展开

关键词

盈世:邮件系统互联网安全中的应用

主持人: 云安全一直是所有人最关注的一个环节。这方面,拥有终端用户6亿,中国用户实际使用最广泛的电子邮件系统提供商盈世有着深厚的理解。 接下来,盈世信息科技(北京)有限公司副总裁吴秀诚将为我们带来:邮件系统互联网安全中的应用;掌声欢迎! 吴秀诚: 各位来宾,各位朋友,大家下午好! 如果客户把所有的数据和 信息都租赁在你的系统上,假如你的系统安全,把信息丢了,后果是非常大的,这也是云今天发展在前几年一直比较缓慢的因素。 我们的邮件系统全部用了全镜像异地容灾系统 ,而且不再一个地方,物理上都不在一个城市。这样保证物理上有镜像,甚至很极端的情况系统不受影响,保证系统安全。 随着系统的发展,我相信越来越多的客户会觉得 他好用。 现在其实大家都知道,今天的主题也是邮件的安全安全是非常重要的原则。

64630

安全摘记 | 互联网安全小兵的日常

于是,我来到了甲方,成为了一个互联网安全小兵。 在乙方Web安全研究团队的时候,可能更关注于某一方向的安全技术,像一个侠客的角色。 而到了互联网公司,也算甲方了,那么我们安全工程师不光要关注安全技术本身,更重要的是要理解安全和业务的关系,这时候我们要有一个建设者的意识,要思考如何帮助我们的产品更健壮,让我们的业务更健康。 因为,对于线上的系统,正常情况下,我们首先要保证的是系统的可用性。想象一下如果电商服务器因为你的测试异常导致宕机5分钟(损失就不说了),这就造成了安全事故。 所以,对于互联网安全建设者来说,不光要考虑技术,还有纪律! 而作为互联网公司安全工作者,我们不能光要求小伙伴怎样做,我们自己也应该去践行“安全是产品的一个重要属性”这一理念。

36190
  • 广告
    关闭

    一大波轻量级工具升级重磅来袭

    代码传递思想,技术创造回响!Techo Day热忱欢迎每一位开发者的参与!

  • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    互联网安全小案例

    写过一篇《互联网安全知多少》,内容主要参考了道哥的白帽子一书,本文来篇实际小案例实战下。 ---- 跨域请求为什么被浏览器限制? 当然是因为它有安全漏洞啊! 跨域的基本知识就说这么多,下面进入安全演练。 这个问题归类的话就是安全领域的一个大类“反序列化漏洞”。 Java平台是通过使用JVM序列化(java.jo.ObjectlnputStream), 攻击者可以传递类的实例(字节流可以触发某个在classpath上的类的安装)诱使readObject 方法执行系统命令 结语 安全的内容多如繁星,每次想写的课题一大堆,比如HTTPS安全,渗透,hijack等等。这次先挤这么多,咱们下次再约。

    31940

    浅谈互联网隐私安全

    进入21世纪以来,我国互联网快速发展,尤其是移动互联网进一步推动这种速度,很快我们发现,如今的互联网已经与当初的截然不同,电商购物、地图导航、移动支付、炒股理财、网络约车、政务办公、充值缴费等等,似乎一切都能在互联网上完成 为了保护自身安全,我们用简单粗暴的方法将社会群体划分为“熟人”和“陌生人”,而这两者则对应“安全”和“非安全”两种状态。 为了解决用户记忆门槛,提升安全性,目前很多支付应用都加入指纹支付功能,而这一功能似乎成了目前智能机的标配。 ? 按照支付宝、华为推出的指纹支付标准,指纹支付采用“硬件厂+服务商”的模式,用户录入的指纹数据将保存在本地的安全硬件中,不会存储到任何服务器和云端。 笔者曾将写的《WinPcap开发(三):欺骗与攻击》一文也曾分析过这类免费公共wifi的安全隐患,这便是一种不安全链路的类型。 下图是某网站首页上的邮箱地址: ?

    3.1K80

    互联网安全知多少

    不攻击你一下,都不知道你的系统有多脆弱! image.png 当今互联网行业,特别是初创公司雨后春笋般,大部分公司对安全的重视、投入或者理解都是不足的。 最近把道哥的《白帽子讲Web安全》重新翻了翻,挑出一些比较容易被忽视的点给大家也给自己刷新一下#安全#观念。 黑名单是非常不好的设计思想 设计安全方案 -白帽子兵法 1 Secure By Default 原则 设计安全方案的基本原则,中文翻译“默认安全”不太好理解,其实就包含两层含义:白名单/黑名单思想,和最小权限原则 强调字符编码的一致性真的不仅仅是为了看起来/运行起来不乱码而已 Character Encoding Consistency 编码问题 Encoding.png 现而今互联网应用普遍会要求研发环境所有字符编码必须是 CRC.png 结语 互联网安全是个很大的话题,白帽子一书中将其划分成四大部分:世界观安全、客户端脚本安全、服务器端应用安全、公司安全运营(业务安全),身为互联网人, 安全防范, 责无旁贷。

