王峰。曾就职于北京拓尔思,任山东区技术总监,山东米迦勒联合创始人,现就职于中安威士。拥有多年数据治理、数据安全相关工作经验。
风险管理是一个比较大的概念,对于央视网来说,我们并不是在进行安全建设之初就设计了风险管理的目标,而是在大量基础工作和频繁对抗的过程中,逐步积累而形成的体系的雏形,再将这个雏形不断的完善,才形成了一个相对完整的风险管理体系。本文将先从风险的三个基本要素(资产、脆弱性和威胁)分别展开管理思路,最后再将这三要素整合到一起。
信息安全风险评估是信息安全保障工作的重要内容之一,它与信息系统等级保护、信息安全检查、信息安全建设等工作紧密相关并通过风险发现、分析、评价为上述相关工作提供支持
《孙子兵法·谋攻篇》:知彼知己,百战不殆;不知彼而知己,一胜一负;不知彼不知己,每战必殆。
在安全领域,风险分析是很常见的。“风险”这个概念不仅在安全领域出现,也存在于生活中的各个方面。但是定义风险是十分困难的,本文想要厘清各种学术表述与各种标准中“风险”的概念,同时加深对“风险”的理解。
信息安全风险管理是信息安全保障工作中的一项重要基础性工作,其核心思想是对管理对象面临的信息安全风险进行管控。信息安全风险管理工作贯穿于信息系统生命周期(规划、设计、实施、运行维护和废弃)的全过程主要工作过程包括风险评估和风险处理两个基本步骤。风险评估是对风险管理对象所面临的风险进行识别、分析和评价的过程,风险处理是依据风险评估的结果,选择和实施安全措施的过程
今年4月,国家市场监督管理总局(国家标准化管理委员会)批准245项推荐性国家标准和2项国家标准修改单,与信息安全相关标准共10项,均在2022年11月1日开始实施,其中包括《信息安全技术 信息安全风险评估方法》(GB/T 20984-2022),代替《信息安全技术 信息安全风险评估规范》(GB/T 20984-2007)版标准,并于2022年11月1日正式实施。 经过15年时间,和2007版相比,新版《信息安全风险评估方法》(以下简称“风评”)有了较大的变化。本人旨在说明新版风评中的一些主要变化,并根据标准
镜像是容器运行的基础,容器服务引擎可以使用不同的镜像启动相应的容器实例。在容器实例出现异常后,能迅速通过删除实例、启动新的容器实例来恢复服务,这些灵活、敏捷的操作,均需要以容器镜像作为支撑技术。
原生云的崛起 软件正在吞噬这个世界——马克.安德森(Mark Andreessen) 近年来,一直被拥有根深蒂固的传统思想的大佬们统治的企业正在被快速打乱,他们正在被以软件为核心的企业所破坏。例如S
信息安全是网络发展和信息化进程的产物,近几年,无论是国家层面,还是企业本身,都对信息安全愈发的重视。风险管理的理念也逐步被引入到信息安全领域,并迅速得到较为广泛的认可。风险评估逐步成为信息安全管理的最为重要的手段之一。那如何规范的实施风险评估,保证信息系统的安全,成为很多企业安全负责人认真考虑的问题。
论文题目:The Adversarial Attack and Detection under the Fisher Information Metric(AAAI2019)
深度神经网络(DNNs)的采用对包括自动驾驶车辆[1],航空,医疗保健[2]和太空探索[3]在内的各个领域产生了重大影响,在这些领域中,高安全性和可靠性至关重要。这推动了专注于安全人工智能的计算机视觉研究社区的蓬勃发展,研究领域包括分布外检测[4],对抗性鲁棒性和模型互操作性[5]。基于DNN的计算机视觉模型处理图像以分类目标并预测它们的边界框。
云计算在过去的几年来成功发展,当我们的数据变得无维护化,安全问题变得前所未有的重要。云技术带来的便利也存在着一些缺陷。在本文中,珍妮·哈里森(Jenny Harrison)带我们逐个了解需要当心的12
之前,我们已连载翻译了 Rebooting Web of Trust 组织在 RWOT IX — Prague, 2019会议上的论文《Alice Attempts to Abuse a Verifiable Credential》,了解了 Alice 是如何企图对其处方进行作恶的,本期我们将连载最后一部分,向大家阐述作为验证者要如何防止遭受恶意证书持有者的欺诈。
随着网络攻击方式和手法逐渐呈现出多样性、复杂性的特点,网络安全威胁更为普遍与持续,在这场与网络攻击长久的对抗中,威胁情报共享和有效利用成为了提升整体网络安全防护效率的重要措施。
2020年10月,美国国土安全部(DHS)的网络安全与基础设施安全局(CISA)发布了一份《CISA 2019财年风险脆弱性评估信息图》。本文旨在对这张信息图,进行分析说明。
