项目简介 dolphin 是一个的资产风险分析系统,用户仅需将一个主域名添加到系统中,dolphin会自动抓取与该域名相关的信息进行分析; 例如同ICP域名,子域名,对应IP,端口,URL地址,站点截图
风险管理封面图.png 前言 风险管理,顾名思义即针对安全风险进行的各种管理动作,在我的理解里包括:如何理解风险、如何发现风险、如何有效规避风险等。...今后一段时间我打算用一系列文章和大家分享我对风险管理的一些认识和体会,其中包括我对一些安全问题的理解以及相关的具体技术点,本篇文章是风险管理-资产发现系列的第一篇文章。...风险管理-资产发现系列之公网Web资产发现 针对Web应用的攻击与防御早已成为安全对抗的一个重要细分领域,除了因为Web服务是当今互联网各类业务最主要的服务提供形式之外,还有以下技术方面的原因导致其特别为攻击者所青睐...如果目标企业的网络规模比较大而且有多个出口,则通常会申请AS号(参考RFC1930),这样我们就可以通过查询BGP自治域信息来获取其公网IP段信息。...那么在发现目标的公网Web服务之后,针对这些Web资产,从风险管理(亦或攻击)的角度出发,接下来应该发掘哪些内容呢?我会在这个系列后面的文章中和大家分享。
在数字化转型稳步推进的背景下,必定会有越来越多新兴的资产服务出现在互联网上,对这些服务的暴露面以及脆弱性管理对于网络安全而言仍是重要挑战。...因此,2021年我们将过去的物联网安全年报(2017-2020)升级扩展为《2021网络空间测绘年报》(下文简称“《报告》”),覆盖物联网、公有云、工业控制系统、安全设备、数据库、智慧平台等关键领域资产在互联网上的暴露情况...《报告》介绍了2021年的10起安全事件,包括物联网、工控、安全设备、数据库以及公有云相关领域,从这些安全事件中,我们总结了近年来网络空间资产的安全热门风险点。 第一, 供应链安全。...错误配置虽然是低级漏洞,但是有着很高的风险,企业安全管理人员需做好资产核查工作,收敛企业的暴露面。 第四, 敏感数据泄露。...此外,摸清企业网络空间资产暴露情况,洞察网络风险是建立网络安全防御体系的第一步,也是最重要的一步,所以《报告》接下来章节将对网络空间关键领域暴露资产情况进行梳理分析,并对其存在的安全风险情况进行阐述。
CybelAngel公司发表了一项研究,揭示了数据泄漏和影子资产是全球大型组织面临网络攻击的最大来源。...凭据泄漏导致的"重大风险"增加 网络安全中由暴露的凭据引起的数字风险继续困扰着企业,包括帐户接管、凭据填充、网络渗透和勒索软件攻击。在示例公司组中,暴露的凭据占发送的所有事件报告的 25%。...CybelAngel网络运营总监兼首席研究员Pauline Losson在评论调查结果时表示:“该报告重点关注了工作世界发生巨大变化后,发生的数字风险的安全影响。”...组织正面临着系统性的网络风险,这些风险是由复杂的犯罪集团利用外部威胁以致于风险无法避免这一事实所驱动的。” “对组织来说,好消息是,如果及早处理,报告中确定的每个威胁都可以相对快速地以低成本得到补救。...关键是威胁的可见性和处理速度,在恶意行为者破坏与组织攻击面相关的所有暴露资产之前找到它们。随着风险每天都在变化,组织需要准备好通过持续监控来做出响应。”
从2017年开始,绿盟科技就开始对互联网上的物联网资产暴露资产进行梳理,并且持续发布物联网暴露和威胁安全年报。...本文将对《2021网络空间测绘年报》(以下简称“《报告》”)中提到的国内物联网资产暴露和脆弱性情况进行分析,并对物联网测绘部分核心内容进行解读。...PART 01 2021年国内物联网资产暴露情况 为保证资产存活的准确性,《报告》对2021年11月国内全网段测绘一个轮次作为当年的资产暴露情况的展示数据。...图1 国内暴露物联网资产类型分布情况 物联网资产地域分布情况如图2 所示,数量最多的是中国台湾和中国香港,一方面因为这两个地区本身物联网资产数量较多,另一方面中国台湾和中国香港IP地址数量分配也比较多,...此外,相关方在进行新基建建设时,应谨慎考虑相关资产的暴露面。安全企业可以关注新物联网资产的暴露情况,并推动相关暴露资产的治理。未来,绿盟科技将继续对物联网资产的暴露和威胁情况进行关注。
