每日5分钟安全快讯(2018/4/2) 1. 捷克将被指控入侵LinkedIn的黑客引渡到美国 https://wp.me/p8snp4-op 2. 有些App“太贪婪” https://wp.me/p8snp4-oH 每日5分钟安全快讯(2018/4/3) 1.
缺乏专业知识和能力 部分数据安全岗由技术安全岗或其他岗位人员兼任,技术强于管理,缺乏数据安全风险评估、体系建立、体系运营的能力。 这些造成企业投入高、成效低,面临着数据泄露等问题,需要专业体系化的数据安全建设方案。 传统咨询人员投入大、收尾难 如何通过微咨询解决? 很多企业采用过标准咨询的方式来建设数据安全体系,但传统咨询人员投入大、收尾难,这让许多企业“望而却步”: 人员投入大 标准咨询通过实地调研、差距分析、风险分析、业务分析等步骤,采用资料整理和访谈的方式, 另外,微咨询专家通过对企业核心数据场景调研、分析风险,能快速了解企业业务,帮助企业掌握数据安全的方法和效果,开展数据安全体系建设,解决了传统咨询难以收尾的问题。 准确率高、快速交付...... 在数据安全体系建设的第一步——数据资产梳理阶段,微咨询服务通过静态扫描工具、协议解析工具、敏感数据发现组件等先进的工具,梳理企业数据资产以及数据资产的访问状况、敏感数据等。
基于腾讯20余年的防护技术积累,一站式解决游戏服务端、客户端安全问题
Ceph安全体系概览 安全是整个存储必不可少的一环,但是很少有人能够比较全面的总结一下Ceph的安全体系,于是老司机在这里“鬼话连篇”。 CephX 认证体系 ? 通过提供标准的磁盘格式,它不仅可以促进发行版之间的兼容性,还可以提供对多个用户密码的安全管理。 RGW安全防护 RGW默认情况下会直接与Client进行交互,走的也是HTTP,因此有条件的一定要用到HTTPS,并且不要使用自签名证书,如果暴露在公网或者其他安全性比较敏感的环境,最好在RGW前端架设一层防火墙或者其他安全设备对流量进行清洗过滤 最后补充一句话,任何方式去提升系统安全都是有代价的。 用户数据安全 这里只讨论RGW场景,RBD和Cephfs就不再展开了。 另外一块安全的需求,就是用户需要对上传的数据进行安全扫描,比如用户上传进来的文档、软件包等需要经过病毒扫描,以确定其安全性。
数据安全知识体系 目录 1、数据安全立法 2、数据安全全生命周期 2.1、数据采集安全 2.2、数据存储安全 2.3、数据传输安全 2.4、数据访问安全 2.5、数据交换安全 2.6、数据销毁安全 《信息安全技术网络安全等级保护大数据基本要求》(T/ISEAA002-2021)团体标准正式发布,自2021年5月30日起实施。 2、数据安全全生命周期 2.1、数据采集安全 1、数据源的安全可信、身份鉴定、用户授权 2、个人信息与重要数据进行采集前评估 3、采集过程安全合规、日志记录 4、隐私数据、敏感数据识别且防泄露 5、采集工具或设备要安全管理 5、数据脱敏 2.5、数据交换安全 1、数据接口配置 2、日志管理与监控审计 3、文档标签 4、数据加密、数据压缩 5、敏感数据脱敏 6、交换过程验证 7、数字水印 2.6、数据销毁安全 1、数据内容安全销毁 2、用户注销 3、密钥安全销毁
当前,智慧城市建设成为全球热点,据国际会计师事务所德勤发布《超级智能城市》管理咨询报告显示,当前全球已启动或在建的智慧城市数量超过1000个,中国以 500 个试点城市居于首位,成为了全球最大的智慧城市实施国 图1 智慧城市ICT视角的技术参考模型 为推动智慧城市健康、可持续发展,国家在《智慧城市评价模型及基础评价指标体系》(GB/T 34680.1-2017)中明确了智慧城市评价指标体系,其中网络安全指标包括网络安全管理 表1 智慧城市评价指标体系网络安全指标评价要素及说明 三、智慧城市安全体系 智慧城市安全体系框架以安全保障措施为视角,从智慧城市安全战略保障、智慧城市安全技术保障、智慧城市安全管理保障、智慧城市安全建设运营保障和智慧城市安全基础支撑五个方面给出了智慧城市安全要素 本标准参考了信息安全管理体系并结合智慧城市特征,梳理出智慧城市安全管理要素,包括决策规划、组织管理、协调监督、评价改进。 智慧城市安全技术保障的功能要素包括防护、检测、响应和恢复。 四、智慧城市安全体系实例——智能门锁安全 智慧城市是一个庞大的体系,涉及到众多环节,安全隐患无孔不入。
