展开

关键词

基础

变更控制(进程完整性)访问控制(物理和技术)数字签名传输CRC校验(Cyclic Redundancy Check, CRC)机密性(confidentiality)确保在数据处理的每一个步骤都实施了必要的保护并阻止的未授权访问 威胁机密性的方式包括攻击者通过网络监控、肩窥(越过别人肩膀浏览未授权的)、盗取密码以及社会工程(欺骗他人共享敏感以获取敏感的访问)等方法获取敏感数据。 威胁机密性的方式包括攻击者通过网络监控、肩窥(越过别人肩膀浏览未授权的)、盗取密码以及社会工程(欺骗他人共享敏感以获取敏感的访问)等方法获取敏感数据。 架构和评估评估标准:可计算机评估标准(Trusted Computer Security Evaluation Criteria, TCSEC)、技术评估标准(Information Technology 受限区域、授权方法和控制探测器、传感器和警报入侵检测火灾的探测、预防与灭火围墙、防护措施和证件的类型总结本文的主要目的是介绍涉及的基础知识,也是CISSP认证所涉及的所有方面,是学习知识的指路灯

23000

——指纹将成为未来的马蜂窝

可以毫不夸张地说,指纹是个马蜂窝,一旦出现漏洞,后果将会“人被蛰、蜂也亡”。 德国国防部长乌尔苏拉•范德莱恩的这张照片 便暴露了一个非常重要的个人——指纹2014年9月,据《德国之声》网站报道,一名叫扬•克里斯勒(Jan Krissler)的黑客已根据该照片成功复制了乌尔苏拉 删掉已发布的带指纹的照片就了吗? 其实,只要有木马程序,你平时在手机屏幕上点来点去时,该木马程序就可以偷偷调用相机功能,拍下你的手指,这样就能轻易获得你的指纹。 目前,指纹的应用还不太普及,所引发的危险也没有爆发,但未来指纹会有越来越多的应用,指纹的马蜂窝也迟早会被捅。所以,未雨绸缪,保护好自己的指纹刻不容缓。 ————本文节选自《你的个人吗(第2版)》

15020
  • 广告
    关闭

    云产品限时秒杀

    云服务器1核2G首年50元,还有多款热门云产品满足您的上云需求

  • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    Excel保卫战

    人民大众普遍关心的问题~ 人民为了保卫而战斗! 图片8月16日早上九点发,钱打到你的账户(记得删掉这句话!) 今天分享加密的御敌战法! 一、拒敌于国门之外(整个表格加密)如何能做到保卫,当然是不保存,那样最啦!自己都没有!敌人怎会有! 咳咳,不是,第一步是不把表发给别人啦! 这样也不行哇!那第一步是不让对方打开表! 就可以真正的实现保护啦! 再次打开后会有如下提示!?没有密码的人就打不开了,此处的密码是打开权限密码。当输入打开权限密码后只能观看不能修改,如果需要修改需要再次输入修改权限密码! ? 部锁定了,就变成只读状态了!?比如这张表,目前想给别人填写身高,但是又不想他改除了涂黄以外的任何区域!怎么实现尼! 先在防盗门上画一个窗户,方便你看外面敲门的是什么人。? 五、虚虚实实(关键替换)现在是终极应用啦!如何隐藏电话号码的部分!?如果这个号码外泄,我感觉电话会被打爆的,所以我需要隐藏电话号码的部分,变成什么样子呢? ?常见的是右面的这种!

    45940

    ,富人当道

    ,富人当道    最近几年,的话题被广泛讨论,很多企业都开始加强了工作的力度,那么工作该不该实施,该如何实施,实施的力度是多少呢? 我觉得应该是包含两部分的,一部分是外部,这些包括网络受到攻击、病毒、间谍软件、身份盗用、等等。 该如何实施呢?对于外部,我觉得途径包括装防毒软件,启用高水平的程序,网络隔离,分级管理等。 ,对违反的员工进行处罚等。 而对于一些大型企业,由于其经常是大众攻击的目标,也是最容易发生内部技术泄密的地方,所以应该加大在方面的投入。  ,将是大企业展示的舞台!