之前两篇文章对若干资产配置模型进行了回测分析,本文重点关注风险平价模型及其优化,考察优化后的效果。...01 风险平价 再次对风险平价(Risk Parity)模型理论进行推导,过程与前文类似,跳过不影响悦读。 ? ? ? ? ? ?...02 改进思路 风险平价策略通常用方差来衡量风险,最简单的方式是用样本协方差作为总体协方差的估计量,这也是之前回测时的方法。...更细致的分析协方差,协方差是资产波动率和资产间相关系数的乘积。大量研究表明,资产间相关系数在短期会因市场波动不稳定,但具有长期关联性,长期会因为均值回复而趋于稳定。...07 参考文献 20170918-天风证券-天风证券金工专题报告:基于半衰主成分风险平价模型的全球资产配置策略研究 20171117-天风证券-天风证券资产配置策略研究之二:引入衰减加权和趋势跟踪的主成分风险平价模型研究
近日,绿盟科技与中国电信联合发布《2021网络空间测绘年报》,旨在通过测绘的方法,发现物联网、公有云、工控系统、安全设备、数据库、智慧平台等关键领域资产在公网上的暴露情况,分析各个领域资产所面临的安全隐患...本文为《2021网络空间测绘年报》精华解读系列第三篇,主要介绍公有云的资产测绘与风险度量。...由此看来,云上安全风险一直存在且影响范围广泛。风险态势评估的前提是资产梳理,对云上资产服务的宏观把握十分重要。因此,对公有云资产的梳理与测绘势在必行。然而,对公有云资产开展测绘工作也存在着许多挑战。...PART 02 公有云资产多维画像 在《2021网络空间测绘年报》中,我们经过多方调研与对比测试,针对国内几大公有云厂商,整理出了相对可靠的IP库。...图1 阿里云主机地理分布情况 图2 华为云开放数量前六的服务情况 PART 03 公有云关键资产风险度量 在风险度量方面,《2021网络空间测绘年报》从公有云重要资产——对象存储服务入手,对云上数据泄露风险进行了具体分析
随着互联网的发展,网络爬虫也越来越多,爬虫本身是一种网络技术,所以爬虫不是违法的技术。如果使用爬虫技术去做违法项目,例如:色情,赌博等违法业务,一旦发现就会触碰法律的禁止。...爬取速度敏感的可以使用Scrapy库实现网页采集 3、大数据采集,需要一定的研发团队开发,例如:电商,搜索引擎爬虫等 爬虫涉及的问题: 性能骚扰:爬虫快速访问服务器,超过了人类访问速度,对网站管理者来说就造成骚扰 法律风险...:每个网站上的数据都有产权归宿,如果通过爬虫获取到的数据从中获利的话会有一定的法律风险 隐私泄露:网络爬虫会突破网站的限制,获取数据,造成了网站的隐私泄露 爬虫规避方式: 1、遵守网站robots协议
区块链资产交易平台为用户提供一个购买交易的区块链资产的场所,虽说利润丰富,但是风险也紧随其中。...开发区块链资产交易平台更多的是为了能够赚取利润,当然不乏有一些人是真的为了区块链行业做出一定的研究或者贡献,可是无论是何原因,区块链资产交易平台开发我们都必须正视它的自身存在的风险,并提出相应的解决策略...那么开发区块链资产交易平台存在哪些风险呢?Vx:ruiec762679让源中瑞(sw.ruiec.com)告诉你!...区块链资产交易平台开发不是一个简单的项目,我们应该慎重,为了长久的发展,何如规避风险是每个想要开发区块链资产交易平台的人应该关注的。...以上我列举的也仅仅只是现有面临的部分风险,后期会出现哪些问题我们也应该慢慢注意,并做好一切防护,以便于以后出现问题能够随时解决。
与脆弱密切相关的是威胁,威胁是一种对组织及资产构成潜在破坏的可能性因素,威胁需要利用资产脆弱性才能产生危害。造成威胁的因素可分为人为因素(恶意和非恶意)和环境因素(不可抗力和其它)。...数据威胁示例图 一 脆弱性识别内容 资产脆弱性包括管理型与技术型两大类。技术脆弱性主要涉及数据库(结构化,关系型和非关系型)及网络层和主机层(非结构化,DLP检测)。...数据脆弱性识别示例 二 威胁识别与分类 威胁识别在风险评估过程中至关重要,威胁识别的准确性直接影响识别风险评估及后续的安全建设方向,所以丰富的数据威胁识别内容或分类,影响整体风险评估质量。...威胁等级划分示例图 下章介绍数据资产风险分析及综合风险评估分析(结合资产识别、威胁识别、脆弱性识别、风险),主要包括风险计算、风险判定及综合风险分析表。
