等保2.0多少分合格?等保政策的变化
等保2.0提出新的技术要求和管理要求,强调“一个中心,三重防护”,关键点包括可信技术、安全管理中心,以及云计算、物联网等新兴领域的安全扩展要求。对应地,企业在安全防护体系建设、风险评估和管理上需要更加全面,并需关注所在行业的安全要求和定级标准。等保2.0正式实施后,关于等保测评结论发生了重大变化...
- 48阅读
- 11阅读
解读央行版数据安全法规:细化数据分级,有望促进数据开发利用
银行业数据安全规范问题迎来首个针对性重磅法规。 中国人民银行近日发布《中国人民银行业务领域数据安全管理办法(征求意见稿)》(下称《管理办法》),并向社会公开征求意见。有业内人士指出,本办法填补了中国人民银行业务领域数据安全管理制度保障空白。 近两年,数据安全、信息保护成为金融领域关注的话题,也...
- 22阅读
网络普法 | 带你了解信息安全等级保护制度
信息安全等级保护制度的由来 随着计算机网络的普及,我们的日常生活越来越离不开它们,可是怎么样保护我们的计算机和网络安全不受外界攻击呢? 为了保护信息的安全,我国实行对信息及信息载体按照重要性等级分别进行保护,也就是信息安全等级保护制度。 1994年,《中华人民共和国计算机信息系统安全保护条例》规定计...
- 16阅读
一个由“API未授权漏洞”引发的百万级敏感数据泄露
2023年4月的某一天,腾讯安全专家Leo正在为某家医院的重保防护做第一轮的安全风险排查。 医院的专用APP是外部网络访问最高的,也就是最大的风险敞口,需要重点排查。 Leo下载APP进行测试后,发现该医院存在一个严重的问题,可能导致百万级敏感数据泄露……他发现医院APP存在GraphQL接口...
- 15阅读
盘一盘,攻防演练中那些容易被忽视的API风险
网络安全建设效果检验,还得看攻防演练。网络安全实战攻防演练因攻防双方是在真实的网络环境中开展对抗,更贴近事实,成为检验关键信息基础设施系统网络安全防护能力的常态化方式。 尽管很多单位组织在各种大大小小的攻防演练中练就了一身铜墙铁壁,但随着组织数字化进程的加快以及业务的迅速发展,总有一些跟不上变化的风...
- 20阅读
七款最流行的渗透测试框架及其特点分析
在开展渗透测试工作中,有一些非常经典的渗透测试框架,它们提供了一套标准化的测试指导方针和推荐工具,帮助测试者跨不同的网络和安全环境开展更有效的渗透测试。尽管企业组织也可以自行构建测试框架,但是在大多数情况下,如果不依靠成熟的渗透测试框架来规范测试流程、测试工具和战术方法,企业的渗透测试工作可能很难...
- 52阅读
主流商用密码产品简介
截至2021年4月,通过国家密码管理局审批的商用密码通用产品有2400余款,形成了从芯片、板卡、整机到系统和服务的完整产业链。那么商用密码产品都有哪些呢?下面为大家介绍35类主流商用密码产品。 01.TF密码卡 具有数字证书存储、身份认证、数字签名和数据加密存储,那么密码产品有哪些呢?我们进行一个...
- 48阅读
2023 OWASP API Security Top 10 正式发布!
2023年6月5日,OWASP正式发布了2023版API安全Top 10列表。首版 OWASP API Security Top 10 发布于2019年,今年2月时,OWASP曾发布过一个候选版(Candidate),现在终于等到了正式稳定版(stable version)。该列表与2019版有...
- 13阅读
微软研究表明,黑客可利用 OpenSSH 攻击 Linux 设备
IT 之家 6 月 27 日消息,微软安全部门近日发布研究称,黑客目前正在利用 OpenSSH 的进行攻击,此类攻击主要针对 Linux 终端用户。 据悉,黑客在互联网中 " 广撒网 ",搜索端口配置错误、安全等级低的 Linux 设备,在锁定之后,使用暴力破解 " 算号 " 的方式入侵。 一旦...
- 43阅读
被罚100万的背后:《数据安全法》究竟如何遵守
2023年3月,浙江温州公安网安部门根据《中华人民共和国数据安全法》第四十五条的规定,对某科技公司及项目主管人员、直接责任人员分别作出罚款100万元、8万元、6万元的行政处罚。主要原因是该科技有限公司在为浙江某县级市政府部门开发运维信息管理系统的过程中,在未经建设单位同意的情况下,将建设单位采集的敏...