对于系统管理员来说,每天进行安全漏洞分析和软件更新是每日必需的基本活动。为了避免生产环境中的故障,对系统管理员来说选择不使用由保管理器提供的自动更新选项并执行手动更新非常常见。但是这会导致以下问题的发生:
AwVS是一款知名的Web网络漏洞扫描工具,它通过网络爬虫测试你的网站安全,检测流行安全漏洞。 a)、自动的客户端脚本分析器,允许对Ajax和Web 2.0应用程序进行安全性测试 b)、业内最先进且深入的SQL 注入和跨站脚本测试 c)、高级渗透测试工具,例如HTTP Editor 和HTTP Fuzzer d)、可视化宏记录器帮助您轻松测试web表格和受密码保护的区域 e)、支持含有CAPTHCA的页面,单个开始指令和Two Factor (双因素)验证机制 f)、丰富的报告功能,包括VISA PCI依从性报告 h)、高速的多线程扫描器轻松检索成千上万个页面 i)、智能爬行程序检测web服务器类型和应用程序语言
全世界有超过1500万癫痫患者对药物没有反应。成功的手术治疗需要完全切除或切断癫痫发作区(SOZ),即癫痫发作的脑区。然而,由于没有临床验证的SOZ生物标记物存在,手术成功率在30 - 70%之间。我们开发并回顾性验证了一种新的脑电图(EEG)标记物——神经脆弱性——在对91例患者的回顾性分析中,使用注释过的SOZ的神经脆弱性作为预测手术结果的指标。脆弱性预测了47例手术失败中的43例,总体预测准确率为76%,而临床医生的准确率为48%(成功结果)。在失败的结果中,我们确定了未得到治疗的脆弱区域。与作为SOZ标记的20种脑电图特征相比,脆弱性在预测能力和可解释性方面表现更好,这表明神经脆弱性可作为SOZ的脑电图生物标志物。本文发表在Nature neuroscience杂志。(可添加微信号siyingyxf或18983979082获取原文及补充材料,另思影提供免费文献下载服务,如需要也可添加此微信号入群,原文也会在群里发布)。
在当今的数字化世界中,网络安全是企业成功的关键组成部分。如何帮助企业从零开始构建一个全面的网络安全架构,包括风险评估、策略制定、技术选型、实施步骤以及持续监控。随着企业信息化程度的加深,网络安全威胁也日益增多。构建一个有效的网络安全架构对于保护企业资产、数据和业务连续性至关重要。本文将指导读者了解并实施一个全面的网络安全架构。
DVWA是用PHP+Mysql编写的一套用于常规WEB漏洞教学和检测的WEB脆弱性测试程序。包含了SQL注入、XSS、盲注等常见的一些安全漏洞。 链接地址
在这个数字化转型关键时期,以容器为代表的云原生技术凭借自身的优势,正在逐渐成为核心IT基础设施。云原生已经不再是少部分“创新者”的特权,而是成为了市场主流选择,容器、容器云逐渐成为工作负载的主流形态。
新冠疫情爆发以来,远程办公、协同办公的需求大增,大量相关服务暴露在互联网上,很多都存在安全漏洞。由于这些应用深度参与到企业生产过程中,它们的暴露风险对企业运作、业务运行有重要影响,在《2021网络空间测绘年报》中,我们对Confluence、Jira为代表的协同办公应用及用于远程连接的 SoniaWall SSL-V** 进行测绘分析,探讨它们可能存在的风险。
渗透测试人员应能理解安全弱点,将之分类并按照风险等级(高危、中危、低危、信息泄露)
早在2008年,发改委、公安部和保密局曾下发文件《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》(发改高技〔2008〕2071号),对电子政务工程项目做出了明确规定:国家的电子政务网络、重点业务信息系统、基础信息库以及相关支撑体系等国家电子政务工程建设项目(以下简称电子政务项目),应开展信息安全风险评估工作。
大家都知道,零信任一开始的定位就是新一代网络安全架构,其立论是基于传统边界防护的内网不再安全,一旦攻击者突破了边界,在边界内就畅通无阻,打一比方,就像是一个鸡蛋,穿透了蛋壳,内部就是蛋黄和蛋清,所以需要用零信任新范式构建身份新边界。零信任主张持续验证,基于最小权限访问控制。
脆弱性,英文是Vulnerability,也叫漏洞。是指计算机系统安全方面的缺陷,使得系统或者其应用数据的保密性、完整性、可用性、访问控制等面临威胁。很多漏洞是程序错误导致的,因此也叫做安全缺陷,但是并不是全部的安全隐患都是程序安全缺陷导致的。在《GB/T 25069-2010 信息安全技术 术语》,将脆弱性定义为“资产中能被威胁所利用的弱点”。
