分类： 安全

随着人工智能、大数据、云计算一系列新兴技术的兴起，基于IT技术来提供一切所需支持，让业务和技术真正产生交互成为可能，“数字化转型”应运而生。新一轮数字技术革命和产业数字化变革蓄势待发，开展数字化转型与创新，利用新一代数字技术获得竞争优势，已成未来企业的必行之道。 12月15日，中国数字化转型与创新案例大会（第二季）在京召开。作为数字化转型的推动者，安华金和应邀参加此次大会，与500余名中外顶尖数字...

随着教育信息化进入2.0时代，信息安全成为信息化建设的关键领域。 为进一步贯彻落实《中华人民共和国网络安全法》、《网络产品和服务安全审查办法》等文件精神，提高网络产品和服务安全可控水平，防范网络安全风险，中国信息协会在京发起了“2018安全可控技术应用推进大会”，汇聚企业的力量，从政策、技术、方案、实践等视角共同探讨组织的安全建设。 年度优秀方案和应用实践推优成果在本次大会公布，安华金和落地教育部...

…… 2018年3月8日，某视频网站800余万用户数据在暗网销售 2018年8月1日，某省1000万学籍数据出现在暗网 2018年8月28日，某酒店集团5亿数据疑似在暗网出售 …… 本年度最严重的几次数据泄漏，都指向了同一个词——「暗网」。在中文的语境里，这是一个犹如「月黑风高夜」般的词汇，透着诡秘和犯罪的气息。而与「暗网」关系最密切的另一个词，则非「黑客」莫属。「黑」与「暗」的组合，意味着高超的...

近日安华金和数据库攻防实验室，又发现了一个DB2数据库漏洞。 DB2数据库存在执行任意代码漏洞，由不正确的边界检查，db2pdcfg容易受到基于堆栈的缓冲区溢出的影响，允许攻击者执行任意代码。 漏洞详情披露如下： CVEID: CVE-2018-1897 高危 DESCRIPTION: IBM Db2 db2pdcfg is vulnerable to a stack based buffer o...

数据安全，始于数据资产梳理。数据资产梳理是数据库安全治理的基础，通过对数据资产的梳理，可以确定敏感性数据在系统内部的分布、确定敏感数据是如何被访问的、确定当前的账号和授权的状况。 （1）静态梳理技术 静态梳理是完成对敏感数据的存储分布状况的摸底，从而帮助安全管理人员掌握系统的数据资产分布情况。 静态梳理可以分为结构化数据梳理和非结构化数据梳理。 对于结构化数据的梳理，通过静态的扫描技术可以获得数据...

数据安全治理的技术支撑框架主要包括3大部分，如下图： 数据资产梳理的技术支撑 数据安全，始于数据资产梳理。数据资产梳理是数据安全治理的基础，通过对数据资产的梳理，可以确定敏感性数据在系统内部的分布、确定敏感数据是如何被访问的、确定当前的数据访问账号和授权的状况。数据资产梳理能够有效地解决企业对资产安全状况摸底及资产管理工作；改善以往传统方式下企业资产管理和梳理的工作模式，提高工作效率，保证了资产梳...

引子：两份入学隐私声明 近日，笔者从一位朋友那里，看到了美国东部某小学Kindergarten（相当于幼儿园大班/学前班）的入学注册文件，其中一份《家长声明》引起了笔者的注意。 笔者将声明书翻译如下： 尊敬的家长/监护人： 在这一学年当中，学区的学生和/或他们的学校作业（如写作作品、艺术作品、科技项目）可能会被被媒体拍照和/或报道，这些媒体包括本地/地区的报纸、电视台，和/或学区刊物。 此外学生的...

一、最严重危机 近期，曾被评为全球十大最安全航空公司之一的国泰航空被曝发生信息泄露事件，被香港立法会议员林卓廷形容为“本港历来最大的个人资料外泄事件”。受此消息影响，国泰航空股价应声下跌，股价创下了逾9年新低。该公司还可能面临高额罚款。 香港国泰航空有限公司本月发布公告称，该公司及子公司国泰港龙航空发现大约有940万名乘客的资料曾被不当取览，涉及的个人信息包括乘客姓名、国籍、出生日期、电话号码、电...