    48630

    互联网金融的信息安全(二)安全需求

    未来互联网安全需求的八大方面 01 基于风险的自适应身份认证 基于风险自适应识别和身份认证将受到欢迎,它允许组织基于多因素决定控制级别。 08供应商第三方的安全管理 控制好用户身份纳入正常管理 互联网IT管理框架 身份识别特别重要,不管是外部用户还是内部用户,还是运维体系、研发体系、整个身份识别控制、人力资源的管理、入职留离职变转岗等等 互联网金融相关操作 平行越权查询 敏感信息防泄漏 不管是内部人员还是第三方,访问系统没有固定的设施,没有固定的网络隔离,有输入输出信息的交互,放在一个能被访问系统的边缘,必定会产生泄露风险。 风控规则IP地址合法性(dialing、V**、服务地址) 基于时间维度习惯分析 机器操作 短信验证码频 设备指纹(用户真实性核查依据、羊毛党识别) 羊毛党 将来风控系统和正常业务系统是并列的 信息安全在逐渐融入业务时,所有的终端监控是运营部门在做,前端问题是安全部门在关注,企业在面临整个行业生态的威胁。 以上内容参考安全牛课堂《互联网金融的信息安全

    40520

    系统加固-系统服务安全

    第二步:打开虚拟机Windows server 2008 R2,进入到系统桌面。 第三步:在任务栏中点击开始,找到管理工具点击服务。 第四步:在服务界面中找到workstation并且右键点击属性。

    15210

    系统加固-系统漏洞安全

    第二步:打开虚拟机Windows server 2008 R2,进入到系统桌面。 第三步:在任务栏中点击开始,在搜索栏中输入gpedit.msc进入本地组策略编辑器。 第四步:在安全选项中双击”关机:清除虚拟内存页面文件”。(路径为:本地计算机配置/windows设置/安全设置/安全选项) 第五步:在关机:清除虚拟内存页面文件 属性界面中点击已启用,点击应用即可。 第六步:在本地组策略编辑器中看查安全设置状态。 第七步:打开命令指示符输入gpupdate进行组策略更新启用。

    20300

    “工业互联网+安全生产”,提升工业企业安全水平

    工业生产,安全第一,虽然我们一再强调,但安全事故的发生往往是无法预免的,去年,据应急管理部会商核定,全国共发生各类生产安全事故3.46万起、死亡2.63万人,面对这种情况,国家也发行了相关政策,在《工业互联网专项工作组 2022年工作计划》中指出,要持续深化“工业互联网+安全生产”,构建“工业互联网+安全生产”支撑体系,提升工业企业安全生产水平,那么到底该如何实现呢? 科技在进步,为了避免生产安全事故的发生,不能仅仅只靠自己的眼睛去排除故障,更要相信科学的数据分析,通过数据来反映设备的具体情况,只有这样才能不放过任何一个细微的毛病,保障生产安全

    12120

    2014年互联网安全年报

    显示出最高层保障网络安全、维护国家利益、推送信息化发展的决心。网络安全和信息化建设已经上升为国家重大战略。同时,习主席第一次系统、完整地提出了中国的互联网治理观。 据安恒信息世界互联网大会网络安全技术保障团队统计,截止到2014年11月21日13:00世界互联网大会结束,部署在世界互联网大会新闻官网中的WAF防护系统共防护了277531次严重攻击,大部分为SQL注入攻击 2.国际互联网安全十大热点事件 WindowsXP停服 ? 服役13年的微软Windows XP系统于2014年4月8日正式“退休”。尽管这之后XP系统仍可以继续使用,但微软不再提供官方服务支持。 这家安全机构透露称,持续两年的调查发现来自伊朗的黑客曾成功入侵了包括韩国、阿联酋、巴基斯坦在内多个商业航空公司的安全系统。 作为现在互联网Web应用系统最经常被利用且影响最严重的漏洞,SQL注入漏洞和XSS跨站脚本漏洞仍然是年互联网安全威胁的重要攻击方式,WebDev和Strurs2漏洞威胁依然存在于较多的政府网站与商业网站

