分类： 安全

信息安全等级保护制度的由来 随着计算机网络的普及，我们的日常生活越来越离不开它们，可是怎么样保护我们的计算机和网络安全不受外界攻击呢？ 为了保护信息的安全，我国实行对信息及信息载体按照重要性等级分别进行保护，也就是信息安全等级保护制度。 1994年，《中华人民共和国计算机信息系统安全保护条例》规定计算机信息系统实行安全等级保护。 2007年，《信息安全等级保护管理办法》规范了信息安全等级保护工作。...

2023年4月的某一天，腾讯安全专家Leo正在为某家医院的重保防护做第一轮的安全风险排查。 医院的专用APP是外部网络访问最高的，也就是最大的风险敞口，需要重点排查。 Leo下载APP进行测试后，发现该医院存在一个严重的问题，可能导致百万级敏感数据泄露…… 他发现医院APP存在GraphQL接口，可通过其自省功能获取所有API接口。 GraphQL是目前最为流行的查询语言之一，它能够让API变得轻...

网络安全建设效果检验，还得看攻防演练。网络安全实战攻防演练因攻防双方是在真实的网络环境中开展对抗，更贴近事实，成为检验关键信息基础设施系统网络安全防护能力的常态化方式。 尽管很多单位组织在各种大大小小的攻防演练中练就了一身铜墙铁壁，但随着组织数字化进程的加快以及业务的迅速发展，总有一些跟不上变化的风险点拖了后腿。今天就一起盘一盘那些在实战攻防能力建设过程中容易被忽略的风险点并提供相应的防护策略。 ...

在开展渗透测试工作中，有一些非常经典的渗透测试框架，它们提供了一套标准化的测试指导方针和推荐工具，帮助测试者跨不同的网络和安全环境开展更有效的渗透测试。尽管企业组织也可以自行构建测试框架，但是在大多数情况下，如果不依靠成熟的渗透测试框架来规范测试流程、测试工具和战术方法，企业的渗透测试工作可能很难取得成功。 对于渗透测试工作来说，可重复性、可扩展性以及可持续性非常重要，特别是随着组织信息化应用和网...

截至2021年4月，通过国家密码管理局审批的商用密码通用产品有2400余款，形成了从芯片、板卡、整机到系统和服务的完整产业链。那么商用密码产品都有哪些呢？下面为大家介绍35类主流商用密码产品。 01.TF密码卡 具有数字证书存储、身份认证、数字签名和数据加密存储，那么密码产品有哪些呢？我们进行一个简单的罗列。产品应用于手机、PDA、GPS、警务通、执法仪、笔记本电脑等智能移动电子设备中，作为强身份...

2023年6月5日，OWASP正式发布了2023版API安全Top 10列表。首版 OWASP API Security Top 10 发布于2019年，今年2月时，OWASP曾发布过一个候选版（Candidate），现在终于等到了正式稳定版（stable version）。 该列表与2019版有许多相似之处，但也进行了一些重组/重新定义并引入了一些新概念。威胁和风险在几年内都不会发生剧烈变化；但...

IT 之家 6 月 27 日消息，微软安全部门近日发布研究称，黑客目前正在利用 OpenSSH 的进行攻击，此类攻击主要针对 Linux 终端用户。 据悉，黑客在互联网中 " 广撒网 "，搜索端口配置错误、安全等级低的 Linux 设备，在锁定之后，使用暴力破解 " 算号 " 的方式入侵。 一旦入侵成功后，黑客便会停用终端中的 Shell 事件记录，并从黑客自己的服务器中下载经过修改的 OpenS...

2023年3月，浙江温州公安网安部门根据《中华人民共和国数据安全法》第四十五条的规定，对某科技公司及项目主管人员、直接责任人员分别作出罚款100万元、8万元、6万元的行政处罚。主要原因是该科技有限公司在为浙江某县级市政府部门开发运维信息管理系统的过程中，在未经建设单位同意的情况下，将建设单位采集的敏感业务数据擅自上传至租用的公有云服务器上，且未采取安全保护措施，造成了严重的数据泄露。 从该案例可以...

