发人员,确保网络安全成为IT系统设计不可或缺的一部分。
(2)力争在网络安全投入足够预算
CIO要力争并确保足够资金投资于IT系统的安全项目。密切关注公司要为网络安全划拨一定金额的预算,以承担安全成本,例如防病毒软件、防火墙服务器、加密软件、入侵检测系统、集中安全管理等成本。
公司高层主管有时会认为CIO对网络安全过于大惊小怪。但CIO要清醒认识到:"至关重要的计算机设施出现安全问题造成严重损害的故障只是个时间问题。对于网络安全,生于忧患,死于安乐的意识并不是传说中的事情,担忧有人对公司的网络构成危害的心态,并非总是基于想象中的恐惧。如果你想到有竞争对手希望你公司遭到危害,那么谨小慎微对生存而言也许绝对必要。
(3)定期进行网络安全检讨会议
在明确了网络安全目标之后,CIO应当就网络安全问题定期地举行检讨会议。一旦安全会议检查到现有的业务运作存在网络安全问题,或评估以往安全措施的执行情况存在问题时,CIO就需要设立一个解决网络安全的时间框架。每月进行安全讨论听上去好像很多,尤其当公司各安全团队是散布在不同的地区,但是CIO从中所获得的回报是在当月接下来的日子中可以确保公司网络安全,以确保公司业务能处理日常工作。
http://security.ctocio.com.cn/securitycomment/254/8054754.shtml
caizehaosg收录,使用标签:业务平台,时间:2008-3-27 9:31:35 | 相关网摘,我也收藏
随着企业信息化的呼声越来越高,近两三年ERP开始为国人所接受,并且被当作企业成功的捷径。然而,统计数字显示,绝大多数企业实施ERP的效果差强人意。
概念分立还是应用集成?
ERP是当前国际上通用的管理信息系统,它顺应企业面临全球化市场竞争的管理需求,在供应链流程中进行信息集成处理,具有先进的现代企业管理模式。从行业的角度看,有人主张概念分立,有人看好应用集成,到底哪一种更适合国内企业呢?
北京甲骨文公司的市场总监黄玮女士表示,甲骨文公司的观点是主张应用集成,提出了完整集成的电子商务套件。黄玮指出,集成包括两个概念,一是工作流上的集成。工作流是把各个部门各自为政的方式打破,让各部门可以协同工作。二是打破信息孤岛,让所有的信息都存到一个完整的基础信息系统里。她强调,信息库是惟一一个可以提供“信息真相的地方,其他任何部门访问信息库时信息库里的信息永远是最新的版本。
TurboCRM市场总监于光辉认为,集成是未来的一个理想,现在还不很现实。由于中国企业信息化的现状或者管理能力的现状都处于非常低的阶段,信息的不规范,把规则变成行动的能力也很差,所以集成对国内企业来讲是理想,是雾里看花的东西,必须回到我们的业务中讲我们看得懂的东西。
北京联成互动软件技术有限公司总经理胡进平表示,集成应用是一个方向,但是无论从厂商来看还是用户来看,都不是容易的事,每个企业要根据自身不同的状况来选择不同的满足方式。
业内资深专家陈启申说,企业上信息系统主要的目的还是要体现信息集成,但模块不要一个个地上,先要有流程的概念,然后再分步实施。
实施ERP失败责任在谁?
国内企业上马ERP项目之后的效果并不好,问题到底出在哪里?总体来看,多数企业ERP等项目不成功主要是目的错误、重视程度不足、把管理问题看成简单的技术问题、实施和培训力度不够、配套跟不上等几个原因造成的。
胡海根表示,中国现在信息化的现状还是挺令人担忧的。第一,好多企业的领导确实很重视,确实想搞信息化,有很多很高的要求;第二,他们在认识上的差异还是比较大的;第三,很多媒体上写的一些成功案例的应用也只是部分成功,不是大的集成;第四,中国管理软件市场上用三、四个字母代表软件的词还是比较多的,让很多用户非常迷惑,甚至感到无所适从。
陈启申鲜明地指出,ERP实施不成功,主要的责任在企业自己。因为企业不知道自己为什么要上ERP,对ERP是什么东西没搞清楚。他认为,企业、用户要知道什么是ERP,为什么要上ERP,你要解决什么样的问题,ERP能否解决这个问题。如果不对口,企业却买了,那就是企业自己的责任。
下一步该打什么牌?