快到十二月中旬了,很多渗透测试中的客户想要知道如何搜集这些漏洞信息和利用方式的检测,再次我们Sine安全的工程师给大家普及下如何发现漏洞以及如何去获取这些有用的信息来防护自身的网站项目平台安全,把网站安全风险降到最低,使平台更加安全稳定的运行下去。
低功耗蓝牙(BLE,Bluetooth Low Energy)是一种成本低廉的低功耗无线解决方案,在物联网设备中得到了广泛的应用。在一个典型IoT场景中,用户需要首先将IoT设备与其配套的手机App进行连接,将手机作为IoT设备与网络通信的桥梁。而根据蓝牙协议的规定,BLE设备在配对前需要广播它的UUID,报告其设备类型,移动应用据此寻找其支持的IoT设备并发起连接。
随着互联网业务的快速发展,网络攻击的频率和威胁性也在不断增加,端口是互联网络通信中的门户,它是数据进出的必经之路,因此端口安全也逐渐成为了企业内网的重要防线之一。
用户行为分析、网络威胁检测,一股新的浪潮正在持续发酵。安全数据分析被用于掌握情况、发现问题和预测风险,并带来了潜力不可限量的营销前景。理想的情况是从攻击中提取出机器学习程序所支持的数据,并把它交给算法,然后一切安全状况尽在掌握。 作为信息安全工具,“机器学习”的噱头显然掩盖了数据科学不那么吸引人但却本质的一面:数据的收集和准备(后者占据了数据科学家约80%的时间)。事实是,机器学习和其他算法需要应用于适当、干净、容易理解的数据来获取有效的结果。 安全市场存在这种误导性的风向不足为奇,但是当这种情况出现在安全
在微服务的架构中有这样一个词,叫Chaos Monkey。翻译过来就是捣乱的猴子。这个概念最早是被在Taleb的书中提到。Antifragile。抵抗力里边的Random House。 如果说脆弱性在计算机世界指的是当受到高并发等其他压力后系统就会变得越来越脆弱甚至崩溃。这里说的这个脆弱性就是fragility这个单词。那么这个脆弱性的反义词是什么呢? 相信很多人会回答说那就是当受到压力时系统依然不脆弱。相信这是我们很多人的第一反应。 然而上面说到的那位Taleb先生却提出了一种全新的观点,就是脆弱性也就
上一期我们谈到了邮箱安全扫描部分的网络和主机安全检测,狭隘的讲这类漏洞是属于静态漏洞,只要我们有心,及时更新策略库,扫描发现和修补,可以把风险控制在一定的安全范围之内的。可是,Web层面的安全相对于网
随着近年来5G、云计算、AI等技术的成熟和普及,企业上云已经成为了当下的主流趋势。年初疫情所催生的海量云复工需求,叠加云计算被正式划入“新基建”范围的利好信息,进一步加快了各行各业上云的进程。云计算的广泛应用在推动虚拟机、云主机、容器等技术相继落地的同时,也因打破虚拟现实的安全边界,而为主机带来了更加多元化的安全风险和挑战。
随着互联网行业的蓬勃发展,国内的黑客产业链早已达数十亿级别。除了各类网络攻击之外,一些黑客入侵情况也并不鲜见。这种事件相对于网络攻击有着更大的破坏力,系统被入侵,信息可能丢失,泄露,应用系统就会毁于一旦。 随之而来的是业务长时间中断,使运维行业带来前所未有的挑战。此次技术分享意在让大家对企业安全运维有一个直观的认识,能够迅速融入企业安全体系,胜任应急响应任务。 目录: 安全运维 1.操作系统安全 —-漏洞扫描 2.网络安全设备 —-硬件防火墙 —-IPS —-网络安全设备在大型网络中的应用 3.安全运维准则
截止到3月1日,COVID-19已传播至62个国家和地区,累计确诊8841例,死亡129例,海外的确诊病例增长数已经超过国内。
数据分析机构IDC预测,2020年Q1,国内智能手机市场将有超过30%的出货量跌幅。
在2013年,工业控制系统的安全问题在国内许多信息安全相关的技术大会上作为重要的研讨议题频繁出现,已成为工业控制系统相关的各行业以及信息安全领域的研究机构、厂商所关注的热点方向之一。同时,国家在政策制
“Enumerate More” ,渗透成功的关键在于信息收集。通过信息收集来确认当前目标主机可能存在的某些特点。
近年来随着云原生服务的大规模应用,互联网上暴露的相应资产越来越多,通过网络空间测绘技术可对暴露的资产进行数据统计及进一步的分析,从而有效赋能态势感知、漏洞预警、风险溯源等技术领域。
参考书目:Computer Security: Principles and Practice, Fourth Edition, by William Stallings and Lawrie Brown. Pearson Higher Ed USA. ISBN 1292220635.