    65850

    互联网企业安全之端口监控

    背景 外网端口监控系统是整个安全体系中非常重要的一环,它就像眼睛一样,时刻监控外网端口开放情况,并且在发现高危端口时能够及时提醒安全、运维人员做出相应处理。 对安全人员来说,互联网公司在快速发展壮大的过程中,外网边界的管控容易出现照顾不全的现象。 系统漏洞扫描器联动 对于非安全的同学来说,他们会很难理解一个外网开放端口能造成多大的危害,所以经常会出现当安全人员找到他们的时候,他们不认为这是一个安全问题,因此沟通起来会有点麻烦。 Web漏洞扫描器联动 通常情况下我们会认为,新增Web端口对外是可以接受的,但这是建立在对应的Web系统通过了完整的内部安全测试的前提下。 结语 本文主要介绍美团点评安全团队对外网端口监控系统的开发演进过程,整理总结了其中的一些实践经验以及前景展望。欢迎大家批评指正,有好的建议也希望能提出来帮助我们改进。

    1K161

    互联网+”时代呼唤构建互联网生态安全全局观

    4月25日,“互联网+时代的探索与思考——2015腾讯研究院年度报告发布会”在京举办。腾讯研究院安全研究中心在会上发布了“中国互联网行业新安全挑战与治理态势研究报告”。 腾讯研究院首席研究员李凯龙对该报告进行了详细讲解,他重点讲述了我国互联网行业安全面临的“三大威胁”与安全事故的“三大特征”以及应对建议,呼吁互联网行业建立生态安全全局观,从互联网的发展和整体生态系统出发解决互联网安全问题 我国互联网行业安全面临哪些威胁是业界和舆论关注的重点。 在企业治理方面,应构建面向以网络安全为导向的组织架构,互联网企业应打破数据孤岛,以协同机制破解安全困境以技术构建网络安全第一屏障。 在用户网络安全意识教育方面,社会多元力量应相互协同,多层次、全方位推进用户网络安全意识教育工作。政府、互联网企业和用户三方应共同发力,共同构建互联网生态安全全局观。

    58460

    互联网运维安全总结

    出口安全 不轻易暴露外网ip和服务端口; 使用防火墙和路由器以及云上的NAT网络,只映射web服务、V**,其他暴露服务进行都进行访问控制 web请求服务器时通过CDN 服务既提高静态资源加载速度 ,同时也隐藏了真实的源地址 系统安全 Linux 使用iptables定制白名单策略访问策略 Windows 通过防火墙策略和组策略->ip策略控制服务 Linux系统自带访问控制配置:白名单/etc /hosts.allow、黑名单/etc/hosts.deny 登录审计 堡垒机让线上操作更加谨慎,事后追溯有据可查 安全平台 业务入口安全 web应用防火墙:阿里云waf应用防火墙,nginx 软waf 内网安全自动扫描,白盒监测 监控和预警 监控平台流量异常、登录异常预警 日志平台日志告警 本地安全 物理门禁限制外来人员 网络vlan隔离部门、dhcp snooping信任指定接口dhcp 服务器、固定设备arp双向绑定 内部管理:员工安全意识

    48720

    互联网智能广告系统架构(业务+系统

    互联网智能广告系统架构 ? 2)广告点击行为:此时广告系统会对广告主进行扣费 二、系统简述 从系统分层架构上看,智能广告系统,主要分为三层: 1)站点层:用户和广告主直接面向的网站站点 2)服务层:为了实现智能广告的业务逻辑,提供的通用服务 ,但由于反作弊服务功能相对比较独立,和广告业务看似关系又不大,故未在架构图中画出 3)数据层:用户数据,广告数据,竞价数据,日志数据等等等等 三、互联网智能广告的业务流程 光讲架构不直观,下面通过一系列的例子 ,帮助大家更好的理解智能广告,以及智能广告系统。 既然bid*CTR是所有广告综合打分的依据,且出价bid又是广告主实现设定好的,那么实际上,问题的核心又转向了广告CTR的预测,CTR预测是推荐系统、广告系统、搜索系统里非常重要的一部分,是一个工程,算法

    2K60

    系统加固-端口安全

    第二步:打开虚拟机Windows server 2008 R2,进入到系统桌面。 第三步:点击键盘的windows键+R,打开运行框并且在里面输入regedit。点击确定后,进入注册表编辑器。

    16500

    腾讯安全和滴滴安全联合共建“互联网安全联合实验室”

