详解IPSec VPN和SSL VPN特点,各有千秋
VPN(Virtual Private Network)虚拟专用网,指在公共网络(如Internet)上构建临时的、安全的逻辑网络的技术。机构遍布各地的公司,尤其跨越国家的公司,可以通过VPN接入总部网络。VPN利用了现有的公共网络资源,从而节省了公司租用运营商跨省、跨海专线的费用。分支机构网络通过...
- 1,515阅读
- 241阅读
银行国产密码算法升级改造解决方案
一、背景需求 银行业务系统的安全,不仅事关金融稳定和国家经济安全,也关乎社会政治稳定。我国银行业务系统和安全基础设施采用国外产品的情况还广泛存在,核心系统和安全基础设施广泛使用3DES、RSA等国外算法,存在着不安全的明文密码系统、低级的加密算法、协议设计方面的安全漏洞,银行信息安全隐患不容忽视。 ...
- 37阅读
紧急通告 | Spring框架存在远程命令执行漏洞,悬镜全线产品已实现检测和防御覆盖
近期,Spring官方披露了Spring框架远程命令执行漏洞(CVE-2022-22965),当JDK版本在9及以上版本时,易受此漏洞攻击影响。POC、EXP已公开,建议用户尽快进行自查工作。悬镜安全全线产品已于第一时间实现对该漏洞的检测和防御覆盖。 一、漏洞描述 Spring是Java生态使用最广...
- 44阅读
守护中国软件供应链安全,「悬镜安全」完成B轮数亿元融资
2022年3月22日,DevSecOps敏捷安全头部厂商悬镜安全正式宣布完成数亿元人民币B轮融资,本轮融资由源码资本领投、GGV纪源资本跟投、红杉中国继续加持。悬镜安全将进一步深化在中国软件供应链安全关键技术创新研发及上下游产业生态前瞻性布局上的战略投入,凭借领先的下一代敏捷安全框架,在DevSe...
- 124阅读
ZUC算法-信息安全工程师知识点
信息安全工程师知识点:ZUC算法 ZUC算法,即祖冲之算法,是移动通信3GPP机密性算法EEA3和完整性算法EIA3的核心,是中国自主设计的加密算法。2009年5月ZUC算法获得3GPP安全算法组SA立项,正式申请参加3GPP LTE 第三套机密性和完整性算法标准的竞选工作。历时两年多的时间, ZU...
- 69阅读
渔翁信息密评整改方案 助力用户密码应用改造
▌安全挑战 近年来,国内外大规模数据泄露事件频频发生,全球网络与信息安全形势骤然加紧,国家、企业及个人层面的网络与信息安全备受挑战。面对日益严峻的网络环境,密码技术作为网络安全的核心和基础,已成为各方关注的焦点,国家对使用密码技术保护网络安全也提出了更高的要求。 然而,国内密码应用形势并不乐观! 根...
- 136阅读
等保2.0与商密必须了解的50个问题
为了让有过保需求的客户能够更全面地了解当前的等保测评机制、以及针对性进行等保以及商密合规建设,本文梳理了等级保护2.0以及商密中常见的50个问题,以供参考。1.什么是等级保护?答:等级保护制度是我国网络安全的基本制度。等级保护是指对国家重要信息...
- 30阅读
赛宁网安助力中国移动打造国内领先云安全能力
中国移动云能力中心-全面推进网络安全能力建设- 背景 01、“网络安全与信息化”国家战略 党的十九届五中全会明确指出:“坚持总体国家安全观,实施国家安全战略,维护和塑造国家安全,统筹传统安全和非传统安全,把安全发展贯穿国家发展的各领域和全过程,防范和化解影响我国现代化进程的各种风险,筑牢国家安全的屏...
- 59阅读
来了!听说这就是你要的《数据分类分级解决方案》
实行数据分类分级是数据全流程动态保护的基本前提,也是当前数据安全建设的痛点和难点,更是数据安全相关法律监管中要求必须开展的基础性工作。 在企业实践过程中,面对不同的行业属性、监管要求、数据特征、业务发展诉求等差异,企业往往在分类维度选择,某一维度下的类别划分,分级级数、粒度确定,升降级等诸多环节存在...
- 49阅读
数据库应用的“铜墙铁壁”——昂楷数据库防火墙
随着政企、金融、能源、互联网等多个行业在数字转型热潮中,企事业信息平台应用面临巨大挑战,一是海量的业务数据、市民身份信息等数据剧增如何去管控?二是对于如何落实国家数字化转型对数据价值的输出?在大数据场景下,数据挖掘、处理和使用,对社会民生带来红利和便利,数据资产越来越备受关注。但随之而来较多企业的数...
