首页
学习
活动
专区
工具
TVP
发布

安全攻防

专栏成员
19
文章
13270
阅读量
14
订阅数
企业安全落地思考
技术岗里,开发、运维,都没有落地这个说法,唯独安全有落地这个说法。这是因为,开发及运维工作的落地,不需要其他部门配合,自己部门本身具备一切落地的要素。哪怕是体系化的复杂一些的工作,比如重构,也不需要其他部门的配合。而体系化的企业安全建设里,落地建设就离不开其他部门的配合。单应用安全里的SDL,其落地就折磨了数不清的安全从业者。
1neptune
2023-08-25
2130
企业业务安全思考
业务安全的目的在于,让业务正常开展,持续提供预期的服务。业务安全工作,是围绕着业务构建一系列安全风控的制度、工作流、系统、工具、风控规则、运营体系。
1neptune
2023-08-25
2910
企业供应链安全体系建设思考
信息安全里面的供应链安全,是狭义范围的供应链安全,其最终安全问题是体现在应用系统上的问题。供应链的软件组件会持续支撑整个应用系统的生命周期,如果组件出现问题,会直接影响到应用系统的可用性安全性。应用系统的供应链安全,实际上是由三个部分组成的。分别是应用安全里面软件开发中的依赖包(log4j),基础安全里面的应用运行组件(phpstudy),办公安全里的开发IDE(xcodeghost)。
1neptune
2023-08-25
2030
企业数据安全落地思考
相对于应用安全及基础IT设施安全,数据安全是一个新兴生态。里面的安全从业者,方法论,工具等都是非常贫乏的。比如应用安全,有burp,sqlmap,waf,扫描器,代码审计,字典等等工具。基础安全,有NMAP,osssec,hydra,nids,onlydebug等等工具。数据安全的工具,就数不出来几个了。数据安全里面,我们需要帮助数据梳理的工具,有帮助数据分类分级的工具,有帮助数据解析(AI关联价值分析)的工具,有帮助文件解析的工具(非结构化数据),然而市面上,其实并没有这些工具。当然,可能有数据安全的从业者有一些自己的脚本积累。
1neptune
2023-08-25
2620
企业数据安全体系建设思考
数据安全的保护对象是公司的信息数据。信息数据有各种表现形式,如结构化数据(sql,json)及非结构化数据(图片,音频视频,office文档)。按作用类型分类,可分为客户数据,员工数据,业务数据,财务数据,权限数据,代码数据等。当然更准确的分类方式要根据各公司自己的具体情况进行。拿个人来说,数据安全有财不外露、不怕贼偷就怕贼惦记的俗理。拿企业来说,不管是古代的账房先生,还是现代企业的财务部门,都是老板极为信任的人才能担任。随着互联网发展,黑灰产发展,以及国家立法的要求,个人及企业对数据保护的要求在提高,范围在扩大。而且在监管层面,对数据安全的监管检查,也慢慢变成了新的监管重点。
1neptune
2023-08-25
4440
企业基础IT安全体系建设思考
基础安全的保护对象,是公司的基础IT设施,类型有IT资产或IT服务。比如资产有服务器、域名、ip等,服务有网络、数据库、云服务等。黑客可通过应用间接攻击或互联网直接攻击公司的基础IT资源或基础服务,基础IT资产受到攻击,可导致应用安全,业务安全,数据安全等多方面的安全问题。
1neptune
2023-08-25
3040
企业应用安全的落地思考
网络安全的建设工作,不是安全部门自己能完全掌控的,安全部门发现问题,但是问题的整改,还是需要其他部门进行落地整改。不管是整体企业的网络安全建设,还是单一方面的应用安全建设,都是需要多部门协同配合的工作。而多部门的协同配合,在任何项目,任何工作,任何公司,都是一件很麻烦的事情。为了解决其中的麻烦,国外最早出现了PMO(项目管理办公室)这个角色,国内有些大公司也开设PMO(项目管理办公室)岗位。但是对于一些中小公司,就没有专门的PMO(项目管理办公室)。
1neptune
2023-08-25
1950
企业应用安全体系建设思考
应用安全的保护对象是应用系统,应用系统有各种表现形式,如Web、APP、小程序、客户端、系统等。应用安全就是围绕着这些应用的安全建设工作。通常状态下,特别是C端的应用,公司业务跟应用都呈现了非常大的绑定关系。应用能够直接影响公司业务,所以应用的安全性,也越来越受到企业重视,其重要程度也往往排在安全方面的首要位置。随着互联网产业对人民的影响,国家层次上的好多基础服务业务也有了互联网应用。因为黑灰产的危害,导致着国家立法去应对互联网犯罪行为,立法又导致着企业进行应用的安全建设。比如《网络安全法》规定了等级保护制度,国内所有系统都必须做等保。