    17320

    与IT治理

    7720

    之消认证

    之消认证概 念MAC函数与加密函数的区别MD5的算法框图算法步骤(1)-分组填充算法步骤(2)-缓冲区初始化算法步骤(3) -H~MD5~运算TCLS~s~ :循环左移s位算法描述分组处理SHA 认证往往是应用系统中保护的第一道防线,极为重要(确保用户的合法性)。MAC函数与加密函数的区别MAC函数与加密函数类似,都需要明文、密钥和算法的参与。 例如:使用100比特的消和10比特的MAC,那么总共有2100个不同的消,但仅有210个不同的MAC。也就是说,平均每2^90个消使用的MAC是相同的。 执行完后,消的长度为512的倍数(设为L倍),则可将消表示为分组长为512的一系列分组Y0,Y1,…,YL-1,而每一分组又可表示为16个32比特长的字,这样消中的总字数为N=L×16,因此消又可按字表示为 压缩函数中的一步迭代 CLSs :循环左移s位第一轮:7、12、17、22 第二轮:5、 9、14、20 第三轮:4、11、16、23 第四轮:6、10、15、21算法描述消填充:与MD5完相同 附加消长度

    10010

    浅谈GBT 30283《技术 服务 分类与代码》

    原标准按照服务活动性质将服务分为“咨询服务”、“实施服务”、“培训服务”以及“其他服务”。 原标准将服务分为“咨询”、“实施”、“培训”有其历史成因,主要参考NIST SP800-35、SP800-33以及国内外当时的主流厂商的服务分类实践情况, 呼叫中心服务、其他技术服务 |参考以上分类维度,结合服务特性,本次修订将服务分为:主要包括咨询类、设计与开发类、集成类、运营类、处理和存储类 B 设计与开发服务 | 2 | B实施服务 | 13 || C 集成服务 | 2 | C 培训服务 | 1 || D 运营服务 | 14 | Z 其他服务 YDT 1621-2007《网络与服务资质评估准则》,服务还可分为咨询服务、工程服务、培训服务和运行服务。

    18330

    意识-密码

    密码,顾名思义,它指的是对于我们密码的。 如果没有足够的防范的意识,透露了你的用户名和密码,那么对方可以通过一系列社会工程学攻击的手段,查询并修改你的,甚至是改动账户资金分配。 如果你的密码恰好是你最常用的一个密码,骗子将有可能用你的密码去撞库,接下来你会收到源源不断的外部保险推销的电话和异常登录的短提示,造成严重的泄露。 2.字典攻击字典攻击比暴力破解稍微智能一点,根据受害人的个人,比如昵称、别名、名字、生日邮箱等等,生成一个可能使用的密码的字典。 6.间谍软件一种恶意软件,常伴随着我们的木马装,一旦电脑感染了木马恶意程序,就可以偷窥电脑里面传输的所有的机密的,包括你的密码等等。

    30920

    通报第49期

    2017年第49期通报1数据看国家漏洞共享平台本周共收集、整理漏洞440个,其中高危漏洞194个、中危漏洞202个、低危漏洞44个。 12月26日,由工业和化部指导,国家工业发展研究中心和浙江省经济和化委员会主办,国家工业产业发展联盟、杭州电子科技大学、浙江省电子产品检验所、浙江省行业协会承办的2017 )、赛西队(中国电子技术标准化研究院研究中心)、黑龙江省电子技术研究所、中国网(中国电子科技网络有限公司)、GSCE(球能源互联网研究院)、江南队(江苏省电子产品质量监督检验研究院 )、国队(国家技术研究中心)3.部分国人大常委会委员建议加强统筹协调理顺网络执法体系。 注:本通报根据风暴中心和国内各大机构、网站整理分析而成。

    46690

    IT和备忘单

    文章来源:https:zeltser.comcheat-sheets尽管我们试图积极主动地处理,IT规划或项目管理,但我们会分心或拖延。 这些备忘单,清单和模板旨在帮助IT专业人员处理困难的情况。 创建评估报告的提示本备忘单提出了建立一个强大的报告作为评估项目的一部分的建议:https:zeltser.comsecurity-assessment-report-cheat-sheet 评估 RFP 备忘单规划,发布和审核评估 RFP 的提示:https:zeltser.comsecurity-assessment-rfp-cheat-sheet? 如何吸收常见的错误,所以你可以避免使他们:https:zeltser.comsuck-at-security-cheat-sheet?

