信息系统项目管理师

安全攻防

代码在线跑，知识轻松学

Python精品学习库

自行/邀约他人一键搬运博客，速成社区影响力并领取好礼

博客搬家 | 分享价值百万资源包

往期视频·干货材料·成员作品 最新动态

技术创作特训营·精选知识专栏

新邀入驻腾讯云开发者社区，福利多多！

如何运用「云、端融合的数智化安全体系」高效护航数据安全

左手AI，右手安全 —— 一汽丰田数字化转型之路

技术岗里，开发、运维，都没有落地这个说法，唯独安全有落地这个说法。这是因为，开发及运维工作的落地，不需要其他部门配合，自己部门本身具备一切落地的要素。哪怕是体系化的复杂一些的工作，比如重构，也不需要其他部门的配合。而体系化的企业安全建设里，落地建设就离不开其他部门的配合。单应用安全里的SDL，其落地就折磨了数不清的安全从业者。

企业安全落地思考

业务安全的目的在于，让业务正常开展，持续提供预期的服务。业务安全工作，是围绕着业务构建一系列安全风控的制度、工作流、系统、工具、风控规则、运营体系。

企业业务安全思考

信息安全里面的供应链安全，是狭义范围的供应链安全，其最终安全问题是体现在应用系统上的问题。供应链的软件组件会持续支撑整个应用系统的生命周期，如果组件出现问题，会直接影响到应用系统的可用性安全性。应用系统的供应链安全，实际上是由三个部分组成的。分别是应用安全里面软件开发中的依赖包（log4j），基础安全里面的应用运行组件（phpstudy），办公安全里的开发IDE（xcodeghost）。

企业供应链安全体系建设思考

相对于应用安全及基础IT设施安全，数据安全是一个新兴生态。里面的安全从业者，方法论，工具等都是非常贫乏的。比如应用安全，有burp，sqlmap，waf，扫描器，代码审计，字典等等工具。基础安全，有NMAP，osssec，hydra，nids，onlydebug等等工具。数据安全的工具，就数不出来几个了。数据安全里面，我们需要帮助数据梳理的工具，有帮助数据分类分级的工具，有帮助数据解析（AI关联价值分析）的工具，有帮助文件解析的工具（非结构化数据），然而市面上，其实并没有这些工具。当然，可能有数据安全的从业者有一些自己的脚本积累。

企业数据安全落地思考

数据安全的保护对象是公司的信息数据。信息数据有各种表现形式，如结构化数据（sql,json）及非结构化数据（图片，音频视频，office文档）。按作用类型分类，可分为客户数据，员工数据，业务数据，财务数据，权限数据，代码数据等。当然更准确的分类方式要根据各公司自己的具体情况进行。拿个人来说，数据安全有财不外露、不怕贼偷就怕贼惦记的俗理。拿企业来说，不管是古代的账房先生，还是现代企业的财务部门，都是老板极为信任的人才能担任。随着互联网发展，黑灰产发展，以及国家立法的要求，个人及企业对数据保护的要求在提高，范围在扩大。而且在监管层面，对数据安全的监管检查，也慢慢变成了新的监管重点。

企业数据安全体系建设思考

基础安全的保护对象，是公司的基础IT设施，类型有IT资产或IT服务。比如资产有服务器、域名、ip等，服务有网络、数据库、云服务等。黑客可通过应用间接攻击或互联网直接攻击公司的基础IT资源或基础服务，基础IT资产受到攻击，可导致应用安全，业务安全，数据安全等多方面的安全问题。

企业基础IT安全体系建设思考

网络安全的建设工作，不是安全部门自己能完全掌控的，安全部门发现问题，但是问题的整改，还是需要其他部门进行落地整改。不管是整体企业的网络安全建设，还是单一方面的应用安全建设，都是需要多部门协同配合的工作。而多部门的协同配合，在任何项目，任何工作，任何公司，都是一件很麻烦的事情。为了解决其中的麻烦，国外最早出现了PMO（项目管理办公室）这个角色，国内有些大公司也开设PMO（项目管理办公室）岗位。但是对于一些中小公司，就没有专门的PMO（项目管理办公室）。