网络资产搜索引擎与 Google、百度这种搜索网址的搜索引擎不同。它们搜索的目标是存在于互联网中的资产。主要用于搜索特定的设备,或者搜索特定类型的设备如,服务器、摄像头、工控设备、智能家居等。...一个系统的受攻击面越多,被入侵的风险也就越大。而他们可以很好的帮你找到其他攻击面。这就是本文所探讨的内容:简略分析各个网络资源搜索引擎的使用和差异。...发展至今已经变成搜索资源最全,搜索性能最强,TOP1级别的网络资产搜索引擎。...--- Fofa [m5ds6fye6l.png] 链接:https://fofa.so/ FOFA是白帽汇推出的一款网络空间搜索引擎,它通过进行网络空间测绘,能够帮助研究人员或者企业迅速进行网络资产匹配...[rqrrx1wiik.png] 与shodan相比,Censys更注重于网络资产的搜索,例如各种证书、设备之类的,只不过价格较高,还有着部分限制。但其具有其他搜索引擎不可替代的功能点。
系统应用之间的交换,尤其是跨机器之间,都是要基于网络的,因此网络宽带,响应时间,网络延迟,阻塞等都是影响系统性能的因素。...性能测试中的网络风险诊断是确保系统在网络层面能够稳定、高效运行的重要环节。随着互联网应用的普及,网络性能对用户体验的影响愈发显著。因此,在性能测试过程中,必须重视并有效地识别和解决潜在的网络风险。...以下是几种常见的网络风险诊断方法网络连通性检查使用ping命令来验证目标主机是否可达,这是最基本的网络诊断步骤之一。...因此,在设计性能测试方案时,必须充分考虑到这些特性,并制定相应的策略来应对可能出现的风险。...为了有效进行性能测试中的网络风险诊断,除了依赖先进的工具和技术外,还需要结合具体的业务场景和网络环境特点,采取综合性、多层次的方法论。
资产包括物理和虚拟资产,如硬件、软件、通信、信息、数据、空中(空中OTA)和地面部署的系统和设备以及互联和通信资产。...2.制定飞行器风险管理计划 风险管理计划涵盖各类风险,如安全和安保、财务和经济,而且最高管理层有时也会讨论网络安全。该计划旨在确保组织定义其风险偏好并就接受或转移风险作出决策。...由于许多IP技术广泛用于联网飞行器及相互关联的系统,风险管理计划须纳入潜在网络威胁和风险,进行清晰描述,这也是制定该计划的目的。...网络风险评估 运营者安全威胁检查流程一般应包含飞行器网络风险评估框架(ACRAF),该框架可集成在公司的RMF中实现。...下文详细介绍国际民航组织标准4.9.1(附录17),明确飞行器相关的关键系统、信息、资产和数据(CSIAD),分析这些资产相关的网络威胁并缓解、接受或转移风险。
● 数据资产识别 现今信息系统的风险评估体系已非常完善,但数据安全方面并没有形成相关评估内容,整个体系中缺少数据安全相关的检测与评估项,所以近期一直思考数据安全风险评估应是如何,应该从哪些方面进行检测与评估...本文产生的目就是希望解决如上一系列数据安全风险评估疑问,尽可能从资产识别、威胁分类、脆弱性识别、风险计算、处置建议等5个环节进行完善,通过不断持续优化完善,以期实现基于数据安全风险评估的体系化建设。...第一章为资产识别,资产是安全保护的对象,是风险评估的主体,资产的识别是理清内容、看透价值的重要手段,只有准确的资产识别,才能产生有意义的风险评估报告。...资产登记示例图 ● 脆弱性识别 数据资产识别是风险评估的开始,而脆弱性是对一个或多个资产弱点的集合,脆弱性识别也可称为弱点识别,而该弱点是资产本身存在的,如果没有威胁利用,单纯的弱点不会引发安全事件。...技术脆弱性主要涉及数据库(结构化,关系型和非关系型)及网络层和主机层(非结构化,DLP检测)。具体脆弱性识别示例内容如下表: ?
