我国态势感知发展(2):网络安全威胁信息格式规范
2018年10月10日,我国正式发布威胁情报的国家标准《信息安全技术网络安全威胁信息格式规范Information security technology—Cybersecurity threat information format》(GB/T 36643-2018)。 标准定义了一个通用的网络安...
- 32阅读
- 21阅读
我国态势感知发展(1):国家政策与法规要求
■ 微言晓意 | 李鹏飞Leo(WX:WeYanXY) 我国网络安全态势感知从建设规模来讲涉及国家级态势感知、行业级态势感知、城市级态势感知、企业级态势感知等;从建设内容来讲涉及网络安全主动防御、态势感知、监测预警、应急响应、信息通报等;从国家整体安全战略上还涉及网络安全法、等级保护2.0、关键信息...
- 24阅读
Web安全之SCA(软件成分分析测试)详解
之前的文章《Web安全之SAST和DAST(静态和动态应用程序安全测试)详解》讲解了SAST和DAST,《Web安全之IAST(交互式应用程序安全测试)详解》讲解了IAST,本文再讲解一个安全测试技术SCA。什么是SCA? SCA(Software Composition Analysis),软...
- 14阅读
Web安全之IAST(Interactive Application Security Testing)详解
前一篇文章《Web安全之SAST和DAST(静态和动态应用程序安全测试)详解》讲了SAST和DAST,本篇文章详细讲解一下这两种安全测试方法相结合的测试方法IAST。什么是IAST IAST(Interactive Application Security Testing),交互式应用程序安全测...
- 14阅读
Web安全之SAST和DAST(静态和动态应用程序安全测试)详解
SAST和DAST都是应用程序安全测试方法,用于发现应用程序的潜在安全问题。什么是SAST? SAST(static application security testing),静态应用程序安全测试,是一种白盒测试方法。通过检查代码以发现软件缺陷和安全漏洞,SAST是在软件开发生命周期(SDLC...
- 49阅读
等保2.0多少分合格?等保政策的变化
等保2.0提出新的技术要求和管理要求,强调“一个中心,三重防护”,关键点包括可信技术、安全管理中心,以及云计算、物联网等新兴领域的安全扩展要求。对应地,企业在安全防护体系建设、风险评估和管理上需要更加全面,并需关注所在行业的安全要求和定级标准。等保2.0正式实施后,关于等保测评结论发生了重大变化...
- 11阅读
解读央行版数据安全法规:细化数据分级,有望促进数据开发利用
银行业数据安全规范问题迎来首个针对性重磅法规。 中国人民银行近日发布《中国人民银行业务领域数据安全管理办法(征求意见稿)》(下称《管理办法》),并向社会公开征求意见。有业内人士指出,本办法填补了中国人民银行业务领域数据安全管理制度保障空白。 近两年,数据安全、信息保护成为金融领域关注的话题,也...
- 22阅读
网络普法 | 带你了解信息安全等级保护制度
信息安全等级保护制度的由来 随着计算机网络的普及,我们的日常生活越来越离不开它们,可是怎么样保护我们的计算机和网络安全不受外界攻击呢? 为了保护信息的安全,我国实行对信息及信息载体按照重要性等级分别进行保护,也就是信息安全等级保护制度。 1994年,《中华人民共和国计算机信息系统安全保护条例》规定计...
- 17阅读
一个由“API未授权漏洞”引发的百万级敏感数据泄露
2023年4月的某一天,腾讯安全专家Leo正在为某家医院的重保防护做第一轮的安全风险排查。 医院的专用APP是外部网络访问最高的,也就是最大的风险敞口,需要重点排查。 Leo下载APP进行测试后,发现该医院存在一个严重的问题,可能导致百万级敏感数据泄露……他发现医院APP存在GraphQL接口...
- 16阅读
盘一盘,攻防演练中那些容易被忽视的API风险
网络安全建设效果检验,还得看攻防演练。网络安全实战攻防演练因攻防双方是在真实的网络环境中开展对抗,更贴近事实,成为检验关键信息基础设施系统网络安全防护能力的常态化方式。 尽管很多单位组织在各种大大小小的攻防演练中练就了一身铜墙铁壁,但随着组织数字化进程的加快以及业务的迅速发展,总有一些跟不上变化的风...