    7月30日,在第五届全球互联网安全领袖峰会(CSS 2019)上,腾讯安全和滴滴安全正式宣布将共建“互联网安全联合实验室”。 腾讯副总裁丁珂表示,希望此次通过成立互联网安全联合实验室,能进一步加强和滴滴在安全能力上的合作,实现行业生态共享,并提升双方在出行行业的互联网安全能力,切实为智慧出行行业解决安全问题,打造出更加适合智慧出行行业的安全解决方案 此次成立网络安全联合实验室,也被认为是腾讯安全和滴滴安全产品技术部在互联网安全领域合作的进一步深化,共同推动智慧出行安全发展。 同时,在基础安全方面,腾讯安全已经推出大禹DDoS防护、网站管家(WAF)、数盾企业数据安全综合治理中心,以及基于业务安全打造的天御风控系统,在泛金融、泛互联网、智慧零售等领域都有非常好的实践和应用。 针对此次合作,滴滴信息安全战略副总裁弓峰敏表示: “ 腾讯安全在攻防能力建设,汽车安全系统性评估,交易反作弊等领域积累的经验,是众所周知的。而腾讯对共建合作生态的投入,与滴滴的思路不谋而和。

    35720

    安全: Linux 系统安全简单设置

    20000 systemctl restart sshd.service netstat -tulnp|grep sshd Protocol 2 MaxAuthTries 3 MaxSessions 2 系统账号安全 system-auth session required pam_loginuid.so查看用户登录失败次数pam_tally2 --user mw解锁指定用户pam_tally2 -r -u mw 内网安全

    28420

    系统安全系统保护设计

    系统安全系统保护设计 要保证数据安全系统稳定可用,我们应当全方位地对系统进行保护,这里主要分为两个层面。 一是系统安全方面,这主要是面向非法入侵、非法请求的。 第一部分:系统安全设计 对于系统安全防范,需要从全方位、多角度做工作,以确保整个业务链路、整个体系范围都能保证安全。以下就从多个角度来说明如何进行系统安全设计。 由于已经直接触达服务器本身,因此这也是整个系统安全最高危的部分。 运行账户 为减少由于我们的服务被攻击之后造成的损失,减小影响面。 可能我们花了很大的力气做了系统安全加固,缺忘记了日志里往往也存在大量的敏感信息,导致信息通过日志被泄露了。那么在开发时,我们需要时刻注意日志内容,不应当有敏感信息。 总结 以上简略地描述了做好系统安全设计和系统保护设计需要做的工作,具体没有展开。

    3.1K11

    互联网公司数据安全保护新探索

    例如数据安全生命周期提出,首先要对数据进行分类分级,然后才是保护。但互联网公司基本上都是野蛮生长,发展壮大以后才发现数据安全的问题。 因此,互联网公司迫切需要一些符合自身特点的手段,来进行数据安全保障。为此,美团点评信息安全中心进行了一些具体层面的探索。这些探索映射到IT的层面,主要包括应用系统和数据仓库,接下来我们分别阐述。 一、应用系统 应用系统分为两块,一是对抗外部攻击,是多数公司都有的安全意识,但意识不等于能力,这是一个负责任企业的基本功。 也可以是内部的,互联网公司总会有若干条业务线服务一个客户,这就要看安全人员的数据敏感度了,哪些数据能为自己所用。 1.5 数据脱敏 在应用系统中,总会有很多用户敏感数据。 Coming Soon 《个人信息保护关键点识别与思考》 《美团点评千亿量级WAF是如何打造的》 《海量IDC下的分布式入侵感知系统设计与实现》 《大型互联网安全体系成熟度度量》

    68091

    互联网+”时代政企行业信息安全何去何从?

    传统信息安全防御手段在“互联网+”时代变得不堪一击,政企行业信息安全当何去何从?在日前召开的2015阿里安全峰会上,安恒信息总裁范渊给出了答案。    范渊认为,政企行业最大的安全隐患很大一部分是在应用安全和业务安全方面,而进入到“互联网+”时代所面临的安全威胁没有实质上的变化,但在安全防御上却是要依赖于企业整体安全体系的防护,单一的安全防护已无法确保企业的安全 另一方面,除了在云端的应用和业务成为了政企用户的防护重点,企业内部的安全依然非常重要。   如何解决“互联网+”时代的信息安全难题,成为政企用户关注的焦点。 在阿里安全峰会上范渊分享了安恒信息近几年来安全防护上的最佳实践和成功经验,从云化、大数据化、移动化三个变化趋势全面解析了“互联网+”时代的安全应对方案。 范渊以国家电子政务外网最新的政务移动化办公--国信通系统为例介绍了移动化所带来的趋势和安全挑战。

    56140

    相关产品

    • iOA 零信任安全管理系统

      iOA 零信任安全管理系统

      腾讯云零信任无边界访问控制系统(ZTAC)是根据腾讯自身无边界零信任企业网的最佳实践,所推出的终端访问控制方案。依赖可信终端、可信身份、可信应用三大核心能力,实现终端在任意网络环境中安全、稳定、高效地访问企业资源及数据。

    相关资讯

    热门标签

    活动推荐

      运营活动

      活动名称
      广告关闭

      扫码关注云+社区

      领取腾讯云代金券