资产清点如何做到可查可控可见
一、为什么要做资产梳理 面向互联网的系统暴露的信息越多,如端口、后台管理系统、与外单位互联的网络路径等信息,越容易被攻击者盯上。攻击者往往不会正面攻击防护较好的系统,而是通过一些单位机构自己都未记录或防护不严的信息资产发动攻击。因此需要对单位机构资产进行梳理,资产梳理后可以确定主机漏洞、弱口令扫描、...
- 34阅读
- 16阅读
腾讯专访 | 子芽:代码疫苗技术,赋能数字化应用内生安全自免疫
“DevSecOps市占率持续领先,IAST探针覆盖率十倍增长,代码疫苗技术已成功帮助上千家行业用户成功抵御‘Log4j2.x’等重大未知漏洞的利用攻击。”子芽向腾讯云启的采访者透露道。 这是2021年悬镜安全交出的一张成绩单。悬镜安全是DevSecOps敏捷安全领导者,子芽是这家企业的创始人。 &...
- 26阅读
权威认证闭环 | 国内首家DevSecOps体系全栈产品通过CWE国际兼容性认证
CWE(Common Weakness Enumeration,通用缺陷枚举),由美国国土安全部下的US-CERT(美国计算机安全应急响应组)资助,是全世界最早和相对权威的软件安全漏洞模式库。通过CWE国际兼容性的认证,表明该项技术和产品能够比较友好地支持国际上主要漏洞(缺陷)模式的检测和分析。“C...
- 63阅读
【案例分享】烟草行业数据安全治理的探索与实践
随着移动互联网、大数据、云计算等信息技术的高速发展,数字经济已成为我国经济高质量发展的重要驱动力。各行业在保障经济稳定增长的基础上,把全面推动自身数字化转型作为现阶段发展规划的主线和战略重点。作为我国国民经济体系的重要组成部分之一,烟草行业当前正处于重要的战略转折时期。由于消费群体规模的庞大性和市...
- 69阅读
涉密信息系统集成资质管理办法
国家保密局令 2020年第1号 《涉密信息系统集成资质管理办法》已经国家保密局2020年11月13日局务会议通过,现予公布,自2021年3月1日起施行。 局 长:田静 2020年12月10日 涉密信息系统集成资质管理办法 第一章 总 则 第一条 为了加强涉密信息系统集成资质管理,确保国家秘密安...
- 188阅读
“商密”市场风起,深度剖析“密评”的前世今生
众所周知,密码作为网络安全的核心技术和基础支撑,是构建网络信任体系的重要基石。而密评工作是对网络和信息系统中商用密码应用的合规性、正确性和有效性进行检测与评估。若想真正厘清密评工作的意义和内容,还是要着重回顾一下我国商用密码管理的发展历程。 01 商用密码管理发展简述 1999年10月,《商用密码管...
- 33阅读
企业该如何保障数据库安全?昂楷有妙招!
随着《数据安全法》、《个人信息保护法》、《关键基础设施保护条例》和《信息安全技术 个人信息安全规范》等相关法律法规相继出台,国家对数据安全提升到了更高的层面。同时,因个人隐私信息的泄露、滥用对公民生活造成极大的困扰和损失,公民对个人隐私信息保护的诉求变得越来越强烈。 企业作为...
- 35阅读
云隙大揭秘|构建云原生环境下东西向流量管理的最佳实践
一、不得不说的云原生隔离性不断创新的技术带来了一系列好处,例如自动化、敏捷性和效率,提高了公司的生产率。但是,随着新技术的到来,漏洞和安全威胁也随之而来。 集装箱化就是这种情况。尽管容器化已经存在了数十年,但近年来云计算的革命性发展才真正推动了容器化的普及。据估计,现在有超...
- 101阅读
专家有料 | 李中文:美团软件成分安全分析(SCA)能力的建设与演进
文丨李中文(e1knot) 现任美团安全高级工程师,负责公司基础安全运营相关的能力建设工作,拥有丰富的安全运营能力建设经验。曾在DEFCON China、ISC等多个会议分享安全运营相关议题。 前言 随着DevSecOps概念的逐渐推广和云原生安全概念的快速普及,研发安全和操作环境安全...
- 29阅读
直播回放 | 周幸:开源治理实践如何实现自动化和智能化落地
“网安强中强”2022(第二届)数字安全创新实践直播大赛自2022年4月18日起正式启动。悬镜安全技术合伙人周幸接受了主办方安在的特邀,于4月19日做客直播间,以“开源治理实践如何实现自动化和智能化落地”为主题,分享了悬镜在开源治理方面的实践经验以及成熟的落地解决方案,在直播间和用户交流群中引起了热...