此前介绍了 NIST SP800-30 风险管理过程中的“评估”阶段,本文会介绍剩余的两个部分:“响应”与“监控”。 响应阶段 通过风险分析确定风险后,就要应对相应的风险。风险管理策略有如下四种类型,通常来说降低风险 -> 承担风险是一个普遍的策略。 降低风险 通过引入安全控制来降低风险 承担风险 根据管理层的判断接受剩余风险 风险转移 将风险转移给第三方,例如使用网络保险以及第三方产品与服务 规避风险 消除风险,例如为了避免风险可能禁止通过电子邮局与客户进行沟通 五种安全控制 通常在风险缓解中实施安全控
防止任何对数 据进行未授权访问的措施,或者防止造成信息有意无意泄漏、破坏丢失等问题的发生,让数据处于远离危险、免于威胁的状态或特性。
数字化时代威胁升级:攻击频发、传统安全防护逐渐失效、安全风险能见度低、缺乏自动化防御手段 一、信息安全概述: 1)信息安全:防止任何对数据进行未授权访问的措施,或者防止造成信息有意无意泄漏、破坏、丢失等问题的发生,让数据处于远离危险、免于威胁的状态或特性 2)网络安全:计算机网络环境下的信息安全 二、信息安全的脆弱性及常见安全攻击 1.网络的开放性:互联网的美妙之处在于你与每一个相连,它的可怕之处在于每一个人与你相连 2.协议栈的脆弱性及常见攻击 1)协议栈的自身脆弱性:缺乏数据源验证机制、缺乏机密性保障机制、缺乏完整性验证机制 2)常见的安全风险 应用层:漏洞、缓冲区溢出攻击、WEB应用的攻击、病毒及木马、DNS欺骗攻击 传输层:TCP 欺骗、TCP拒绝服务、UDP拒绝服务、端口扫描等 网络层:IP 欺骗、Smurf攻击、ICMP攻击、地址扫描 链路层:MAC欺骗、MAC洪泛、ARP欺骗 物理层:设备破坏、线路侦听 3)网络的基本攻击方式:截获(嗅探、监听)、篡改、中断、伪造 4)分布式拒绝服务攻击(DDoS) 防护方案:网络设备性能冗余、异常流量清洗、分布式集群、网络宽带资源充裕、听过CDN分流 4.操作系统的虚弱性及常见攻击 1)操作系统的自身漏洞:人为原因、客观原因、硬件原因 人为原因:在编写程序过程中,为实现不可告人的目的,在程序代码的隐藏处保留后门 客观原因:受编程人员的能力,经验和技术有限,在程序中难免会有不足之处 2)缓冲区溢出攻击原理:缓冲区溢出攻击利用编写不够严谨的程序,通过向程序的缓冲区写入超过预定长度的数据,造成缓存 的溢出,从而破坏程序的堆栈,导致程序执行流程的改变 缓冲区溢出的危害:最大数量的漏洞类型;漏洞危害等级高 3)缓冲区溢出攻击过程及防御: 5.终端的脆弱性及常见攻击: 1)勒索病毒:一种恶意程序,可以感染设备、网络与数据中心并使其瘫痪,直至用户支付赎金使系统解锁 过程:第一阶段:锁定设备,不加密数据;第二阶段:加密用户数据,交付赎金后解密;第三阶段:攻陷单点后,横向扩散;第四阶段:加密画笔的出现改变勒索格局;第五阶段:RaaS模式初见规模 勒索病毒感染与传播方式: 钓鱼邮件;蠕虫式传播;恶意软件捆绑;暴力破解;Exploit Kit分发 特点:传播入口多;传播技术隐蔽;勒索产业化发展 2)挖矿病毒:一种恶意程序,可自动传播,在未授权的情况下,占用系统资源,为攻击者谋福利,时得受害者机器性能明显下降,影响正常使用。 