2回答
我见过一些组织在网络安全方面投资不足,人手不足的情况,因此很难满足其安全计划中定义的政策要求。我认为许多公司没有对网络安全进行适当的投资,这种情况相当普遍。
我的问题与衡量不符合政策要求的风险有关。通过进行标准风险评估来衡量风险的定义是明确的:确定威胁/漏洞,并评估利用的影响和可能性。但是,如果您不知道漏洞的可能性/影响,因为您根本没有人力在所有系统中执行风险评估,那么这种情况又如何呢?基本术语:如何评估<
浏览 0提问于2020-06-11得票数 0
回答已采纳
3回答
企业级安全测试方法
、、、、
我被要求为一家公司做风险评估。该范围涵盖了大约100个应用程序和不同的业务单位。主要任务是评估目前实施的安全控制措施,并在评估后提出建议。还提供关于防止数据泄漏、源代码和其他敏感信息的建议。我将其作为使用NIST CSF等框架的组织级安全风险评估,而我的同事则更多地考虑进行SDLC/敏捷/devops过程风险评估的风险评估,在我看来,这不是安全风险评估,而是项目
浏览 0提问于2018-12-23得票数 6
我认为当前针对以下受众的安全风险评估工具的问题是什么:
安全专家:要求在每一家公司重新发明车轮,以确定安全风险评估过程。电子表格是首选的工具,但它们很难管理,没有版本控制,很难协作。企业应用程序(如Archer )在存在时很难使用,并且适合于操作或企业风险,而不是安全风险。很难让业务或It用户执行风险评估,因为他们很难通过,并且需要大量的文本输入和领域专业知识。这增加了安保专业人员用于风险评估的时间,并增加了集中于这
浏览 0提问于2011-03-14得票数 -3
回答已采纳
3回答
我所在的公司正在评估不同的风险分析解决方案来购买,但其中一位安全人员引入了这个想法,真正构建我们自己的内部平台/引擎。你必须创建自己的算法吗?对于所有的问题,我很抱歉,我只是在合规部门工作,从来没有机会与风险分析解决方案合作。
非常感谢!
浏览 0提问于2017-03-26得票数 4
1回答
在我们的小组织中没有人是,但我们需要进行一些评估。如何评估B2B集成?似乎在像NIST或ISO这样的风险评估框架与集成的技术和非技术元素之间存在差距。
浏览 0提问于2017-03-06得票数 1
我们每个人都有第三方服务的API密钥,我的web应用程序需要访问这些服务,这样它就可以调用第三方服务API,并返回我们希望一起评估的数据。如果我走这条路,主要的安全风险是什么?我是否应该考虑在我的web服务器磁盘上加密这些API密钥,并且只在我需要使用它们时才在我的web应用程序中解密它们?(如果有的话,对此有何指导?)我已经做了很长一段时间的标准web开发,但我对网络安全的知识非常缺乏。我很感激你的指导和想法!
浏览 0提问于2018-02-11得票数 4
2回答
可见的GUID会带来安全风险吗?
、、、、
如果用户能够很容易地看到他们的GUID,这会被认为是安全风险吗?我是否应该采取额外的步骤来防止用户轻松地找到他们的GUID,例如当他们确认他们的验证过程时。尽管有一些方法可以绕过这个问题,比如对“前端”活动使用单独的GUID,但这会不会不必要地增加管理费用和开发时间?
可能的欺骗的一个例子是当我验证用户访问资源的权限时。
浏览 4提问于2009-10-17得票数 4
回答已采纳
我的任务是评估允许第三方供应商在SSMS中远程调试查询所涉及的安全风险。这意味着用户的帐户必须处于sysadmin固定角色中。留给我的主要是评估使用xp_cmdshell可以造成的损害。
我知道sysadmin可以撤销几乎所有用于监视该活动的实现,但是如果有一种方法来监视它(可能使用扩展事件?)