- 26阅读
云眼大揭秘|攻防实战中如何让攻击者“原形毕露”
一、网络空间战中的入侵溯源随着俄乌战争、哈萨克斯坦动乱等国际话题进入人们的视野,网络安全技术成为各国维护自身国土安全的“利刃”之一的同时也推动了各国重视和发展自身的网络攻防技术实力。 在攻防视角里,因为进攻方的目标明确,而防守方无从得知进攻点会落在何处,所以进攻方会占据较多的...
- 808阅读
警惕!蠕虫病毒Synaptics.exe可能正在感染你的电脑
最近,小编发现一些用户电脑上的软件变成了._cache_ude,而正常状态下的软件显示是ude,如下图所示:那这两个应用程序有什么区别呢? “ude”就是一个普通的应用程序,双击即可运行使用。 “._cache_ude”是被Synaptics.exe感染的病毒文件。Synaptics.exe是蠕...
- 591阅读
检查电脑是否感染 Synaptics 蠕虫木马
检查木马 1、打开显示 “系统隐藏文件”2、是否存在:C:\ProgramData\Synaptics\Synaptics.exe3、C 盘所有 exe 文件将会被植入木马,特征如下清除木马 1、下载火绒杀毒:https://www.huorong.cn/ ,对全盘进行病毒查杀。2、...
- 29阅读
打造交通“数据安全大脑”,让出行更安全
交通运输部印发《数字交通“十四五”发展规划》,提出到2025年,“交通设施数字感知,信息网络广泛覆盖,运输服务便捷智能,行业治理在线协同,技术应用创新活跃,网络安全保障有力”的数字交通体系深入推进,“一脑、五网、两体系”的发展格局基本建成,交通新基建取得重要进展,行业数字化、网络化、智能化水平显著提...
- 83阅读
多重监管之下,谁还在“挖矿”?
引言 自2021年以来,针对虚拟货币“挖矿”的监管持续加码的情况下,谁还在挖矿? “挖矿”事件再次发生 4月6日消息,据某微博博主爆料,某新能源汽车企业员工张某使用公司服务器资源挖虚拟货币。此人原担任某集群服务器管理员,利用职务之便进行“挖矿”行为。在调查中,张某对自己的违规行为供认不讳,该行为涉嫌...
- 1,505阅读
详解IPSec VPN和SSL VPN特点,各有千秋
VPN(Virtual Private Network)虚拟专用网,指在公共网络(如Internet)上构建临时的、安全的逻辑网络的技术。机构遍布各地的公司,尤其跨越国家的公司,可以通过VPN接入总部网络。VPN利用了现有的公共网络资源,从而节省了公司租用运营商跨省、跨海专线的费用。分支机构网络通过...
- 235阅读
银行国产密码算法升级改造解决方案
一、背景需求 银行业务系统的安全,不仅事关金融稳定和国家经济安全,也关乎社会政治稳定。我国银行业务系统和安全基础设施采用国外产品的情况还广泛存在,核心系统和安全基础设施广泛使用3DES、RSA等国外算法,存在着不安全的明文密码系统、低级的加密算法、协议设计方面的安全漏洞,银行信息安全隐患不容忽视。 ...
- 36阅读
紧急通告 | Spring框架存在远程命令执行漏洞,悬镜全线产品已实现检测和防御覆盖
近期,Spring官方披露了Spring框架远程命令执行漏洞(CVE-2022-22965),当JDK版本在9及以上版本时,易受此漏洞攻击影响。POC、EXP已公开,建议用户尽快进行自查工作。悬镜安全全线产品已于第一时间实现对该漏洞的检测和防御覆盖。 一、漏洞描述 Spring是Java生态使用最广...
- 41阅读
守护中国软件供应链安全,「悬镜安全」完成B轮数亿元融资
2022年3月22日,DevSecOps敏捷安全头部厂商悬镜安全正式宣布完成数亿元人民币B轮融资,本轮融资由源码资本领投、GGV纪源资本跟投、红杉中国继续加持。悬镜安全将进一步深化在中国软件供应链安全关键技术创新研发及上下游产业生态前瞻性布局上的战略投入,凭借领先的下一代敏捷安全框架,在DevSe...
- 117阅读
ZUC算法-信息安全工程师知识点
信息安全工程师知识点:ZUC算法 ZUC算法,即祖冲之算法,是移动通信3GPP机密性算法EEA3和完整性算法EIA3的核心,是中国自主设计的加密算法。2009年5月ZUC算法获得3GPP安全算法组SA立项,正式申请参加3GPP LTE 第三套机密性和完整性算法标准的竞选工作。历时两年多的时间, ZU...