    25100

    之密钥管理

    之密钥管理密钥分级 初级密钥二级密钥主密钥具有保密性和认证的分配方法公钥密码体制的密钥管理公钥管理机构分配公钥公钥证书如何使用证书密钥分级密钥分为初级密钥、二级密钥和主密钥。 初级密钥用于加解密数据的密钥初级通密钥:一个密钥只使用一次,生存周期很短初级文件密钥:与其所保护的文件有一样长的生存周期初级密钥不能以明文形式保存二级密钥用于保护初级密钥不能以明文形式保存主密钥密钥管理方案中的最高级密钥 这里是我的数字证书“客户”->“服务器”:向我证明你就是服务器,这是一个随机字符串“服务器”->“客户”:这是对随机字符串的签名验证“服务器”的身份后,“客户”生成一个对称加密算法和密钥,用于后面的通的加密和解密 这样,后面“服务器”和“客户”就都可以用对称加密算法来加密和解密通内容了。

    11710

    2014年十大技术

    球领先的技术研究和顾问公司近日公布了2014年十大技术,同时指出了这些技术对部门的意义。 该公司副总裁兼院士级分析师表示:“企业正投入越来越多的资源以应对与风险。 负责与风险的领导者们必须面掌握最新的科技趋势,才能规划、达成以及维护有效的与风险管理项目,同时实现商机并管理好风险。 5、新一代平台核心:大数据分析 未来,所有有效的防护平台都将包含特定领域嵌入式分析核心能力。 8、软件定义的 所谓的“软件定义”是指当我们将数据中心内原本紧密耦合的基础架构元素(如服务器、存储、网络和等等)解离并提取之后所创造的能力。 如同网络、计算与存储的情况,对所产生的影响也将发生变化。软件定义的并不代表不再需要一些专门的硬件,这些仍是必不可少的。

    385100

    之路入坑指南

    作者:腾讯平台部研发团队 riusksk 疫情下的高考已结束,又快到填志愿的时候了,又有不少知青要加入这个圈子。 明确目标,并以目标为导向,用以致学刚开始的时候,相很多人会先去搜索要学什么课程,可能有人会告诉你要先C,再学数据结构和算法,学数据结构和算法前又要学离散数学,总之会有无穷无尽的东西在等着你,导致最后自己都不知道该学啥了 四、对推荐书单的补充说明之前笔者曾发过从业者书单推荐,相很多圈内人看过,期间也很多人提问过,这里整理补充说明下。1. 书单均是个人看过或者业界认可的经典书籍(部分书籍没看完,但不妨碍对书籍质量的判断),跟网上罗列的书单不同,并非把网店上的各书籍都罗列上的。 附《从业者书单推荐》 WechatIMG110.png

    19150

    学习经验分享

    大家好,我是 overture,一名今年刚毕业的打工人,目前从事分析工作,大学专业是所以了解过一些知识,但其实很多东西都只是知其然不知其所以然,去年实习期间了解到之路这个公众号,但是因为太忙实在没时间导致一直没有加入星球进行学习 我的之路高中毕业的时候其实并不知道什么是,只是抱着都是计算机的心态填报了志愿,然后摸鱼度过了我的大一 2333。 第一次感受到的魅力是在 17 年暑假和同学一起参加了国大学生竞赛,两天的时间里,经过我的不懈努力,除了签到题一个都没做出来。。。 后来开始自学,从编程到 web ,在网上找了很多资料,看了一些视频,组队参加过一些 ctf 比赛,大四时也顺利进入一家公司实习,接触到了一些项目,算是对行业有粗浅的了解。 之路的学习方式,是我以前一直在寻找的,从 web 常见漏洞开始,一个一个去手动搭建环境,编写存在漏洞的页面,手工测试、绕过、利用,再去防护;把学习过程整理成报告,上传之后还能阅读别人优秀的学习报告

    27430

    相关术语(行话)

    POCpoc是英文“Proof of Concept”的缩写,即概念证明,poc在中指能够证明漏洞存在的代码或者方法。 内生由奇集团董事长齐向东在2019北京网络大会上首次提出,指的是不断从化系统内生长出的能力,能伴随业务的增长而持续提升,持续保证业务。 内生有三个特性,即依靠化系统与系统的聚合、业务数据与数据的聚合以及IT人才和人才的聚合,从化系统的内部,不断长出自适应、自主和自成长的能力。 它强调在DevOps计划刚启动时就要邀请团队来确保性,制定自动防护计划,并贯穿始终,实现持续 IT 防护。 CNVD国家漏洞共享平台,由国家计算机应急响应中心CNCERT维护,主要负责统一收集、管理国内的漏洞,其发布的漏洞编号前缀也为CNVD。

    11820

    两会声音:掌握核心技术 建立首席官制度

    目前正值“两会”期间,“网络”仍是备受关注的热门议题。其中,新一届国政协委员谈剑锋提出:掌握核心技术,建立首席官制度。此次提案,受到了众多委员及国内外媒体的广泛关注。 没有网络就没有国家“没有网络就没有国家,没有化就没有现代化”的论断,为网络建设各项工作提出了根本方向。 因此,在领域里,必须采用中国自主研发的核心技术。 建立首席官制度在网络人才培养方面,谈剑峰建议,可以建立首席官制度,推动人才的培养,为产业发展注入新活力,推动网络产业的可持续发展。 同时,希望企业能够积极参与教育项目,通过讲座、培训、书籍、新媒体等形式,向大众普及常识,使大众具备最基本的防范方法。