浏览 0提问于2015-06-03得票数 6
回答已采纳
1回答
我是网络安全方面的学徒,我被分配到研究OSSIM的任务。当我把我的问题带到堆栈交换大师面前时,请容忍我的无限无知。到目前为止我所知道的:一旦安装,安全管理员就可以很容易地观察所有与风险相关的进程。
它具有许多有助于数据回收的软件组件,这些组件用于漏洞评估,如IDS、aid和其他。
浏览 0提问于2014-12-09得票数 -1
如果应用程序中没有超过kLogoutInterval期间的用户活动,监视用户活动的应用程序可能会退出应用程序。根据应用程序的类型,这个值可以是1、5或10 15分钟。编辑:只是澄清一下,问题是-这个超时文件是否很关键?它能简单地暴露在记忆中吗?它需要像密钥链一样存储在安全的资产中吗?随意使用这个时间戳的总体风险评估是什么?
浏览 0提问于2015-10-28得票数 1
回答已采纳
2回答
CanCan授权发布索引操作
、、、、
我在尝试使用cancan授权时遇到了问题。我有每个用户一个角色的用户,所以我按照中的建议添加了列。我试图实现的是只允许访问相应的用户的索引视图,其中包含角色、kinder花园或父级(针对子用户)。我会很感激你的帮助。我不知道我错过了什么。class Ability[...]
elsif user.role == 'kindergarde
浏览 3提问于2018-03-12得票数 2
回答已采纳
我17岁,我的最终工作目标是一名网络安全专家。我一直在广泛研究TCP/IP,以及我希望很快获得的CompTIA Network+认证的所有其他科目。我的问题是,网络安全审计师或网络安全工程师之类的工作是什么?以及在这条职业道路上应该研究些什么。此外,欢迎您提供有关在IT领域工作的一般信息。
浏览 0提问于2014-06-04得票数 -2
回答已采纳
2回答
很难判断这个bug是否会被认为是一种安全风险,因为它不会直接危及安全性。然而,我可以很肯定地把这看作是“深入挖掘”的一个载体。
浏览 0提问于2017-01-11得票数 2
回答已采纳
我们在上一次复古期间引入了一种新的做法:如果不查看源代码,就很难评估回归风险;我们的sprint长达三周,即使我们可以查看源代码,也没有足够的时间这样做。在不查看源代码的情况下提供回归风险评估时,是否有任何良好的拇指规则?
浏览 0提问于2018-07-13得票数 2
回答已采纳
1回答
我目前使用没有密码短语的服务器SSL证书,以便Apache能够在无人值守的情况下启动。我想出了一个精心设计的系统,将传递短语保存在内部服务器(即不在第一线web服务器上)的进程内存中,并使用Apache SSLPassPhraseDialog (http://httpd.apache.org/docs/2.2/mod/mod_ssl.html#sslpassphrasedialog)将其交给前线
浏览 0提问于2010-02-02得票数 7
回答已采纳
Azure网络管理器安全配置“NRMS-ZeroTrust.”在Azure VM上创建了54个入站端口规则,关闭了我的活动RDP会话并阻止了对Server的所有访问。
浏览 7提问于2022-04-01得票数 1
我熟悉体系结构评估方法,如技术建筑权衡分析法(阿塔姆)和更面向业务的成本效益分析法(CBAM)。然而,这些方法的规模相当大:它们规定了几次头脑风暴会议、演示、开发一系列描述权衡的场景,等等。有人有做轻量级的前期架构评估的经验吗?如果是的话,什么是好做法?
浏览 0提问于2011-05-03得票数 9
回答已采纳
1回答
我得到的网站,包含机密的个人信息(如银行系统)有很短的会议和到期时间的cookie显然原因。
但维基百科( Wikipedia )说,网站要求每30天登录一次(过去是14天)的原因是什么,而据信Gmail这样更敏感的网站却不这样做呢?这只是系统管理员的个人喜好还是别的什么?
浏览 0提问于2015-08-07得票数 9
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
腾讯会议
实时音视频活动推荐
腾讯云开发者
