我国态势感知发展(7):当前主流态势感知产品类型
自2016年419讲话中提到“全天候全方位感知网络安全态势”后,“态势感知”在安全界骤然变成了热词。时至今日,国内几乎所有安全大厂以及新兴创业公司都推出了自己的态势感知产品或者解决方案。 在面对种类繁多的态势感知产品,听着售前人员天花乱坠的介绍各种牛逼技术时,相信大部分没有深入接触过的人早已经处于蒙...
- 10阅读
- 16阅读
我国态势感知发展(6):中国移动态势感知应用实践
中国移动安全威胁分析与预警平台利用现有的安全系统、安全设备,逐步演进为“安全数据集中存储、安全威胁分析与预警场景不断扩充、分析能力与数据对外开放”的高价值安全信息存储及分析平台;充分探索新技术,跟踪重要安全问题方法方法、加快对安全威胁的认知实现及有效预警。 中国移动业务支撑网安全威胁分析与预警平台主...
- 15阅读
我国态势感知发展(5):电力行业态势感知应用实践
2018年4月南方电网发布了电力监控系统网络安全态势感知技术规范文档,用于指导电力监控系统网络安全态势感知的规划、设计、建设、验收及应用等工作。技术规范中详细的介绍了搭建电力监控系统网络安全态势感知系统时,在信息采集、安全告警分类、上下级通信、通信协议等方面的规范要求和行业标准,为电力行业态势感知的...
- 19阅读
我国态势感知发展(4):等保2.0与网络安全态势感知
2019年5月13日,国家市场监督管理总局、国家标准化管理委员会正式发布了网络安全等级保护2.0标准和规范,并将于2019年12月1日开始实施。等级保护一直是我国在网络安全领域的基本制度、基本国策,是国家网络安全意志的体现,《网络安全法》出台后,等级保护制度更是提升到了法律层面。等保2.0标准的发布...
- 19阅读
我国态势感知发展(3):公安行业态势感知应用实践
2015年1月,公安部颁布了《关于加快推进网络与信息安全信息通报机制建设的通知》(公信安[2015]21号)。通知要求建立省市二级网络与信息安全信息通报机制,积极推动专门机构建设,建立网络安全态势感知监测通报手段和信息通报预警及应急处置体系,明确要求建设网络安全态势感知监测通报平台,实现对重要网站和...
- 32阅读
我国态势感知发展(2):网络安全威胁信息格式规范
2018年10月10日,我国正式发布威胁情报的国家标准《信息安全技术网络安全威胁信息格式规范Information security technology—Cybersecurity threat information format》(GB/T 36643-2018)。 标准定义了一个通用的网络安...
- 22阅读
我国态势感知发展(1):国家政策与法规要求
■ 微言晓意 | 李鹏飞Leo(WX:WeYanXY) 我国网络安全态势感知从建设规模来讲涉及国家级态势感知、行业级态势感知、城市级态势感知、企业级态势感知等;从建设内容来讲涉及网络安全主动防御、态势感知、监测预警、应急响应、信息通报等;从国家整体安全战略上还涉及网络安全法、等级保护2.0、关键信息...
- 24阅读
Web安全之SCA(软件成分分析测试)详解
之前的文章《Web安全之SAST和DAST(静态和动态应用程序安全测试)详解》讲解了SAST和DAST,《Web安全之IAST(交互式应用程序安全测试)详解》讲解了IAST,本文再讲解一个安全测试技术SCA。什么是SCA? SCA(Software Composition Analysis),软...
- 14阅读
Web安全之IAST(Interactive Application Security Testing)详解
前一篇文章《Web安全之SAST和DAST(静态和动态应用程序安全测试)详解》讲了SAST和DAST,本篇文章详细讲解一下这两种安全测试方法相结合的测试方法IAST。什么是IAST IAST(Interactive Application Security Testing),交互式应用程序安全测...
- 15阅读
Web安全之SAST和DAST(静态和动态应用程序安全测试)详解
SAST和DAST都是应用程序安全测试方法,用于发现应用程序的潜在安全问题。什么是SAST? SAST(static application security testing),静态应用程序安全测试,是一种白盒测试方法。通过检查代码以发现软件缺陷和安全漏洞,SAST是在软件开发生命周期(SDLC...