信息安全管理体系(ISMS)是组织在整体或特定范围内建立的信息安全方针和目标,以及完成这些目标所用的方法和体系。 不同企业对于信息安全管理体系的建设需求也不甚相同: 1. 可能是从无到有,从0到1建立信息安全管理体系; 2. 可能企业已有信息安全管理体系,但是实时性无法满足企业日益变化的安全需求,待进一步优化改进; 4. …… 体系建设之初,我相信大家的初衷都是抱着建立建成可落地的信息安全管理体系。 有效的资源保证 另外一个层面,引用一句俗语“巧妇难为无米之炊”,信息安全管理体系建设过程中,可能会涉及到外部咨询机构、测评机构的引入,可能会涉及安全设备的采购……钱!钱!钱! 我们确实见过有些企业可能不聘请任何外部第三方的咨询机构,内部人员自行建设信息安全管理体系; 我们也见过有些企业不购买实施有效安全过程所必要的安全设备(防病毒软件、WAF……),内部人员自行开发或基于开源软件二次开发以满足安全需求
基于SDN和NFV的云安全体系 该体系按功能区域可分为以下几个方面。 云计算接入安全:通过H3C首创的嵌入式安全vSwitch,形成基于状态的安全防护体系。 南北向API的全面、兼容性 SDN和NFV的技术设计是开放的,决定云安全体系也是一个开放的体系,易于形成集百家之长、开放融合的体系。 云安全体系南北向API图 通过开放融合的体系,基于SDN和NFV构建的云安全体系能够融入更多的第三方SDN APP和NFV,北向通过Restful API可与独立第三方云平台进行对接,南向通过OpenFlow /OVSDB/NetConf等标准API兼容包括第三方的网络及安全设备、NFV产品,确保云安全体系更为灵活、更为全面。 及NFV技术也将不断完善云安全的防护体系,最终促使云计算得以更加健康、有序的发展。
处理好网络安全与信息化关系,使安全工作能在各层次快速达成共识,形成体系化、实战化、常态化安全能力,是CISO的重要职责所在。由CISO主导的、以能力为导向的安全体系规划工作势在必行。 首先,网络安全体系建设缺乏顶层设计,无全景作战图,看不清网络安全全貌。其次,网络安全预算比例相比美国等国家较低,工程建设资源保障严重不足,安全技术防护体系严重缺失却无法修复。 三、以安全规划助力新安全体系的落地 云计算、大数据和移动互联网等技术的飞速发展和广泛应用,带来了商业模式和业务流程的革命性变化,新型威胁层出不穷,体系化防御势在必行。 通过安全规划,在体系蓝图之上勾勒出安全演进路线,确保安全工作的落地性。 4. 采用能力导向的网络安全规划方法构建新体系 以往,安全规划大多采用了对标、合规等思想,基本满足了企业的规划需求。 因此,优先解决安全预算、人才编制的问题显得尤为重要,而所有这些都离不开安全体系规划。通过采用安全能力导向的方法进行安全规划,有效达成面向实战、体系致胜的目标,是CISO的重要职责所在。
延迟活动奖励的时限 增加和提高合法用户真实性(人机用户)验证机制 当然,具体的防范措施也不是依照以上几种防范措施就能完全杜绝薅羊毛的行为,所谓完善的安全管控体系,都是建立在具体实践的基础上的,防范管控经验都是在经历了 所以,Web漏洞的根源就是站点代码,只要代码层显性漏洞不存在,加上代码层的其他安全防护措施做到位,那么站点就能做到相对安全,而能够让站点做到相对安全的就是“代码安全审计”。 所以企业需要自身有一套完善的风控制度,一旦发生安全问题,能够在第一时间以最快速度解决问题,降低损失。整个风控的方面可以从:社会影响、内部影响、经济损失等方面着手,建立起完善的灾备恢复体系。 Web安全的体系建设不仅仅是安全漏洞的管控,当然还包括了其他的方方面面,攻击者可能利用合法的网站功能来干一些不可描述的事情,如果Web安全的建设是很简单的话,就不会出现众多安全专家都头疼的事情了。 所以,具体的Web安全建设各个企业不同,所属业务不同,自然所做的建设方案也会有所不同,能够建设起来非常棒的Web安全体系,企业都是经过了众多实践积累下来的经验。