- 21阅读
七款最流行的渗透测试框架及其特点分析
在开展渗透测试工作中,有一些非常经典的渗透测试框架,它们提供了一套标准化的测试指导方针和推荐工具,帮助测试者跨不同的网络和安全环境开展更有效的渗透测试。尽管企业组织也可以自行构建测试框架,但是在大多数情况下,如果不依靠成熟的渗透测试框架来规范测试流程、测试工具和战术方法,企业的渗透测试工作可能很难...
- 54阅读
主流商用密码产品简介
截至2021年4月,通过国家密码管理局审批的商用密码通用产品有2400余款,形成了从芯片、板卡、整机到系统和服务的完整产业链。那么商用密码产品都有哪些呢?下面为大家介绍35类主流商用密码产品。 01.TF密码卡 具有数字证书存储、身份认证、数字签名和数据加密存储,那么密码产品有哪些呢?我们进行一个...
- 50阅读
2023 OWASP API Security Top 10 正式发布!
2023年6月5日,OWASP正式发布了2023版API安全Top 10列表。首版 OWASP API Security Top 10 发布于2019年,今年2月时,OWASP曾发布过一个候选版(Candidate),现在终于等到了正式稳定版(stable version)。该列表与2019版有...
- 13阅读
微软研究表明,黑客可利用 OpenSSH 攻击 Linux 设备
IT 之家 6 月 27 日消息,微软安全部门近日发布研究称,黑客目前正在利用 OpenSSH 的进行攻击,此类攻击主要针对 Linux 终端用户。 据悉,黑客在互联网中 " 广撒网 ",搜索端口配置错误、安全等级低的 Linux 设备,在锁定之后,使用暴力破解 " 算号 " 的方式入侵。 一旦...
- 48阅读
被罚100万的背后:《数据安全法》究竟如何遵守
2023年3月,浙江温州公安网安部门根据《中华人民共和国数据安全法》第四十五条的规定,对某科技公司及项目主管人员、直接责任人员分别作出罚款100万元、8万元、6万元的行政处罚。主要原因是该科技有限公司在为浙江某县级市政府部门开发运维信息管理系统的过程中,在未经建设单位同意的情况下,将建设单位采集的敏...
- 44阅读
把脉医院数字化转型安全,默安科技开出“等保+”良方
随着物联网、大数据、人工智能等新技术的发展,国家深化医疗改革政策的不断推进,医疗行业逐步迈向信息化、数字化阶段。在线问诊、电子病历、AI影像等医疗服务带来便利的同时,也引入了新的网络安全风险,医疗机构面临更加严峻的网络安全挑战。本文将围绕医院在数字化转型进程中的安全挑战、解决方案和典型实践展开分享。...
- 50阅读
关于网络安全里蜜罐的详细介绍
关于网络安全里蜜罐的详细介绍 蜜罐的定义 蜜罐的一个定义来自间谍世界,玛塔哈里 (Mata Hari) 式的间谍将恋爱关系用作窃取秘密的方式,被描述为设置“美人计”或“蜜罐”。经常会有敌方间谍中了美人计,然后被迫交待他/她所知道的一切。 在计算机安全方面,网络蜜罐的工作原理与此类似,是为黑客设下的诱...
- 53阅读
美创科技 - 数据库防水坝产品简介
数据库防水坝产品简介 数据库防水坝是一款满足用户数据库安全运维管理需求,集数据库准入、应用访问控制、数据库脱敏、运维审计等多种功能一体的产品。该产品满足数据库运维安全管理,符合运维安全内部控制和法规法令(等级保护、网络安全法、企业内控条例等)的要求,本产品在政府、金融、医疗、社保等行业广泛应用,保障...
- 86阅读
Webshell的检测与分析
webshell的概念 webshell就是以asp、php、jsp或者cgi等网页文件形式存在的一种代码执行环境,也可以将其称做为一种网页后门。黑客在入侵了一个网站后,通常会将asp或php后门文件与网站服务器WEB目录下正常的网页文件混在一起,然后就可以使用浏览器来访问asp或者php后门,得到...
- 28阅读
网络安全新手必备的10个高效工具
1、Burp Suite Burp Suite是Web应用程序测试的最佳工具之一,其多种功能可以帮助白帽子们处理各种任务,包括请求的拦截和修改、扫描web应用程序漏洞、暴力破解登陆表单等。Burp Suite设置了众多接口,以便可加快安全人员渗透测试的过程。所有工具都共享一个请求,并能处理对应的HT...