随着物联网、大数据、人工智能等新技术的发展，国家深化医疗改革政策的不断推进，医疗行业逐步迈向信息化、数字化阶段。在线问诊、电子病历、AI影像等医疗服务带来便利的同时，也引入了新的网络安全风险，医疗机构面临更加严峻的网络安全挑战。本文将围绕医院在数字化转型进程中的安全挑战、解决方案和典型实践展开分享。 HCIS阶段下，需要更主动有效的网络安全策略 目前，国内医院信息化建设处于临床管理信息化（HCIS...

蜜罐的定义 蜜罐的一个定义来自间谍世界，玛塔哈里 (Mata Hari) 式的间谍将恋爱关系用作窃取秘密的方式，被描述为设置“美人计”或“蜜罐”。经常会有敌方间谍中了美人计，然后被迫交待他/她所知道的一切。 在计算机安全方面，网络蜜罐的工作原理与此类似，是为黑客设下的诱饵。这是一种具有牺牲性质的计算机系统，旨在吸引网络攻击，就像诱饵一样。它模仿黑客的目标，利用黑客的入侵企图来获取网络犯罪分子的信息...

数据库防水坝产品简介 数据库防水坝是一款满足用户数据库安全运维管理需求，集数据库准入、应用访问控制、数据库脱敏、运维审计等多种功能一体的产品。该产品满足数据库运维安全管理，符合运维安全内部控制和法规法令（等级保护、网络安全法、企业内控条例等）的要求，本产品在政府、金融、医疗、社保等行业广泛应用，保障用户的重要敏感资产信息不泄露。 数据库防水坝系统主要解决当前复杂的运维环境，从源头上对运维人员和业务...

webshell的概念 webshell就是以asp、php、jsp或者cgi等网页文件形式存在的一种代码执行环境，也可以将其称做为一种网页后门。黑客在入侵了一个网站后，通常会将asp或php后门文件与网站服务器WEB目录下正常的网页文件混在一起，然后就可以使用浏览器来访问asp或者php后门，得到一个命令执行环境，以达到控制网站服务器的目的。 顾名思义，“web”的含义是显然需要服务器开放web...

1、Burp Suite Burp Suite是Web应用程序测试的最佳工具之一，其多种功能可以帮助白帽子们处理各种任务，包括请求的拦截和修改、扫描web应用程序漏洞、暴力破解登陆表单等。Burp Suite设置了众多接口，以便可加快安全人员渗透测试的过程。所有工具都共享一个请求，并能处理对应的HTTP消息、持久性、认证、代理、日志、警报。 对于白帽们来说，Burp Suite的功能既全又强，其中...

产品概述 明鉴密码应用安全检测评估系统（以下简称：密评工具箱）是信息系统运营单位开展密码测评工作的一体化专用设备，具有规范检查、工具调用、结果展示等功能，集成定制有专门的密码安全检查工具，为密码检查、测评工作提供专业检查知识和检查方法，并实现对获取数据的关联分析、统计比对、处理流转等功能，提高密码检查、测评工作的标准化、规范化和专业化水平。 明鉴密码应用安全检测评估系统是安恒信息技术股份有限公司经...

密评工具箱概述 随着《信息系统密码应用测评要求》等指导性文件的出台，提升密码应⽤安全性测评（以下简称“密评”）工作的效率、完善密评手段势在必行。瀛联商用密码安全性评估测评工具，作为移动便携式信息系统密码应用安全性合规自查、测评、检查专用一体化设备，可一键汇集密评工具检查结果，自动判断密评合规情况、打分形成报告，由此提升密评工作的效率、规范测评过程、使测评内容更全面、密评工作更高效。该工具适用于各类...