1 前言 风险平价是构建多样化和均衡投资组合十分流行选择。众所周知,大多数资产类别的未来表现很难预测。 通过仅使用资产的风险特征和相关矩阵构建投资组合,风险平价方法克服了这一缺点。...这种结构可以更好地将资产/因子划分为具有相似特征的集群,无需依赖经典的相关性分析。 这些投资组合提供了更好的尾部风险管理,特别是对skewed资产和风格因子策略。...给定一组资产类别和风格因子收益,相应的算法将根据一定的距离度量对这些资产类别和风格因子进行聚类,然后沿着这些聚类分配相等的风险预算。...好了,回到正文: 传统基于风险的配置策略首先直接应用于单个资产和因子,其次应用于由强加风险模型产生的八个综合因子。这八个因子为统计层次结构提供了一个基准集群。...与此同时,1=N承受着最高的波动性和最大的资产缩减,使其风险调整后的业绩低于平均水平。
工具简介: AsamF是一款集成多个网络资产测绘平台的搜索工具 AsamF,Asset survey and mapping 本程序仅供学习研究使用,请勿利用本程序损害任何个人或企业的利益,造成一切影响
云计算用在 BYOD 及社交网络这两种最新的、最热门的 IT 应用,特别会引起人们的注意,这是因为它们引起了新的安全问题。...云安全联盟( Cloud Security Alliance ,CSA)定义出七个云计算的主要风险: 1....如果这些接口不安全,客户会面临各种数据的保护、完整性及可用性上的风险。 4....如何避免与降低云安全风险 因为企业及政府对于是否导人云计算,会受限于对风险的考虑,因此在规划导人云技术及云外包服务前,必须先从相关风险是否可被管控的角度来考虑。...云计算用户应采用以下 7 个主要防范措施,来预防或降低安全上的风险。 1.
一、信息资产盗窃的定义与类型(一)定义信息资产盗窃是指未经授权的个人或组织通过网络手段获取、篡改或破坏他人信息资产的行为。(二)类型数据窃取:包括客户信息、财务数据、商业机密等。...四、信息资产盗窃的防范措施(一)技术层面加强网络安全防护:安装防火墙、入侵检测系统等网络安全设备,防止黑客入侵。定期更新软件:及时修复软件中的安全漏洞,降低被攻击的风险。...(二)管理层面制定网络安全政策:企业应制定完善的网络安全政策,明确员工的网络安全责任和义务。加强员工培训:提高员工的网络安全意识和技能,减少人为因素导致的信息资产盗窃。...国际合作:加强国际间的网络安全合作,共同打击跨国信息资产盗窃犯罪。五、结论信息资产盗窃是网络安全面临的严重挑战,对个人、企业和社会都造成了巨大的影响。...为了有效防范信息资产盗窃,需要从技术、管理和法律等多个层面采取措施。个人和企业应提高网络安全意识,加强网络安全防护,政府应加强网络安全立法和执法力度,共同构建安全、可靠的网络环境。
Texture 纹理是图片或者影视文件覆盖在GameObjects上面来给予他们可视化的效果 Unity支持任何类型的image 和 movie文件在3D项目资产文件中作为纹理。...Unity Materials命名 Search : Unity查找材质的方式 List of Imported materials : Audio Clip Unity支持单声道,立体声和多通道音频资产...跟踪器模块资产的行为与Unity中的任何其他音频资产相同,尽管在资产导入检查器中没有波形预览功能。
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
ICP备案
对象存储
腾讯会议
云直播