3)特洛伊木马:完整的木马程序一般由两部分组成:服务器与控制程序;“中了木马”就是指安装了木马的服务器程序,若你的电脑被安装了服务器程序。则拥有控制程序的人就可以通过网络控制装有服务器程序的电脑。 危害:个人隐私数据泄露,占用系统资源 4)蠕虫病毒:是一种可以自我复制的代码,并通过网络传播,通常无需人为干预就能传播。蠕虫病毒入侵并完全控制一台计算机后,就会吧这台计算机作为宿主,进而扫描并感染其他计算机。 危害:拒绝服务,隐私信息丢失。 5)宏病毒:一种寄存咋文档或模板的宏总的计算机病毒、 特点:感染文档,传播速度快、病毒制作周期短、多平台交叉感染 危害:文档不能正常打印;封闭或改变文档存储路径,将文件改名;非法复制文件,封闭有关菜单,文件无法正常编辑;调用系统命令,造成系统破坏。 6)流氓软件:值在未明确提示用户或未经用户许可的情况下,在用户计算机或其他终端上安装运行,亲好用户合法权益的软件,但不包含中国法律法规规定的计算机病毒 间谍软件:一种能够在用户不知情的情况下,在其电脑上安装后门、收集用户信息的软件。它能够削弱用户对其使用经验、隐私和系统安全的物质控制能力。 特点:强制安装、难以卸载、浏览器劫持、广告弹出、恶意手机用户信息、恶意卸载、恶意捆绑、恶意安装等 危害:窃取隐私、影响用户使用体验。 7)僵尸网络:采用一种或多种传播手段,将大量主机感染僵尸程序,从而在控制着和被感染主机之间形成的一个一对多控制的网络。 危害:拒绝服务攻击;发送垃圾邮件;窃取秘密;滥用资源;僵尸网络挖矿 8)终端安全防范措施:不要点击来源不明的邮件附件,不从不明网站下载软件;及时给主机补丁,修复相应的高位漏洞;对重要的数据文件定期进行非本地备份;尽量关闭不必要的文件共享权限以及关闭不必要的端口;RDP远程服务器等连接尽量使用强密码,不要使用弱密码;安装专业的终端安全防护软件,为主题提供断电防护和病毒检测清理功能 6.其他常见攻击:社工攻击;人为因素;拖库、洗库、撞库;跳板攻击;钓鱼攻击/鱼叉式钓鱼攻击;水抗攻击 三、信息安全要素 1.信息安全的五要素:保密性、完整性、可用性、可控性、不可否认性 四、整体安全解决方案 1.深信服APDRO智安全架构
12月19日至20日,云安全领域举办的的首次国际盛会——第一届国际云安全大会在安徽宿州隆重召开。本次大会由安徽省人民政府指导,中国云安全与新兴技术安全创新联盟、中国网络空间安全协会、中国云体系产业创新战略联盟联合主办。会议邀请了10多位国际顶级专家学者与相关院士,更有国内云安全技术领域大咖与知名云计算企业加盟,引发了各方人士的高度关注。 此次大会主题为“云涌起,安共商”。原美国联邦CIO、微软原CIO 托尼·斯科特,俄罗斯上海合作组织秘书处大使米哈伊尔·科纳罗夫斯基,美国科学院院士、美国人文与科学院院士俞士
P2DR模型计算公式:Pt > Dt + Rt 描述:如果防护时间大于检测时间加上响应时间,那么系统是安全的。
在基于微服务的云原生架构中,客户端的一次服务调用,会产生包括服务和中间件在内的众多调用关系。对这些大量复杂的调用过程进行追踪,对于微服务的安全性分析、故障定位、以及性能提升等,有着重要的作用。
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
ICP备案
实时音视频
对象存储
即时通信 IM