企业信息化系统首先应该有一种管理思想在里面,而不只是买一套软件的事。企业必须有自己明确的目的,在此基础上才能实施企业的信息化,而不是为了信息化而信息化。
高维信诚资讯有限公司副总武瑞建议,在目前的状况下,首先是上ERP,把企业的内部资源整合好,再进行扩展,第三步是产品研发、产品生命周期的管理,第四步是企业战略管理即决策。
胡海根指出,企业上信息化还是要从自己的需要出发,要看企业遇到最大的困难是什么,有的企业是从分销开始做,把物流控制好再一步步地前推,有一些企业做好整体规划,按照ERP整体的流程一步步地推进。
用友软件U8事业部副总王鑫则提到,很多企业对于信息化有茫然的地方,其实很多企业可以梳理自己的IT战略。首先IT战略是运营战略的一部分,是要为业务战略服务的。要进行IT选型,把有限的资源充分利用,要分业务的优先级,希望用ERP系统解决管理工作中的所有问题,失败的可能性就相当大。所以,要从企业发展战略下降到运营战略再下降到IT战略,再下降到选型。
http://erp.ctocio.com.cn/plfx/277/8053777.shtml
caizehaosg收录,使用标签:CIO,时间:2008-3-27 9:31:16 | 相关网摘,我也收藏
如果一项工作做完了没人来怎么办?用IT的话说就是,如果做出了产品没人使用怎么办?CIO们要确保自己提供的产品能够解决真正的商业问题,因此他们经常都会面临着这样的情况。更引人注目的就是那些具有眼光洞察商业需要的IT团队。
在最近CIO执行委员会召开的一次会议上,CIO们认为丰富商业技巧和知识正在成为团队发展的最重要一点。下面是这方面的一些作法。
1、将商业带入IT。Partners HealthCare System的副CIO玛丽·芬蕾就招募一些医生加入其IT团队。芬蕾说“当我们为医生开发系统时,这些医生们的影响就尤其明显,因为他们有第一手的经验。”在芬蕾的团队中,有些护士和医生具有IT背景或卫生信息学的背景,其他一些人则没有IT方面的技术,而芬蕾就向他们提供岗位培训和内部项目管理的培训。
2、实地考察。如果你无法把商业带入到你的IT团队,那么就把IT团队带到商业里面去。Waste Management公司高级副总裁兼CIO琳·卡戴尔认为,尽管许多公司都有某一具体项目的工作影子的机会,但对商业的了解关键是要熟悉整个商业过程。Waste Management公司每年都向公众开放其废物处理的过程,从交换站、废物填埋一直到处理完毕垃圾车入库为止。她鼓励其IT团队参与这一过程,以便了解他们开发的系统是如何使用的,而他们所获得的知识在另一方面也对其团队有所裨益,卡戴尔说“通过参观,他们应该参与将来系统的改造升级,这样,他们就可以提高未来的能力,并将这种能力融入到技术当中去。”
3、与成功的商业人士相处。普度大学Krannert管理学院副技术院长哥里·麦克卡尼鼓励具有潜力的IT人员“去寻找最好的商人,最好的销售员,花时间与他们在一起,以使自己了解商业圈里发生的事情,建立起人脉关系,使自己享有机会。”他向学院的师生们也提过同样的建议。麦克卡尼发现他团队中的IT精英就利用学院的学术基础开展个人的商业关系,这样他们就获得了具有价值的商业技巧,提高了自己的业绩。
4、改善自己与商业圈的关系。Partners公司的芬蕾运用部门交流向其团队告知目前的一些商业项目,而且还专门强调IT对商业的重要性。在最近一期业务通讯里,医生们就IT对其日常工作意味着什么发表了看法。这些高级商业经理的作法非常有效,宣传了商业是如何运用IT来提高对病人的服务和改善业务流程的。根据2005年2月对98位IT经理的调查显示,要想提高商业领域对IT价值的认识,最好的办法就是让赞助商和用户自己交流这些价值。
本文来自于IT专家网
http://cio.ctocio.com.cn/exchange/175/8053675.shtml
caizehaosg收录,使用标签:安全,时间:2008-3-27 9:31:01 | 相关网摘,我也收藏
安全专家担心社会上像Facebook和LinkedIn这样的网站,所提供的恶意软件的传输工具以及信息,会为目标攻击创造条件。
甚至作为社会网络的宠儿,Facebook准备了一个在线联网应用的版本,专门针对企业用户,众多的安全专家越来越落后于这种先进的理念,即网站对于企业和其他组织来说是一个严重的威胁。
研究人员认为,从恶意软件,广告软件,垃圾邮件的传播者利用这些网站来传播他们的最新作品的能力,到有机会进行网络犯罪,再到利用web 2.0页面的特性获得个人的档案来进行有针对性的攻击,都在表明社会互联网正在迅速的成为一个严重的隐患。
