2回答
我见过一些组织在网络安全方面投资不足,人手不足的情况,因此很难满足其安全计划中定义的政策要求。我认为许多公司没有对网络安全进行适当的投资,这种情况相当普遍。
我的问题与衡量不符合政策要求的风险有关。通过进行标准风险评估来衡量风险的定义是明确的:确定威胁/漏洞,并评估利用的影响和可能性。但是,如果您不知道漏洞的可能性/影响,因为您根本没有人力在所有系统中执行风险评估,那么这种情况又如何呢?基本术语:如何评估<
浏览 0提问于2020-06-11得票数 0
回答已采纳
3回答
企业级安全测试方法
、、、、
我被要求为一家公司做风险评估。该范围涵盖了大约100个应用程序和不同的业务单位。主要任务是评估目前实施的安全控制措施,并在评估后提出建议。还提供关于防止数据泄漏、源代码和其他敏感信息的建议。我将其作为使用NIST CSF等框架的组织级安全风险评估,而我的同事则更多地考虑进行SDLC/敏捷/devops过程风险评估的风险评估,在我看来,这不是安全风险评估,而是项目
浏览 0提问于2018-12-23得票数 6
但现在我想学习道德黑客和网络安全。而且也使用它,因为拼贴使用缩放会议上课,这是不安全的,根据新闻。所以我想使用Kali Linux。有时我以前想要使用Windows 10和Ubuntu双引导。但我知道双重启动是有风险的。所以这不是我干的。但是我找不到做双重引导Kali Linux和Ubuntu的安全吗?有人能告诉我,kali Linux和Ubuntu的双重引导是否安全?
浏览 0提问于2020-04-17得票数 -1
回答已采纳
我们在上一次复古期间引入了一种新的做法:如果不查看源代码,就很难评估回归风险;我们的sprint长达三周,即使我们可以查看源代码,也没有足够的时间这样做。在不查看源代码的情况下提供回归风险评估时,是否有任何良好的拇指规则?
浏览 0提问于2018-07-13得票数 2
回答已采纳
我想知道是否存在量化风险?有没有人能让我决定我是否受到了伤害。如果有任何不同,我所连接的数据中心是在该国的一个邻近地区。
谢谢
浏览 0提问于2016-10-12得票数 4
回答已采纳
这增加了安保专业人员用于风险评估的时间,并增加了集中于这一活动的安保资源的数量,而这通常是监管或政策所必须的。使用电子表格进行共享、协作和报告是我见过的最常见的安全风险评估方法。但是,它们需要最初的设置,很难管理,有版本控制和共享问题。我工作过的公司不愿意投资于一个不需要电子表格的数据库的web应用程序。我主要针对的是金融服务业,因为他们有类似美国FFIEC的规定,其中要求进行风险评估。此外,需要遵守PCI中的风险<
浏览 0提问于2011-03-14得票数 -3
回答已采纳
1回答
考虑一个故障转移群集配置,其中所有包含的节点中只有不到50%是备用的,这样做有意义吗?例如,与其设置4个双节点集群,其中一个是活动的,一个在每个集群上处于备用状态,不如创建一个具有4个活动节点和两个处于备用/被动状态的集群以进行故障转移,不是更有意义吗?这样总共节省了2个节点。当然,如果多个节点意外失败,并且必须共享以前的一个备用节点,这是有风险的,但是如果您决定承担提供备用硬件资源的风险呢?
寻找“多节点故障转移群集”,我找不到更多。
浏览 0提问于2016-04-20得票数 2
回答已采纳
3回答
我所在的公司正在评估不同的风险分析解决方案来购买,但其中一位安全人员引入了这个想法,真正构建我们自己的内部平台/引擎。你必须创建自己的算法吗?是否有一个组织用来构建它的框架?还是数据库做了繁重的工作?