1neptune
2023-08-25
5070
企业办公安全体系建设思考
办公安全的保护对象是公司的一切,不安全的办公行为,可能导致公司各方面的损失。比如“临时工使用公司账号发布不当言论”,“永恒之蓝大范围感染办公电脑”,“Xcodeghost病毒自动给APP安装后门”,“员工删库跑路”,“内鬼买卖客户信息”,“专利泄露”等等。种种行为分别对应着办公网络安全,办公终端安全,办公系统安全、办公工作流安全、员工意识安全、行为安全、身份权限安全等。
1neptune
2023-08-24
4480
企业网络安全体系建设思考
第一阶段,企业的IT化建设。这时候互联网技术刚刚起步,企业刚刚开始探索互联网技术的应用。所以最先出现的应用是提高办公效率的内部办公系统,如ERP,OA,CRM系统。系统多是CS架构,服务器放在办公区本地机房。此时企业面临的安全威胁以电脑病毒为主,对应的安全需求就是基础IT设施的安全。
1neptune
2023-08-24
6670
Redis持久化
Redis是一个基于内存的数据库,它的数据是存放在内存中,内存有个问题就是关闭服务或者断电会丢失。Redis的数据也支持写到硬盘中,这个过程就叫做持久化。
1neptune
2022-11-29
3860
SpringBoot整合Redis
Jedis操作Redis1、引入maven依赖<dependency><groupId>redis.clients</groupId><artifactId>jedis</artifactId><version>4.2.1</version></dependency>2、使用api操作redisimport org.junit.After;import org.junit.Before;import org.junit.Test;import redis.clients.jedis.Jedis;import
1neptune
2022-11-26
4450
Redis 安装和数据类型
String类型是Redis最基本的数据类型,一个Redis中字符串value最多可以是512M。String的数据结构为简单动态字符串,采用分配冗余空间的方式来减少内存的频繁分配。
1neptune
2022-11-24
3740
Nginx应用场景
systemd服务文件以.service结尾。如果用yum install命令安装的,yum命令会自动创建nginx.service文件可以直接使用systemctl相关命令。而用源码编译安装的,则需要手动创建nginx.service服务文件。
1neptune
2022-11-22
3K0
认证授权
Authentication(认证) 是验证您的身份的凭据(例如用户名/用户 ID 和密码),通过这个凭据,系统得以知道你就是你,也就是说系统存在你这个用户。
1neptune
2022-11-11
1.6K0
项目管理核心内容
工具与技术:访谈、焦点小组、引导式研讨会、群体创新技术、群体决策技术、问卷调查、观察、原型法、标杆对照、系统交互图、文件分析
1neptune
2022-10-29
3880
soap 注入
soap注入在webservice的soap协议,连接web服务和客户端的接口处的注入,通过在发送的soap消息参数内添加注入语句来达到注入效果
1neptune
2022-10-06
1.4K0
以检查促规范,以规范促安全
相信在甲方公司(大中型)的信息安全从业人员都会有同样的困境-公司的信息系统资产(已知资产/未知资产)不可管理,信息系统资产漏洞百出,安全设备告警无暇研判。要突破这种困境就需要在信息系统上线之前以自查的形式来形成一种上线流程规范,以规范化的流程促进安全管理。
1neptune
2022-09-24
1K0
IP地址代理池
打造IP代理池是帮助自身隐藏踪迹,规避封锁IP防火墙。作为渗透测试、攻防的重要手段。
1neptune
2022-08-27
1.2K0
没有更多了
社区活动
【纪录片】中国数据库前世今生
穿越半个世纪,探寻中国数据库50年的发展历程
Python精品学习库
代码在线跑,知识轻松学
博客搬家 | 分享价值百万资源包
自行/邀约他人一键搬运博客,速成社区影响力并领取好礼
技术创作特训营·精选知识专栏
往期视频·千货材料·成员作品 最新动态
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档