- 67阅读
聚焦3·15 | 如何应对网络威胁,保护信息安全
今年3·15晚会重点关注食品安全和网络信息安全。食品安全问题一直是民生关心的热点话题,同样,经过多年的互联网发展,网络信息安全也成为国民关注的重点领域。 晚会总导演尹文接受采访时表示:“3·15晚会不是为了打击谁,而是给一些厂家一个善意的提醒。你在做好产品的同时,别忘了你的软件背后的安全也很重要。信...
- 85阅读
美国国家安全局发布网络基础设施安全指南
2022年3月1日,美国国家安全局(NSA)发布了一份《网络基础设施安全指南》技术报告。这份网络安全技术报告旨在向所有组织提供最新的保护IT网络基础设施应对网络攻击的建议,建议侧重于防止现有网络常见漏洞和弱点的设计和配置,用于指导网络架构师和管理员建立网络的最佳实践。该报告由NSA网络安全局编写。 ...
- 61阅读
美国家安全局《网络基础设施安全指南》概述
该指南向所有组织提供了最新的保护IT网络基础设施应对网络攻击的建议。 2022年3月1日,美国国家安全局(National Security Agency,NSA)发布网络安全技术报告:网络基础设施安全指南(Network Infrastructure Security Guidance),该指南向...
- 83阅读
一文了解网络安全中的横向移动
目前,横向移动(lateral movement)已成为需要留意的主要威胁之一。成功的横向移动攻击可以使攻击者闯入用户现有系统,并访问系统资源。横向移动攻击充分体现了“网络安全链的强度完全取决于最薄弱的那一环”这一观点。高级持续性威胁(APT)是横向移动带来的最常见网络攻击类型。如果网络有足够多...
- 194阅读
攻防演练 | RASP让WebShell利用破防了
摘要 WebShell 是一种通过浏览器来进行交互的Shell,而且是黑客通常使用的一种恶意脚本,通常被攻击者用来获取对应用服务器的某些操作权限。攻击者通过渗透系统或网络,然后安装 WebShell ,攻击者可以在应用服务器上执行敏感命令、窃取数据、植入病毒,危害极大。而且, WebShell 隐蔽...
- 39阅读
透过安全事件看软件组成分析SCA
前言 过去的一年里,SolarWinds和Kaseya以及Apache log4j漏洞等黑客入侵事件让软件供应链风险得到了更多的关注,也给人们敲响了新的警钟: 无论是通过渗透软件交付管道,还是利用开源组件中现有的漏洞,攻击者都在利用供应链控制的漏洞来危害组织及其客户;安全漏洞威胁已然成为我们无法回避...
- 30阅读
【安全研究】JavaAgent技术在内存马中的应用
JavaAgent技术简介JDK1.5开始引入了Agent机制(即启动java程序时添加“-javaagent”参数,Java Agent机制允许用户在JVM加载class文件的时候先加载自己编写的Agent文件,通过修改JVM传入的字节码来实现注入自定义的...
- 45阅读
以等级保护为基础构建一体化安全保障体系
没有网络安全就没有国家安全,没有信息化就没有现代化。党中央、国务院高度重视关键信息基础设施安全保护工作,为进一步健全关键信息基础设施安全保护制度体系,制定出台了《关键信息基础设施安全保护条例》(以下简称《条例》)。对此,人民网“良法善治大家谈”栏目采访九位专家学者推出“关键信息基础设施安全保护”系列...
- 32阅读
主流勒索攻击防护技术简析与建议
近年来,勒索攻击已经成为主流的攻击方式。从勒索事件数量上看,近年来勒索攻击数量整体呈上升趋势,针对终端的勒索攻击数量有所下降,定向勒索数量有所上升。从单个事件的勒索金额看,勒索赎金数额不断增加。根据BleepingComputer的数据,2021年第四季度的平均赎金为322,168美元,比上一季度增...
- 39阅读
攻防演练 | 攻防在即,RASP为上
信息安全的关键因素是人,有人的地方就有江湖,江湖中避免不了攻防博弈,而博弈是攻防双方采用越来越新的技术进行较量的过程。对于国家、企事业单位甚至个人而言,守护安全防线,确保数据不遗失是最终目的。然而,并没有一劳永逸或者可以防止所有威胁、漏洞的安全防护工具,对于信息安全从业者而言,需要“动态”思维的根据...