实施数据安全治理的组织，一般都具有较为发达和完善的信息化水平，数据资产庞大，涉及的数据使用方式多样化，数据使用角色繁杂，数据共享和分析的需求刚性，要满足数据有效使用的同时保证数据使用的安全性，需要极强的技术支撑。 数据安全治理面临数据状况梳理、敏感数据访问与管控、数据治理稽核三大挑战。 数据安全治理面临的挑战 数据安全状况梳理技术挑战 组织需要确定敏感性数据在系统内部的分布情况，其中的关键问题在于...

威胁情报供给能力已经成为各类组织机构内网络安全体系的重要组成部分。目前已经有多家安全方案供应商针对最新恶意软件手段、恶意域名、网站、IP地址以及基于主机的违规指标(简称IoC)提供与安全威胁相关的情报反馈。 而这些威胁反馈方案的本质思路可谓大同小异。恶意人士的行动速度正变得越来越快，而强大的情报供应能力则将使安全供应商得以快速反应并共享与实际出现的最新威胁相关联的重要信息。 这些策略无疑会给情报订...

典型的隐私泄露事件 1. 喜 达 屋 2018年11月，万豪集团旗下喜达屋酒店客房预订数据库遭黑客入侵，约5亿名客人的信息可能被泄露。 British Airway 2018年9月，英国航空公司（British Airway）宣布自家数据泄露，38万条交易信息被盗取。这其中包括乘客的姓名，电子邮件地址和信用卡信息。 2. 华 住 2018年8月，华住5亿条用户信息疑遭泄露，包括1.3亿条身份信息、...

摘要 11月30日，万豪国际集团发布声明称，公司旗下喜达屋酒店的一个客房预订数据库被黑客入侵，在2018年9月10日或之前曾在该酒店预定的最多约5亿名客人的信息或被泄露。从万豪事件披露的公告中我们可以看到，这是一起数据库安全事件。此事件直接导致万豪股价当天下跌5.59%。 笔者就此检索了喜达屋相关的安全事件，发现喜达屋不是第一次出现大规模数据泄露问题。3年前喜达屋已被爆出，因POS恶意软件入侵，导...

数据安全稽核是数据安全治理不可或缺的关键步骤，也是安全管理部门的重要职责。完善的稽核策略能够保障数据安全治理策略和规范被有效执行和落地，同时确保快速发现数据安全潜在的风险和恶意行为。 数据安全治理中的定期稽核策略主要包括： 合规性检查：在建立了数据安全治理规范后，要通过必要的稽核手段，对规范的执行情况进行实时监控和定期检查，以确保数据安全使用政策被真实执行； 操作监管与稽核：通过数据库审计技术对数...

数据在每个企业中的“命脉”作用越来越明显，但是这些重要的数据却面临着无处不在的威胁。 无论是面对有意窃取个人身份信息的外部攻击者，还是无意中泄露关键知识产权的内部员工，我们至少都应该明确敏感数据的存储位置，做到数据分类，在数据的流动、使用和存储过程中采取合适的安全控制措施。   像GDPR这样的法律法规旨在对违反数据隐私的行为进行处罚。但是除了合规，数据保护的另一大优点在于，它能让你更好...

所谓安全感,从来都是自己给自己的。 随着互联网和物联网时代的到来，我们一边贪婪地享受着科技带来的愉悦，一边又变得更加敏感、惶恐不安： “今天接到一个诈骗电话，说我的社保卡有违规消费，存在骗保行为，而且对方准确地说出了我的姓名和住址……” 本文提出7条个人信息保护建议，希望对每一位读者提高上网安全意识、保护个人信息起到小小的警示作用。 认真做到这7点，才能在这个集体裸奔的年代多一丝安全感。 1. 密...