    38650

    中国版GDPR《个人规范》解读:国内企业如何保障

    大数据时代带来了无法量化的变革,但与此同时,也带来了数据和的隐患。此前,小曾解读过GDPR,今天,小再次带领各位小伙伴,探究中国版的“GDPR”——《个人规范》。 中国版的 GDPR——《个人规范》? 《技术个人规范》(GBT 35273—2017)(以下简称“《个人规范》”或“《规范》”),是我国国家质量监督检验检疫总局和国家标准化管理委员会在2017年12月29日发布、2018 该标准的编制有以下四个特点特点1:充分考虑标准在多方诉求方面的平衡性特点2:立足国内现有的法律、法规、规章、标准特点3:参考对标国际最先进的规则和立法特点4:不是自成一体而是与国际接轨 AiLPHA 针对这种情况,我们的产品利用其先进的机器学习与行为模型分析,优先处理数据访问事件,无需对数据环境进行深入了解就能使团队及时发现预警。 更多场景?

    48420

    浅谈物联网中的

    近段时间我们刚刚开始了物联网的学习,算是稍微对这方面有了一点点认识。下面简单分享一下。 ,意为保护系统免受未经授权的进入、使用、披露、破坏、修改、检视、记录及销毁,需保证的保密性、真实性、完整性等等。本身包括的范围非常大,一两句话是根本无法概括的。 实现保护,其核心是密码学。提到密码学,大家都能联想到的无非就是加解密、公钥证书、旁路分析、椭圆曲线等等晦涩的字眼。黑客这个词汇已经越来越多的出现在我们的生活中。 从斯诺登事件到比特币被盗,从吉普汽车被黑到最近的希拉里邮件门,种种迹象表明的重要性不容被忽视。 物联网的范围越庞大,黑客可以下手的可能性就越丰富,那么我们需要保护的就越分散,同时存在的漏洞就越多。值得欣慰的是,目前物联网已经越来越引起工业界和各国政府的重视。

    22300

    为什么你要懂点

    一下子又成为了焦点话题。 联想到之前的几个大网站的暴库事件,用卡泄漏事件,如果当你我的私人邮件成为监控者茶余饭后津津乐道的谈资,你我的身份,密码,银行卡成为骇客用来支付他们奢华生活的工具,你还会觉得还是和自己毫无关系么 首先非常重要的一点认识:对于,技术从来都是辅助手段,只是用于实现某个领域的要求;管理才是核心。仅仅追求技术是本末倒置。为什么说的重点是管理? 我们重点讲讲社会工程。社会工程学指的是通过与他人交往,来直接或者间接获得机密。 但网络并不能保证。它只是你和通讯另一端之间假设了的通道。在里面的仍然会受到威胁。比如LP(先确定是你LP哈)要你的身份证号,你用gmail给她回了封邮件:我的身份证号是xxx。

    46370

    【转】培训该如何做?

    此次事件势必又会引起大众对的重视,因为的价值本来就不好界定,只有在出现类似事件的时候,大多数人才会感慨原来离着大众不算太远。 相在未来的行业里面针对运维、开发以及意识的培训会更加普及。下面就由老衲为大家普及一下普通员工的培训从哪些方面做起? 在日常的工作中,广大企事业员工总认为,工作是中心或网络中心的事情,事不关己高高挂起,企业的邮件系统、OA反正有运维人员维护着,自己关注自己的业务就是了,根本认识不到工作是关系到自己的泄露乃至进一步的欺诈风险 1)这就要求员工在入职时、分配到部门时,都要进行教育,让员工认识到不仅是企业的事,也是自己的事。 企事业还需要成立专门的领导小组,制定各部门的响应程序,周密部署各项工作,明确工作职责和责任人。

    38820

    相关产品

    • 安全咨询

      安全咨询

      腾讯云安全咨询协助企业识别信息资产及业务流程的信息安全弱点,并针对信息安全威胁提供信息安全风险处理规划建议。安全咨询包括合规类咨询服务、安全管理咨询服务、安全体系咨询服务与行业安全解决方案咨询服务。

    相关资讯

    热门标签

    活动推荐

      运营活动

      活动名称
      广告关闭

      扫码关注云+社区

      领取腾讯云代金券