1、背景:APP端上安全在谈什么 APP的每个业务场景都有其既定的运行模式,若被人为破坏就可认为是不安全的。 2、APP端上安全体系应该具备哪些能力 一个安全体系要具备哪些能力呢,简单说两块:风险甄别与风险防御。 3、建设方案 甄别与防御是体系的核心,建设方案主要是围绕这两个主题展开,虽说名称是“端上安全体系”,但只依靠端自己是无法解决所有问题的,也无法将价值发挥到最大,仍需多端系统配合来完成整个体系的搭建,分工的基本原则是 :端上侧重特征信息的搜集,云端负责整体策略的执行,根据上述场景,搭建示意如下: 3 建设方案.png 按层次跟功能大致分四块,端、网关、业务后台、数据风控中心: 端是信息的来源,负责信息采集上报,是安全体系建设的基石 作者:看书的小蜗牛 原文链接: APP端上通用安全体系建设
FreeBuf咨询特别发布《云安全的技术实践与格局变迁洞察》报告,旨在呈现我国云安全市场的发展特点与脉络,追踪我国云安全技术实践与格局变迁,从而捕捉我国云安全产业的未来发展趋势。 艾瑞咨询数据显示,我国云安全市场规模将在2024年达到254亿元,年均增速超过40%。 FreeBuf咨询认为,云安全的发展历程可以大致分为四个阶段:萌芽阶段、云化阶段、加速发展阶段以及云原生阶段。 萌芽阶段期,云计算概念刚刚兴起。 报告全文见下图: FreeBuf咨询集结安全行业经验丰富的安全专家和分析师,常年对网络安全技术、行业动态保持追踪,洞悉安全行业现状和趋势,呈现最专业的研究与咨询服务,主要输出四个种类的咨询报告 FreeBuf咨询自成立以来, 已积累了500+ 甲方安全智库资源,为行业研究报告、企业咨询服务提供指导。
在此背景下,FreeBuf咨询发布《工业数据安全监测与应急洞察报告》,围绕我国工业数据发展现状与安全挑战、主要国家和地区工业数据安全政策、工业数据安全管理与监测应急策略、我国工业数据安全未来趋势四个维度展开研究 FreeBuf咨询针对工业数据分类分级的具体步骤梳理出如下框架图: 工业数据安全监测与应急响应 成熟的工业数据监测系统可完成对工业数据安全态势的全面监控,当前成熟的系统还将进一步分析安全事件影响,预测风险趋势 FreeBuf咨询认为,工业数据监测系统在未来可从数据流转基线与分布监测、数据识别及风险特征策略库,安全事件审核机制,风险溯源及成因分析等多个维度出发,进一步融入大数据、人工智能等手段提升数据监测与治理质量与自动化水平 报告全文见下图: 关于FreeBuf咨询 FreeBuf咨询集结安全行业经验丰富的安全专家和分析师,常年对网络安全技术、行业动态保持追踪,洞悉安全行业现状和趋势,呈现最专业的研究与咨询服务,主要输出四个种类的咨询报告 FreeBuf咨询自成立以来, 已积累了500+ 甲方安全智库资源,为行业研究报告、企业咨询服务提供指导。
4月26日,FreeBuf咨询发布了一篇名为“我们用ChatGPT写了一份AI安全报告”(点击阅读)的文章,很多读者留言希望我们可以分享是如何做到的,所以有了今天这篇文章。 FreeBuf咨询认为,ChatGPT可作为课题分析、学术研究的起点, 向人类提供达成目标所需要的汇总信息。 关于FreeBuf咨询 FreeBuf咨询集结安全行业经验丰富的安全专家和分析师,常年对网络安全技术、行业动态保持追踪,洞悉安全行业现状和趋势,呈现最专业的研究与咨询服务,主要输出四个种类的咨询报告 FreeBuf咨询自成立以来, 已积累了500+ 甲方安全智库资源,为行业研究报告、企业咨询服务提供指导。 访谈上百位行业大咖,为业界输出真实、丰富的安全管理价值与实践经验,具备超过80万+ 精准用户,直接触达CSO、企业安全专家、投资人等专业人群。