他们说,最近恶意软件和广告软件的发布者通过Facebook和MySpace所提供的现有的服务开始了他们的计划,但这显露的仅仅是冰山的一角,而且众多的攻击者很可能已经尽其所能来创造出利用复制的软件来曝光网站使用者自己及他们所在公司的信息的新方法。
Google的全球执行副总裁,网站和Email过滤技术的发明者,Michael Whitehurst先生说道:“传统的攻击大部分是攻击者的短期赌注,而社会互联网的使用给犯罪分子通过人民的同情来发布恶意软件,进行攻击,或是潜入一个组织的内部,为了赎金而把持其数据。”
他还说道:“如果运用得当,社会互联网可以很有效。不用通过任何传统的途径就可以与人接触,这有着大量的优势。但是对于数据泄露或者目标攻击等威胁,企业真的需要警方的合作,而且必须详细的记录这些应用软件的使用的详细信息。”
其他专家指出最近发生在MySpace上的一次攻击,是通过这样一个页面,当一个人访问此URL时被提示需要在其电脑上安装windows更新,但实际上当他点击后就会会直接引导到一个恶意代码感染的网页网站。
网站上这种被创造的数量之多的页面也使得社会上在线的互联网公司几乎不可能追踪到通过其URL发布页面的所有威胁。
专家们还认为,甚至是易趣和贝宝这样的公司,拥有着相当多的资金和技术专长,还是必须通过关闭所有的网站脚本来与通过其域进行攻击的人进行斗争。
ScanSafe产品战略部的副总裁,一个安全服务平台的提供者,Dan Nadir先生说道:“全世界有着多于1.5个亿的动态网站,MySpace有着大约2亿个网页,谈及这些公司面临的保护自身的挑战,”任何的安全厂商没有任何办法将所有这些URL遍历,在将它们放入数据库中,设置成白名单或黑名单。
他还说:"我们已经看到了在有很多内容修改的网站上的极其复杂的,精心设计的攻击,在他人试图把恶意代码嵌入到他们自己的或他人的网页上时,其目的是诱骗终端用户。公司需要认识到,它不只是色情网站的恶意软件或免费的屏幕保护程序页面。社交网络是这项活动的主题,公司需要清醒起来保护自己。
据最近的一份Forrester研究公布的基于对150名IT专业人士进行了访谈的研究报告表明,这些被访问的人中的96%认为采用社会网络和其他所谓的Web2.0网站有着极其重要的价值,但是仅有少于人称他们已经采用了所有具体的安全措施来帮助保护用户的技术。
大多数观察家认为,尽管安全风险不可避免,但公司仍不应该阻止员工访问社会互联网的URL和其它Web 2.0网站应用,如合法的多媒体文件共享网站。因为这样做只会阻扰雇员,切断本应通过这些应用得到的具有潜在价值的商机。
不过, IT部门必须作好准备,以抵御出现在该网站上的多种类型的威胁,包括恶意软件,及有针对性的钓鱼计划。
网络网关制造商Secure Computing公司的技术副总裁,Paul Henry先生说道:“公司需要为当今世界的Web2.0 调整其安全策略,并为包括社会网站,博客,和所有其他类型的被创造出来的网站创建规则,采用的政策需要具体的阐明实施。”
他还说道:“除此之外,他们还需要恢复这些政策的技术保障措施,但这一切的前景仍然是相当严峻。大多数的公司只能为Web 1.0勉强提供充分的保障。”
http://cio.ctocio.com.cn/eits/140/8053640.shtml
caizehaosg收录,使用标签:Netbeans,时间:2008-3-27 9:30:33 | 相关网摘,我也收藏
自从大一暑假开始到现在,我学习Java差不多快两年的时间了,其间阅读过无数的博客,从Java SE 到Java EE、从基础类库到各类框架、从编程思想到设计模式,我能从博客中学习到各种书本中没有的东西,了解到各种新的技术。在此我感谢所有博主们辛勤的劳动,是你们的无私奉献、知识共享的精神才让我们这些初学者获得了极佳的学习途径,解决了我们初学者学习中遇到的大部分类似的问题。
也正是这个原因,我一直想自己写关于Java的博客,贡献自己微薄的力量,但是鉴于时间和自己的能力,一直没有开始。经过快两年的不断学习,还有阅读了大量的有关Java的博客文章,我发现自己Java水平比起两年前有了质的提高,所以有了打算写博客的念头,一来记录下自己学习的知识,二来想让各位网友评论博客发现自己的不足,三来帮助像两年前的我一样的初学者。
这是我的第一篇博客,我打算从IDE开始,为什么选择NetBeans而不是Eclipse ?
