分类： 安全

一、苹果进行了安全更新，修复了攻击iPhone的新的iOS零日漏洞（12.13） 在今天发布的安全更新中，苹果修复了今年年初至今的第十个零日漏洞，该漏洞被积极利用来攻击iPhone。 详细情况 在今天发布的安全更新中，苹果修复了今年年初至今的第十个零日漏洞，该漏洞被积极利用来攻击iPhone。OS/iPadOS 15.7.2、Safari 16.2、tvOS 16.2和macOS Ventura ...

近日，安全狗威胁情报中心监测到互联网上有服务器感染了“Skidmap”挖矿木马。经研判，这些病毒感染事件是攻击者经Redis未授权访问漏洞攻击的方式植入挖矿木马“SkidMap”导致的。虽然“SkidMap”并非新型的病毒家族，但鉴于该病毒家族一直保持着较高的流行热度，且隐蔽性较高，海青实验室的研究人员对该挖矿木马进行研究与分析，并给出相应的应对方法与建议，以期减少用户受此类事件的影响。 一、概述...

| 作者：庄表伟 缘起 之前写过一篇文章《我所理解的开源软件供应链安全》，当时的情况，还没有出现一些值得探讨的，堪称紧迫的热点事件，所以我也仅仅是泛泛而谈，到最后留了一句话：「我的提议是：不再提“开源供应链安全”，而是提“开源生态建设”。」 在最近一段时间，接连出现了Log4j2事件，与Marak Squires删库事件，一时间大家都议论纷纷，我也觉得自己有责任，来更加深入的探讨一下，这个方面的问...

引言 自2018年Github遭遇1.35Tbps的大流量攻击以来，Tb级别攻击首次出现在大众面前。伴随着物联网、智能终端的蓬勃发展，当前Tb级别攻击已越来越普遍。近日，UCloud安全团队协助客户成功防御了多次1.2Tbps的超大流量攻击。下面将就此次攻击事件简单地向大家进行梳理和分析。 事件回顾 12月2日10:56:32 ⾄ 11:49:06，UCloud一个重要的行业客户突然遭受到159G...

来源：https://linfordco.com/blog/soc-2-vs-soc-3/ 在决定您的服务组织需要什么样的SOC报告，或者从您的服务组织请求什么样的报告时，这些选项可能有点令人困惑。特别是在考虑是否需要SOC 2和SOC 3报告时。 我们的许多客户问我们SOC 2和SOC 3报告之间有什么区别，以及获得SOC 3报告的价值是什么。简而言之，SOC 2和SOC 3报告都是根据SSAE...

一、漏洞聚焦：Callback Technologies CBFS过滤器中有拒绝服务漏洞（11. 22） Cisco Talos的Emmanuel Tacheau发现了一些漏洞。 详细情况 Cisco Talos最近在Callback Technologies CBFS过滤器中发现了三个拒绝服务漏洞。 Callback Technologies有一个CBFS文件存储解决方案，用来自定义设备上的数据...

近日，为推动“十四五”期间全民健康信息化发展，国家卫生健康委、国家中医药局、国家疾控局制定了《“十四五”全民健康信息化规划》。（全文附后） 《规划》要求在严格落实网络安全等级保护制度及商用密码应用等基础安全保障制度的基础上，以关键信息基础设施安全为重点，落实数据出境安全管理制度，加强医疗设备相关网络和数据安全监管，全面落实网络安全管理要求。 《规划》要求构建卫生健康行业网络可信体系。建设一批医疗卫...

数澜科技开设全新栏目「技术派+」，聚焦前沿技术，洞悉行业风向，分享来自一线的研发经验与应用实践。 本期专栏由数澜科技研发工程师小倩带来，详解数据安全分类分级。 当前，我国数据安全基础产业仍处于起步和探索阶段。据《中国大数据发展报告》显示，我国在数字创新、数字经济、数字治理、数字服务等方面位居前列，而数据安全略微落后。 随着“十四五”规划推行，数据要素概念与意识全面铺开，国家、政府机构、企业数据安全...

今年8月，银保监会办公厅向各银保监局、各银行与保险机构下发了《关于开展银行保险机构侵害个人信息权益乱象专项整治工作的通知》（以下简称《通知》），拉开了全面开展《个人信息保护法》、《中华人民共和国消费者权益保护法》、《中国银保监会办公厅关于印发银行保险机构信息科技外包风险监管办法的通知》、《互联网保险业务监管办法》等相关法规履行情况的检查序幕。 对于保险机构而言，掌握着大量投保人个人身份信息、支付信...

11月18日，多家媒体平台转发了《关于关于实施个人信息保护认证的公告》，“公告”由国家市场监督监管总局、国家互联网信息办公室联合发布，这也代表着在个人信息保护领域政策的加速。原点安全盘点了目前涉及个人信息保护相关的主要认证，供个人信息处理企业参照。 个人信息保护认证（PIP & PIPCB） 二十大报告第十一章推进国家安全体系和能力现代化章节中，明确提出加强个人信息保护。11月18日，两部...

原文标题：长扬科技深度解读 《关键信息基础设施安全保护要求》：关基运营者视角下的安全保障能力建设 2022年10月12日,市场监管总局(标准委)发布公告,批准国家标准——GB/T 39204 2022《信息安全技术 关键信息基础设施安全保护要求》(以下简称《要求》)正式发布,并将于2023年5月1日实施。《要求》的正式发布,也标志着绸缪8年的关键信息基础设施安全保护(简称关保)工作正式拉开帷幕。 ...

一、Firefox 107修补了有严重危害的漏洞（11.16） Mozilla宣布发布Firefox 107。该流行网络浏览器的最新版本修补了大量漏洞。 详细情况 Mozilla宣布发布Firefox 107。该流行网络浏览器的最新版本修补了大量漏洞。Firefox 107修补的安全漏洞共有19个被分配了CVE编号，其中9个被评为“高危”。 这些高危的漏洞包括可能导致信息泄露的漏洞、可被用于欺骗攻...

在了解等级保护三级之前，我们首先需要知道等级保护是什么。 等级保护全称“网络安全等级保护”，指对国家重要信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置。 1994年《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)： 第一次提出“等级保...

近年来，国家一系列法律法规及政策文件的出台，明确要求在各种业务场景下全面推进密码应用要求、密评要求。在数字经济快速发展的当下，密码的安全防护作用更是提升至空前的高度。 海泰方圆在密码领域深耕19载，积累了深厚的技术力量和丰富的项目经验，形成了深度的场景定制能力。公司将结合热点场景应用需求，分享海泰方圆多场景解决方案。本期，我们将围绕云场景密码应用进行深度交流。 安全成为云平台面临的重大挑战 数字时...

我们开发过程编写接口时，除了要实现业务逻辑，安全性也是需要考虑的一部分。不仅要保证数据传输过程中的安全，还有考虑数据到达服务端时如何识别数据 ，最后就是数据存储的安全性 。今天跟大家聊聊保证接口数据安全的一些方案。 1 数据加密，防止报文明文传输。 我们都知道，数据在网络传输过程中，很容易被抓包。如果使用的是http协议，因为它是明文传输的，用户的数据就很容易被别人获取。所以需要对数据加密。 1....