分类： 安全

2022年3月22日，DevSecOps敏捷安全头部厂商悬镜安全正式宣布完成数亿元人民币B轮融资，本轮融资由源码资本领投、GGV纪源资本跟投、红杉中国继续加持。悬镜安全将进一步深化在中国软件供应链安全关键技术创新研发及上下游产业生态前瞻性布局上的战略投入，凭借领先的下一代敏捷安全框架，在DevSecOps敏捷安全、软件供应链安全和云原生安全等新兴应用场景下打造闭环的第三代悬镜DevSecOps智适...

信息安全工程师知识点：ZUC算法 ZUC算法，即祖冲之算法，是移动通信3GPP机密性算法EEA3和完整性算法EIA3的核心，是中国自主设计的加密算法。2009年5月ZUC算法获得3GPP安全算法组SA立项，正式申请参加3GPP LTE 第三套机密性和完整性算法标准的竞选工作。历时两年多的时间， ZUC 算法经过包括3GPP SAGE内部评估，两个邀请付费的学术团体的外部评估以及公开评估等在内的3个...

▌安全挑战 近年来，国内外大规模数据泄露事件频频发生，全球网络与信息安全形势骤然加紧，国家、企业及个人层面的网络与信息安全备受挑战。面对日益严峻的网络环境，密码技术作为网络安全的核心和基础，已成为各方关注的焦点，国家对使用密码技术保护网络安全也提出了更高的要求。 然而，国内密码应用形势并不乐观！ 根据2018年商用密码应用安全性评估联合委员会对一万余个等保三级及以上的信息系统普查的结果显示，国内密...

为了让有过保需求的客户能够更全面地了解当前的等保测评机制、以及针对性进行等保以及商密合规建设，本文梳理了等级保护2.0以及商密中常见的50个问题，以供参考。 1.什么是等级保护？ 答：等级保护制度是我国网络安全的基本制度。等级保护是指对国家重要信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息...

中国移动云能力中心-全面推进网络安全能力建设- 背景 01、“网络安全与信息化”国家战略 党的十九届五中全会明确指出：“坚持总体国家安全观，实施国家安全战略，维护和塑造国家安全，统筹传统安全和非传统安全，把安全发展贯穿国家发展的各领域和全过程，防范和化解影响我国现代化进程的各种风险，筑牢国家安全的屏障。 02、云环境面临新的挑战和威胁 移动云多资源池+多服务器对安全集中管理提出挑战，受攻击面广，暴...

实行数据分类分级是数据全流程动态保护的基本前提，也是当前数据安全建设的痛点和难点，更是数据安全相关法律监管中要求必须开展的基础性工作。 在企业实践过程中，面对不同的行业属性、监管要求、数据特征、业务发展诉求等差异，企业往往在分类维度选择，某一维度下的类别划分，分级级数、粒度确定，升降级等诸多环节存在挑战。 基于上述现状，昂楷科技在此分享在数据分类分级上的思考见解和解决之道。 数据分类分级已成企业开...

随着政企、金融、能源、互联网等多个行业在数字转型热潮中，企事业信息平台应用面临巨大挑战，一是海量的业务数据、市民身份信息等数据剧增如何去管控？二是对于如何落实国家数字化转型对数据价值的输出？在大数据场景下，数据挖掘、处理和使用，对社会民生带来红利和便利，数据资产越来越备受关注。但随之而来较多企业的数据存在滥用、盗窃、破坏和牟利等风险，特别是公民个人信息泄漏、非法利用、数据非法跨境流动安全事件频发。...

今年3·15晚会重点关注食品安全和网络信息安全。食品安全问题一直是民生关心的热点话题，同样，经过多年的互联网发展，网络信息安全也成为国民关注的重点领域。 晚会总导演尹文接受采访时表示：“3·15晚会不是为了打击谁，而是给一些厂家一个善意的提醒。你在做好产品的同时，别忘了你的软件背后的安全也很重要。信息安全在万物互联时代，比产品本身更重要，这是我们给大家的一个提醒。” 关注315安全 3·15晚会聚...

2022年3月1日，美国国家安全局（NSA）发布了一份《网络基础设施安全指南》技术报告。这份网络安全技术报告旨在向所有组织提供最新的保护IT网络基础设施应对网络攻击的建议，建议侧重于防止现有网络常见漏洞和弱点的设计和配置，用于指导网络架构师和管理员建立网络的最佳实践。该报告由NSA网络安全局编写。 一、发布背景 此前，NSA曾被指出没有相关网络安全机构，原因在于几乎从未公开发表相关信息。在经历了一...

该指南向所有组织提供了最新的保护IT网络基础设施应对网络攻击的建议。 2022年3月1日，美国国家安全局（National Security Agency，NSA）发布网络安全技术报告：网络基础设施安全指南（Network Infrastructure Security Guidance），该指南向所有组织提供了最新的保护IT网络基础设施应对网络攻击的建议。安全指南建议涵盖网络设计、设备密码和密码...

目前，横向移动(lateral movement)已成为需要留意的主要威胁之一。成功的横向移动攻击可以使攻击者闯入用户现有系统，并访问系统资源。 横向移动攻击充分体现了“网络安全链的强度完全取决于最薄弱的那一环”这一观点。高级持续性威胁(APT)是横向移动带来的最常见网络攻击类型。如果网络有足够多未加保护的漏洞，只要有足够的时间，黑客最终就可以访问域控制器本身，进而可以攻击企业的整套数字基础设施，...

摘要 WebShell 是一种通过浏览器来进行交互的Shell，而且是黑客通常使用的一种恶意脚本，通常被攻击者用来获取对应用服务器的某些操作权限。攻击者通过渗透系统或网络，然后安装 WebShell ，攻击者可以在应用服务器上执行敏感命令、窃取数据、植入病毒，危害极大。而且， WebShell 隐蔽性极强，传统的流量侧方案对其防御效果不佳。本文将为大家介绍一下常见的 WebShell 类型以及 R...

前言 过去的一年里，SolarWinds和Kaseya以及Apache log4j漏洞等黑客入侵事件让软件供应链风险得到了更多的关注，也给人们敲响了新的警钟： 无论是通过渗透软件交付管道，还是利用开源组件中现有的漏洞，攻击者都在利用供应链控制的漏洞来危害组织及其客户；安全漏洞威胁已然成为我们无法回避的问题。 开源软件数量呈指数增长，导致我们根本无法单纯通过人力对漏洞进行筛查；且庞大的开源数量群让库...

JavaAgent技术简介 JDK1.5开始引入了Agent机制(即启动java程序时添加“-javaagent”参数，Java Agent机制允许用户在JVM加载class文件的时候先加载自己编写的Agent文件，通过修改JVM传入的字节码来实现注入自定义的代码。采用这种方式时，必须在容器启动时添加jvm参数，所以需要重启Web容器。 JDK1.6新增了attach方式，可以对运行中的java进...

没有网络安全就没有国家安全，没有信息化就没有现代化。党中央、国务院高度重视关键信息基础设施安全保护工作，为进一步健全关键信息基础设施安全保护制度体系，制定出台了《关键信息基础设施安全保护条例》（以下简称《条例》）。对此，人民网“良法善治大家谈”栏目采访九位专家学者推出“关键信息基础设施安全保护”系列解读，从多领域、多角度全面阐释关键信息基础设施安全保护的重要性和必要性。 随着信息技术的快速发展和应...