我发现周围的初学者相对于Eclipse而言更喜欢NetBeans,我虽然NetBeans和 Eclipse都在使用,但自从NetBeans6.0 M9开始,我更喜欢使用NetBeans。那么为什么NetBeans让那么多初学者爱不释手呢,原因当然是”Netbeans使用很简单功能很强大” 。Netbeans没有Eclipse安装插件的烦恼,使用起来没有 Eclipse那么复杂,NetBeans也完全是有插件组成的。
NetBeans的真正威力只有真正体验才知道,至于关于NetBeans启动慢问题,前几天6.1Beta出来后,NetBeans性能已经有了很大提升。我的机子内存为 2G,玩Netbeans非常爽。
下面开始我的第一篇Java博客
NetBeans 6.0 提高生产力之Java代码编辑器
代码模板
有些代码或者关键字经常使用,如果每次需要时我们都要一个一个字母输入,那么效率是很低下的。Netbeans提供了方便的代码模板功能,我们可以添加自己的模板。当然Netbeans默然提供了一些常用的模板,你只要输入代码的 缩写形式 + Tab键就可以生成相应的代码
如:
只要输入 sout + Tab键就可以生成System.out.println(“”)了。
下面给出常用几个缩写形式:
Psf -----------public static final
br ------------break
fi -------------final
im ------------implements
ir --------------import
le--------------length
re-------------- return
sout-----------System.out.println ("|");
st --------------static
查看更多的默认代码模板,请择菜单栏的 帮助(help)->快捷键列表(keyboard shortcuts Card)
当然也可以添加自己的模板,从主菜单中选择Tools > Options 选择Editor
可以修改或添加代码模板,不止是Java语言哦。
智能代码提示、完成
《代码大全》里第十一章 变量名的力量 里说道变量名的作用非常重要。为变量命名时最重要的考虑事项是,该名字要完全,准确地描述出该变量所代表的事物。
上面的建议非常重要,好的变量名能让代码的意图更清晰,代码更可阅读性。
这也是为什么Java界里面很多类或者方法的名称都是这么长的原因。
这样阅读是清晰了,但是不便于输入。如果让你用纯文本编写 SSH(Sructs, Spring,Hibernate),不考虑配置文件,你可能还是不愿意,因为SSH里面由于遵循良好的命名习惯,大部分类名和方法名都是非常长的。
NetBeans 6.0的Java编辑器提供超智能的代码提示、完成功能,智能的程度丝毫不逊于IntelliJ IDEA,更不要说Eclipse了。
下面让我们通过试验来看看NetBeans Java代码编辑器智能到什么程度
提示:代码提示功能的快捷键为:Ctrl + 空格键 和 Ctrl+\ (反斜杠) ,由于Ctrl + 空格键和
我们的中文输入法冲突了,所以你可以用Ctrl+",或者修改为自己喜欢的快捷键
本文来自于Blogjava 作者:令狐虫
更详细信息,请点击作者博客http://www.blogjava.net/linghuchong/
http://www.blogjava.net/linghuchong/archive/2008/03/24/188239.html
caizehaosg收录,使用标签:数据库,时间:2008-3-27 9:29:59 | 相关网摘,我也收藏
DB2 9数据库管理软件有以下4种安装方式:“DB2安装精灵,db2_install安装脚本,描述配置文件式安装,纯手动安装”等。下面我们将针对这四种方式进行分别介绍。
DB2安装精灵
在Linux,Unix,Windows操作系统环境下的图形界面向导式安装方式,对初次安装DB2 9的用户很实用。安装精灵提供容易使用的安装界面,能简化安装后的数据库性能调整和优化任务等操作。安装精灵还可以用来简单地生成数据库实例和描述安装配置文件,在Unix或Linux环境下,安装精灵的运行需要依赖x服务器软件的支持。
db2_install安装脚本
这种脚本安装方式只可以在Linux或Unix平台环境下才可以使用,Windows平台不支持脚本安装方式。该种方式对安装过程的控制粒度更细致,但这种安装方式无法创建数据库用户和组,无法创建数据库实例,或进行安装后的配置。
描述配置文件式安装
描述配置文件是一个文本格式的文件,其中包含了DB2 9安装需要的步骤和配置的一些列设定值,DB2 9安装程序将读取描述配置文件中的各项预设安装值进行安装。有以下一些方法来生成安装描述配置文件: 1.在Windows平台下可以用描述文件生成器2.使用DB2安装精灵来生成3.对产品包中提供的样例文件进行修改后得到
这种安装方式有利于进行DB2 客户端的分布式安装,例如,你可以先安装好一个DB2 客户端,对它进行充分配置后,将结果生成一个描述配置文件,然后对类似的客户端进行安装复制。还可以使用db2cfexp命令来输出DB2客户端软件和服务器端软件的安装配置轮廓文件。
纯手动安装
这种安装方式只建议高级专家使用,需要安装者对将近970多个安装子包进行解包和安装部件提取工作,由于过于复杂,所以不推荐初级的用户使用。
http://tech.ccidnet.com/art/1105/20080324/1398747_1.html
共24个网摘 [
1 ]