- 50阅读
等保2.0多少分合格?等保政策的变化
等保2.0提出新的技术要求和管理要求,强调“一个中心,三重防护”,关键点包括可信技术、安全管理中心,以及云计算、物联网等新兴领域的安全扩展要求。对应地,企业在安全防护体系建设、风险评估和管理上需要更加全面,并需关注所在行业的安全要求和定级标准。等保2.0正式实施后,关于等保测评结论发生了重大变化...
- 11阅读
解读央行版数据安全法规:细化数据分级,有望促进数据开发利用
银行业数据安全规范问题迎来首个针对性重磅法规。 中国人民银行近日发布《中国人民银行业务领域数据安全管理办法(征求意见稿)》(下称《管理办法》),并向社会公开征求意见。有业内人士指出,本办法填补了中国人民银行业务领域数据安全管理制度保障空白。 近两年,数据安全、信息保护成为金融领域关注的话题,也...
- 22阅读
网络普法 | 带你了解信息安全等级保护制度
信息安全等级保护制度的由来 随着计算机网络的普及,我们的日常生活越来越离不开它们,可是怎么样保护我们的计算机和网络安全不受外界攻击呢? 为了保护信息的安全,我国实行对信息及信息载体按照重要性等级分别进行保护,也就是信息安全等级保护制度。 1994年,《中华人民共和国计算机信息系统安全保护条例》规定计...
- 17阅读
一个由“API未授权漏洞”引发的百万级敏感数据泄露
2023年4月的某一天,腾讯安全专家Leo正在为某家医院的重保防护做第一轮的安全风险排查。 医院的专用APP是外部网络访问最高的,也就是最大的风险敞口,需要重点排查。 Leo下载APP进行测试后,发现该医院存在一个严重的问题,可能导致百万级敏感数据泄露……他发现医院APP存在GraphQL接口...
- 17阅读
盘一盘,攻防演练中那些容易被忽视的API风险
网络安全建设效果检验,还得看攻防演练。网络安全实战攻防演练因攻防双方是在真实的网络环境中开展对抗,更贴近事实,成为检验关键信息基础设施系统网络安全防护能力的常态化方式。 尽管很多单位组织在各种大大小小的攻防演练中练就了一身铜墙铁壁,但随着组织数字化进程的加快以及业务的迅速发展,总有一些跟不上变化的风...
- 21阅读
七款最流行的渗透测试框架及其特点分析
在开展渗透测试工作中,有一些非常经典的渗透测试框架,它们提供了一套标准化的测试指导方针和推荐工具,帮助测试者跨不同的网络和安全环境开展更有效的渗透测试。尽管企业组织也可以自行构建测试框架,但是在大多数情况下,如果不依靠成熟的渗透测试框架来规范测试流程、测试工具和战术方法,企业的渗透测试工作可能很难...
- 56阅读
主流商用密码产品简介
截至2021年4月,通过国家密码管理局审批的商用密码通用产品有2400余款,形成了从芯片、板卡、整机到系统和服务的完整产业链。那么商用密码产品都有哪些呢?下面为大家介绍35类主流商用密码产品。 01.TF密码卡 具有数字证书存储、身份认证、数字签名和数据加密存储,那么密码产品有哪些呢?我们进行一个...
- 50阅读
2023 OWASP API Security Top 10 正式发布!
2023年6月5日,OWASP正式发布了2023版API安全Top 10列表。首版 OWASP API Security Top 10 发布于2019年,今年2月时,OWASP曾发布过一个候选版(Candidate),现在终于等到了正式稳定版(stable version)。该列表与2019版有...
- 13阅读
微软研究表明,黑客可利用 OpenSSH 攻击 Linux 设备
IT 之家 6 月 27 日消息,微软安全部门近日发布研究称,黑客目前正在利用 OpenSSH 的进行攻击,此类攻击主要针对 Linux 终端用户。 据悉,黑客在互联网中 " 广撒网 ",搜索端口配置错误、安全等级低的 Linux 设备,在锁定之后,使用暴力破解 " 算号 " 的方式入侵。 一旦...
- 49阅读
被罚100万的背后:《数据安全法》究竟如何遵守
2023年3月,浙江温州公安网安部门根据《中华人民共和国数据安全法》第四十五条的规定,对某科技公司及项目主管人员、直接责任人员分别作出罚款100万元、8万元、6万元的行政处罚。主要原因是该科技有限公司在为浙江某县级市政府部门开发运维信息管理系统的过程中,在未经建设单位同意的情况下,将建设单位采集的敏...