企业应用安全的落地思考

应用安全的保护对象是应用系统，应用系统有各种表现形式，如Web、APP、小程序、客户端、系统等。应用安全就是围绕着这些应用的安全建设工作。通常状态下，特别是C端的应用，公司业务跟应用都呈现了非常大的绑定关系。应用能够直接影响公司业务，所以应用的安全性，也越来越受到企业重视，其重要程度也往往排在安全方面的首要位置。随着互联网产业对人民的影响，国家层次上的好多基础服务业务也有了互联网应用。因为黑灰产的危害，导致着国家立法去应对互联网犯罪行为，立法又导致着企业进行应用的安全建设。比如《网络安全法》规定了等级保护制度，国内所有系统都必须做等保。

企业应用安全体系建设思考

办公安全的保护对象是公司的一切，不安全的办公行为，可能导致公司各方面的损失。比如“临时工使用公司账号发布不当言论”，“永恒之蓝大范围感染办公电脑”，“Xcodeghost病毒自动给APP安装后门”，“员工删库跑路”，“内鬼买卖客户信息”，“专利泄露”等等。种种行为分别对应着办公网络安全，办公终端安全，办公系统安全、办公工作流安全、员工意识安全、行为安全、身份权限安全等。

企业办公安全体系建设思考

第一阶段，企业的IT化建设。这时候互联网技术刚刚起步，企业刚刚开始探索互联网技术的应用。所以最先出现的应用是提高办公效率的内部办公系统，如ERP，OA，CRM系统。系统多是CS架构，服务器放在办公区本地机房。此时企业面临的安全威胁以电脑病毒为主，对应的安全需求就是基础IT设施的安全。

企业网络安全体系建设思考

Redis是一个基于内存的数据库，它的数据是存放在内存中，内存有个问题就是关闭服务或者断电会丢失。Redis的数据也支持写到硬盘中，这个过程就叫做持久化。

Redis持久化

Jedis操作Redis1、引入maven依赖<dependency><groupId>redis.clients</groupId><artifactId>jedis</artifactId><version>4.2.1</version></dependency>2、使用api操作redisimport org.junit.After;import org.junit.Before;import org.junit.Test;import redis.clients.jedis.Jedis;import

SpringBoot整合Redis

String类型是Redis最基本的数据类型，一个Redis中字符串value最多可以是512M。String的数据结构为简单动态字符串，采用分配冗余空间的方式来减少内存的频繁分配。

Redis 安装和数据类型

systemd服务文件以.service结尾。如果用yum install命令安装的，yum命令会自动创建nginx.service文件可以直接使用systemctl相关命令。而用源码编译安装的，则需要手动创建nginx.service服务文件。

Nginx应用场景

Authentication（认证） 是验证您的身份的凭据（例如用户名/用户 ID 和密码），通过这个凭据，系统得以知道你就是你，也就是说系统存在你这个用户。

认证授权

工具与技术：访谈、焦点小组、引导式研讨会、群体创新技术、群体决策技术、问卷调查、观察、原型法、标杆对照、系统交互图、文件分析

项目管理核心内容

soap注入在webservice的soap协议，连接web服务和客户端的接口处的注入，通过在发送的soap消息参数内添加注入语句来达到注入效果

soap 注入

相信在甲方公司（大中型）的信息安全从业人员都会有同样的困境-公司的信息系统资产（已知资产/未知资产）不可管理，信息系统资产漏洞百出，安全设备告警无暇研判。要突破这种困境就需要在信息系统上线之前以自查的形式来形成一种上线流程规范，以规范化的流程促进安全管理。

以检查促规范，以规范促安全

文章

问答

视频

学习中心

腾讯云实验室

直播

竞赛

腾讯云代码分析专区

腾讯iOA零信任安全管理系统专区

腾讯云架构师技术同盟交流圈

腾讯云数据库专区

腾讯云顾问专区

腾讯云原生专区

腾讯混元专区

腾讯云TCE专区

腾讯云Lighthouse专区

腾讯云HAI专区

腾讯云Edgeone专区

腾讯云存储专区

腾讯云智能专区

腾讯轻联专区 

腾讯云开发专区

TAPD专区

腾讯轻量云游戏服专区

腾讯云最具价值专家

腾讯云架构师技术同盟

腾讯云创作之星

腾讯云开发者先锋 

腾讯云代码助手

CODING DevOps

Cloud Studio

SDK中心

API中心

命令行工具

腾讯云开发者社区推出了安全攻防专栏，为你提供了安全攻防的相关文章，致力于帮助开发者快速成长与发展。

安全攻防

社区

活动

圈层

关于

腾讯云开发者

热门产品

热门推荐

更多推荐