- 44阅读
把脉医院数字化转型安全,默安科技开出“等保+”良方
随着物联网、大数据、人工智能等新技术的发展,国家深化医疗改革政策的不断推进,医疗行业逐步迈向信息化、数字化阶段。在线问诊、电子病历、AI影像等医疗服务带来便利的同时,也引入了新的网络安全风险,医疗机构面临更加严峻的网络安全挑战。本文将围绕医院在数字化转型进程中的安全挑战、解决方案和典型实践展开分享。...
- 46阅读
关于网络安全里蜜罐的详细介绍
关于网络安全里蜜罐的详细介绍 蜜罐的定义 蜜罐的一个定义来自间谍世界,玛塔哈里 (Mata Hari) 式的间谍将恋爱关系用作窃取秘密的方式,被描述为设置“美人计”或“蜜罐”。经常会有敌方间谍中了美人计,然后被迫交待他/她所知道的一切。 在计算机安全方面,网络蜜罐的工作原理与此类似,是为黑客设下的诱...
- 44阅读
美创科技 - 数据库防水坝产品简介
数据库防水坝产品简介 数据库防水坝是一款满足用户数据库安全运维管理需求,集数据库准入、应用访问控制、数据库脱敏、运维审计等多种功能一体的产品。该产品满足数据库运维安全管理,符合运维安全内部控制和法规法令(等级保护、网络安全法、企业内控条例等)的要求,本产品在政府、金融、医疗、社保等行业广泛应用,保障...
- 84阅读
Webshell的检测与分析
webshell的概念 webshell就是以asp、php、jsp或者cgi等网页文件形式存在的一种代码执行环境,也可以将其称做为一种网页后门。黑客在入侵了一个网站后,通常会将asp或php后门文件与网站服务器WEB目录下正常的网页文件混在一起,然后就可以使用浏览器来访问asp或者php后门,得到...
- 27阅读
网络安全新手必备的10个高效工具
1、Burp Suite Burp Suite是Web应用程序测试的最佳工具之一,其多种功能可以帮助白帽子们处理各种任务,包括请求的拦截和修改、扫描web应用程序漏洞、暴力破解登陆表单等。Burp Suite设置了众多接口,以便可加快安全人员渗透测试的过程。所有工具都共享一个请求,并能处理对应的HT...
- 116阅读
明鉴密码应用安全检测评估系统 | 安恒密评工具箱
产品概述 明鉴密码应用安全检测评估系统(以下简称:密评工具箱)是信息系统运营单位开展密码测评工作的一体化专用设备,具有规范检查、工具调用、结果展示等功能,集成定制有专门的密码安全检查工具,为密码检查、测评工作提供专业检查知识和检查方法,并实现对获取数据的关联分析、统计比对、处理流转等功能,提高密码检...
- 44阅读
瀛联科技·商用密码测评工具 | 密评工具箱
产品概述 随着《信息系统密码应用测评要求》等指导性文件的出台,提升密码应⽤安全性测评(以下简称“密评”)工作的效率、完善密评手段势在必行。瀛联商用密码安全性评估测评工具,作为移动便携式信息系统密码应用安全性合规自查、测评、检查专用一体化设备,可一键汇集密评工具检查结果,自动判断密评合规情况、打分形成...
- 56阅读
商密应用评估便携式工具箱 | 纽创信安密评工具箱
密评工具箱 商密应用评估便携式工具箱(简称“密评工具箱”),是专门针对测评人员进行现场测试打造的移动便携式工业笔记本。密评工具箱将密评检测项目进行工具化实现,通过现场采集样本数据来分析判断目标系统是否使用了商用密码,以及商用密码的使用是否安全合规。产品优势工具全面有效支撑现场密码测评。 ...
- 11阅读
网络安全审计之syslog基础
01 概述 网络安全审计是指对网络信息系统的安全相关活动信息进行获取、记录、存储、分析和利用的工作。网络安全审计的作用在于建立“事后”安全保障措施,保存网络安全事件及行为信息,为网络安全事件分析提供线索及证据,以便于发现潜在的网络安全威胁行为,开展网络安全风险分析及管理。 常见的网络安全审计方式,采...
- 4阅读
不只是云原生!下一代SIEM需要具备的七种能力
今天,SIEM(安全信息事件管理)系统已经成为企业安全团队日常处理威胁事件的最优先选项之一,不仅可以从IT基础架构中的海量信息资源中收集和分析各种攻击活动,同时也是组织实现安全自动化、DevSecOps、态势感知等安全管理和运营技术的基础。 然而,随着以零日攻击为代表的高级威胁大量出现后,SI...
