数据库安全审计在数据安全治理稽核中的功能
一. 数据安全治理稽核 在数据安全治理过程中,首先通过数据资产梳理确定敏感数据的存储位置和使用情况,从而制定有效的数据安全管理制度和规范;继而通过有效的技术手段实现数据使用的行为管控;最后通过稽核对数据安全规划、管控措施、运行状况进行全过程的监控,保障数据安全治理中制定的安全制度、标准被有效的执行...
- 61阅读
- 126阅读
“黑客”潜入医院进行非法统方,该如何应对
“黑客”潜入医院进行非法统方 据央视新闻报道,温州警方近日破获了一起非法获取计算机系统数据案件。不法分子利用医生午休时间,进入诊室通过技术手段窃取医院的“统方”数据,并从中牟利近百万元。 传送门:细思极恐!“黑客”入侵医院系统 盗取的不仅是患者个人信息 非法统方行为 “统方”是医院里的一种专业术语,...
- 166阅读
能信安原创动漫强势入选「中央网信办主题活动作品展」
“手机在手,万事不愁”,近年来各类手机APP百花齐放,在便利了我们生活的同时也给不法分子提供了不同的诈骗渠道。 近日,中央网信办网络社会工作局主办、光明网承办,围绕“知法懂法 依法办网”主题深入开展专题活动。此次活动旨在发挥企业党组织的战斗堡垒作用,引导和监督企业严守法律底线、...
- 79阅读
Kerberos KDC域权限提升漏洞总结
01漏洞起源 Windows Kerberos 对 kerberos tickets 中的 PAC(Privilege Attribute Certificate)的验证流程中存在安全漏洞,低权限的经过认证的远程攻击者利用该漏洞可以伪造一个PAC并通过 Kerberos KDC(Key Distri...
- 92阅读
Docker 给你不一样的渗透体验
我们在渗透测试的时候,经常需要去配置一些环境,下载一些特别不容易的各种支持库。尤其是伟大的防火墙各种拦截的情况下,我们做相关的工作会花费大量的时间跟精力。那么这个时候有没有一种简单的方式来解决这个问题呢?这篇文章将会给大家介绍能实现安全人员最梦寐以求的一次性地创建或配置,可以在任意环境、任意时间让应...
- 94阅读
SSRF漏洞攻击原理及防御方案
01SSRF概念 服务端请求伪造(Server-Side Request Forgery),指的是攻击者在未能取得服务器所有权限时,利用服务器漏洞以服务器的身份发送一条构造好的请求给服务器所在内网。SSRF攻击通常针对外部网络无法直接访问的内部系统。 02SSRF的原理 很多web应用都提供了从其他...
- 173阅读
《数据脱敏应用指南报告》重磅发布
11月8日,国内权威的第三方安全机构安全牛在北京新世纪日航饭店正式发布了《数据脱敏应用指南报告》。 该报告通过对 20 多个脱敏案例的分析,并结合各大数据提供商的业务需求,给出对脱敏产品的概览、关键技术、案例分析以及未来趋势等综合性客户指南。 闪捷信息作为本次报告中重点分析的产品解决方案提供商受邀参...
- 89阅读
等保2.0时代 | 共筑金融行业移动互联安全
今年5月13日,国家市场监督管理总局、国家标准化管理委员会召开新闻发布会,网络安全等级保护制度2.0标准(以下简称“等保2.0”)正式发布,并将于今年12月1日正式实施。实行等保是《网络安全法》明文规定的企业义务,如果拒不履行将会受到相应的行政处罚,甚至有可能因“拒不履行信息网络安全管理义务罪...
- 73阅读
黑客用激光攻击 百米外就能激活语音助手
据国外媒体报道,最新研究发现,通过将激光调至精确频率并对准智能语音设备,其可以像用户声音一样激活语音助理并进行交互,从而解锁汽车、打开车库门等等。这种方法的作用距离甚至可以达到一百多米。 以下是翻译内容: 去年春天,网络安全研究员菅原健走进了密歇根大学教授付凯文(Kevin Fu)的实验室。他想...
- 320阅读
被D一小时,损失近10万,低成本的攻击方式备受黑客青睐
近年来,DDoS攻击一直是一个老生常谈的话题,在多年的发展中逐渐形成了次数多、强度高、手法新、来源广等特点,DDoS的投入成本低,但是却有着极强的针对性,能够在极短的时间内造成大面积的网络瘫痪、服务器终止服务、企业业务中断,如果不能及时进行处理,将会造成巨大的损失。有调查发现60%以上被DDo...