对于所有的问题,我很抱歉,我只是
浏览 0提问于2017-03-26得票数 4
我们有一个web应用程序,它要求用户使用用户名和密码登录。我们为用户提供了密码重置功能,它或多或少成功地遵循了特洛伊亨特( Troy )在这篇文章中概述的指导方针,除了一个主要的例外,我们还有一个薄弱的链接:我试图说服他们,如果任何管理员可以重置密码,我们就不能真正识别用户。在管理员设置了密码后,用户可
浏览 0提问于2018-01-05得票数 3
回答已采纳
2回答
他们现有的网站有一个设施,让客户作出捐赠,他们希望新网站也拥有它。注:我想这是一个伦理/法律问题。但我想在这里张贴,以了解技术方面的原因。
浏览 0提问于2017-09-08得票数 0
简短的问题。标题说明了一切..。高等数学(即超越经典的大学微积分序列)是否与密码学以外的计算机安全领域有关?说到相关,我的意思是在科学的边缘,一个人必须经过高级数学训练。请注意,我根本没有看不起任何安全分支,只是好奇安全高等数学的其他分支是必不可少的。
编辑:代替答案中的一些评论:我认为“经典”大学微积分序列类似于:微积分1,微积分2,多变量微积分和微分方程。当然,在达到微分方程之前,我们可以将分支扩展到其他数学领域。
浏览 0提问于2013-03-08得票数 15
回答已采纳
但是,考虑到Renderscript的体系结构,我看到这些算法要么运行在CPU上,要么运行在GPU上,具体取决于其他并行应用程序活动。例如,在我的应用程序中,对于图像和该视图上的任何活动都有一个滚动视图,本质上将renderscript执行推送到CPU。如果没有活动,则该算法运行在GPU上。这种情况本身就是调试/调优的噩梦,因为算法运行在CPU (双核)和GPU (马里)上的性能增量为2秒,因此很难评估我对算法代码所做的性能改进。
有办法解决这个问题吗?
浏览 4提问于2013-09-12得票数 10
回答已采纳
在其中一些平台上,发行稳定硬币的利率可能会非常高……我已经足够老了,知道这样的回报一定会有一个陷阱:)我正在努力理解做一个贷款人的风险。我正在特别关注通过支点 (这可能是或不相关的)贷款。据我所知:没有杠杆所以我不能被清算.?
对于稳定的硬币,只要我相信钉住,就没有汇率风险.我忽略的DeFi贷款还有哪些其他风险?
浏览 0提问于2021-01-13得票数 2
我有一个客户,他的需求最好用XQuery/XML解决方案来满足。我面临的问题是克服与缺乏这些技术的市场技能相关的风险。
这可能是一个销售问题,但其他人是如何克服这个问题的呢?
浏览 3提问于2012-02-08得票数 0
回答已采纳
3回答
如果你已经建立了一个,你能详细说明你的经验吗?事实上,如果你不认为你的环境很大,即使是包含一些敌对网络的小环境也是完美的!
我计划在我工作的地方设置一个,但自然地,这将从管理层的几场战斗开始。存在风险--最大的风险是没有正确设置,生产服务器加入了您的蜜罐“集群”,或者只是网络信息泄漏(任何信息都是太多的信息)。生产蜜罐对组织特别是商业组织是有价值的,因为它有助于减少或减轻特定组织面临的风险。生产蜜罐通过管理其IT环境来识别攻击来确保组织的安全。这些生产蜜罐在捕捉有犯罪意图的黑客方面很有用。
浏览 0提问于2009-05-31得票数 5
2回答
对于一个web应用程序,我们需要存储和管理用户(SSO或openauth,或者什么不是表外的),在其中我们管理重要的业务数据,使用电子邮件地址+密码作为登录的风险有多大?我担心的是,有很多网站收集电子邮件+密码对,以利用它们试图黑客攻击其他网站;想必要求你注册一个帐户,为一些卑微的服务或其他。这个活动叫什么?我正在寻找一些文章或论点,为什么在一个有敏感商业/财务信息的站点上使用email+password会很危险;或者为什么它不是那么糟糕。
浏览 3提问于2015-03-11得票数 0
回答已采纳
2回答
我们的政策一向是主观的,难以量化。我们使用非常受欢迎的,声誉很高的产品,如GPG,Ruby和7-Zip,并警惕新的,未经验证的项目。
浏览 0提问于2011-07-15得票数 13
回答已采纳
我正在阅读https://portswigger.net/web-security/csrf/tokens中CSRF令牌的使用情况,其中一节提到应该在HTML中的隐藏字段中将其传输给客户端。
关于客户端如何将其传输回服务器的指导原则如何?我认为应该可以将其放入GET或POST参数中,因为客户端只是返回唯一的值,而不是生成它的方?或者它必须在POST参数中?
浏览 0提问于2021-08-25得票数 0
回答已采纳
1回答
您将使用什么评估标准来选择正确的Oracle扫描工具?部署自动化扫描工具(nessus / SQuirreL等),供开发团队和安全团队使用。这两个小组在构建阶段使用的一个工具是持续管理(修补、更改DB结构)和与保证有关的活动(如内部审计或安全审查)。限制密码破解的能力。因此,现在冒着提供我自己的答案的风险(仍然渴望对此有更多的想法!)我想出了以下几点:这将有助于Dev团队确保构建满足所需的级别。进行漏洞扫描的能力
建筑实际上提
浏览 0提问于2011-05-31得票数 7
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
腾讯会议
云直播
对象存储活动推荐
腾讯云开发者