- 88阅读
聚焦 | “智能+”时代下的移动金融安全合规之路
11月5日,由北京金融科技产业联盟、移动支付网联合主办的中国移动金融安全大会在深圳市大中华希尔顿酒店隆重召开,大会以“安全合规,‘面’向未来”为主题,近500名来自监管层、银行、支付机构等金融行业相关领域负责人,携手金融行业安全解决方案商齐聚一堂,共话金融信息安全,共谋金融科技的安全发展。能信安技术...
- 280阅读
揭秘 | 没那么复杂,看能信安如何对付“羊毛党”!
经常听到有人在讲“薅(hāo)羊毛”,“薅羊毛”难道也是一种犯罪?近日,北京市海淀区人民检察院办理了一起因“薅羊毛”获罪的案件。 海淀区人民检察院以被告人黄小天(化名)涉嫌提供侵入、非法控制计算机信息系统程序罪向法院提起公诉,经过法庭审判,被告人黄小天当庭认罪,被判处有期徒刑三年六个月。...
- 89阅读
722支队伍同场角逐,谁人问鼎字节跳动CTF桂冠
2019年10月20日,历时43天的Byte CTF在字节跳动中国卫星通信大厦办公区落下帷幕,圆满收官。本次大赛共吸引了4000余人次报名,722支高校队伍同场竞技,巅峰对决。 「字节跳动CTF震撼开战,七百支战队齐聚角逐」 字节跳动举办CTF大赛,旨在提升安全新生力量的技术,并为年轻的极客们提...
- 112阅读
安华金和是数据安全治理践行者
随着数据资产价值的提升,各个组织对于数据资产的安全防护也从合规驱动转变为价值驱动,但是在这一转变过程中往往数据安全防护工作目标很明确,却缺乏体系化、标准化的方法和工具让数据防护工作有的放矢。为解决这一问题,安华金和在2016年就提出了数据安全治理理念,这一理念围绕“让数据使用更安全”的愿景,覆盖了安...
- 124阅读
又双叒叕一家公司因数据泄露被查,数据安全红线不容忽视!
某金融独角兽公司被突击清查,当日港股暴跌40% 今天中午,一家在香港上市的金融独角兽公司被曝出遭警方突击清查,现场警车云集,据称有多名员工被带走。上述消息在午间发酵,当天下午港股开盘后,该公司股价随之闪崩,一度暴跌超40%,股价最低去到1.58港元/股,为上市新低。随后跌幅略有收窄,至下午1时5...
- 77阅读
美创“容灾切换演练”月度通报(2019年9月)
★月度汇报★容灾切换演练是容灾建设的重要一环,有效的切换演练,能梳理信息系统可能会遇到的各种灾难和盲点,捋清、熟悉容灾切换的流程,也能验证容灾系统的可用性,最大程度上保证在灾难发生时容灾系统的高可用,真正加强容灾和应急处理能力。 尤其对于政府部门而言,其业务与整个社会的稳定运行密切相关,许多数据...
- 81阅读
揭秘|让企业55%的潜藏数据「分类」呈现,需几步?
数据已渗透到每一个行业和业务职能领域,成为关键的生产要素之一。但是目前来看,绝大多数企业由于缺少对多样化数据进行敏捷持续捕捉和整合的能力,导致大量数据沉积,并逐步演变成不可被直接认知的暗数据。Gartner 将暗数据定义为“组织在常规业务活动中收集、处理和存储,但通常无法用于其他用途的信息资产。...
- 135阅读
部委信息中心数据资产梳理差异化痛点与解决思路
不同的客户,有不同的需求;需求难度越高,解决后的价值越大;这,就是攻坚的意义!部委痛点,非同一般 通常普通企业单位并没有非常多的数据资产和业务系统,因此运维人员对数据资产情况较为清晰,梳理工作也不太繁琐,通过阶段性的数据资产登记就可以梳理清楚,相对容易管理; 而部委信息中心的数据资产量级...
- 78阅读
解决数据安全问题,安华金和提供完整数据安全治理体系
2015年马云提出,“未来世界,将不再由石油驱动,而是数据驱动”。时至今日数据价值进一步凸显,在推动科技、社会进步的同时,数据黑产也在蓬勃发展,数据泄露事件频发,另一层面上国家及各行各业不断出台数据安全保护的法律法规。在这一过程中企事业单位也越来越重视核心数据资产的安全防护,但无论是基于网络安全的边...
- 72阅读
中小企业网络安全十大战术建议
SMB(Small and Medium-sized Business),指经营规模不大,人员、资金有限的中小规模企业,相比于那些实力雄厚的大企业,他们可能没有那么多资源和技术来应对网络攻击。那么,中小企业应该通过什么方式以最小成本来维护企业安全?这是我们要探讨的问题。 麻雀虽小,五脏俱全,小企业和...