概述: 企业的信息安全体系的建设都是大同小异,只有把握好了风险控制点,一个企业的信息安全完全可以做到相对安全,至少能够防止90%以上的网络攻击,其他的0day漏洞或者新型的攻击手法包括在10%以内,这 全文分5个篇,5个部分,详细的介绍了企业当前面临的各个风险点,从信息安全的几个大点重点描述企业安全体系建设,一个企业再大,只要规划合理,安全管理结构清晰,那么安全建设和保障就不会再是难事。 其他国家级的等保体系不在讨论范围内,毕竟对于一般企业来说,也不适用。 一:系统安全建设篇 0x00 前言 系统的安全是在企业安全体系建设中的基础,只有系统的安全基线合规,才能够保证其部署在系统上的服务能够安全稳定的运行。 5.网络攻击 运维人员关注最新的网络攻击时态也是很有必要的,这样可以根据具体的攻击手法来对企业进行防御体系的调整。
0x09 制度建设 公司内部网络建设是比较难的,也并不是笔者的几句话能够说的清楚的,这个针对于内网制度建设的一个小点,也是笔者的一点心得,也相信许多公司并没有这方面的制度,安全制度的建设将在以后的安全体系建设篇中详细探讨 0X10 网络安全建设总结 企业若要建设强大的网络安全体系,人才是很重要的,找一个对网络架构很熟悉的管理人才,对企业的安全体系建设至关重要,当然还要组建起一个团队,分工细致和明确,这样才能达到预期目标 建立网络安全体系只需要思考下面三点 建设网络安全体系的目标是什么? 建设网络安全体系能给企业带来什么? 建设网络安全体系的成本是多少? 下面来简单的概述下,网络安全包含以下几方面内容(肯定是不全的): 网络实体安全 传输安全 系统和应用安全 安全管理 数据安全 我们建设网络环境时,肯定得搭建起整个网络架构,网络架构图是必须得画的 ,其安全性就由节点内各个系统自身的安全性来决定。
---- 一、云上安全四问 云上安全体系建设是一个庞大的体系,我们可以通过以下四问,去初步评估检查云上业务上云后的安全性: 云平台安全么?安全合规、安全防护、安全技术、安全管理... ---- 二、云上安全体系 从安全体系上来讲,云上安全主要包括以下几个方面: 物理和基础架构安全:指云计算环境下的数据中心管理、物理设施管理、以及物理服务器和网络设备管理等。 ,包括收集与识别、分类与分级、权限与加密等方面; ---- 三、腾讯云安全防护体系 安全防护是依据安全体系建设,一般包括以下八个层次:业务连续性管理防护、物理安全防护、云安全防护、网络安全防护 腾讯云安全防护体系 其中,业务连续性管理、物理安全、云安全一般由公有云平台方建设提供;其它层次安全则由云平台及租户方共同管理建设。 当然,没有100%的安全,只有相对安全。 通常,用户可根据安全责任模型及业务重要性,在网络安全、主机安全、数据安全、应用安全及业务安全防护上评估投入。
数据安全亦如此,在数据流转的全生命周期,不论是在哪个环节出现了短板,都可能导致企业发生数据安全问题,因此,构建体系化的开展数据安全防护就异常重要了。 下面简单介绍一下企业数据安全体系构建的要点:五个环节、三个步骤、三个阶段、两种手段、一个关键点。 五个环节 构建数据安全防护体系,首先就是要按照数据流转的各个环节开展,确保数据从产生到流转的各个环节再到删除的全生命周期都是安全可控的。 三个阶段 明确了我们要防护的各个阶段、构建体系的步骤,那我们要按照什么思路来进行手段建设呢?与上面类似,我们要按照安全事件的全生命周期来进行手段建设,具体如下。 一个关键点 在构建数据安全体系时,这里要注意一个关键点:全面。这是整个体系建设的重中之重,因为如果不全面又会导致木桶原理。这里的全面包括:资产要全面、流转场景要全面、风险点梳理要全面等。
使用WAF可以增加业务在web层的安全性。 众所周知,阻断的意思是当一个恶意请求发送过来时,通过一系列判断此请求有威胁,发出告警并拒绝向后端转发的行为称之为阻断行为。 整个WAF体系构建中,我说过使用ELK作为日志分析工具,那么ELK能不能做到规则触发汇总,我想这点官网上都有说明,并且不难实现。至于关联配置文件自动化过滤策略,就需要自行写脚本了。 而其中监控的主要作用也是为了一旦发生误报误拦,能够第一时间恢复业务,在我的监控体系中,基本能做到半分钟恢复业务。 第四,我严重怀疑这兄弟是在安全部中打酱油的角色。这点其实没有什么多说的,我只想说如果要提高企业的安全性,首先就不能否定了自己,如果因为怕麻烦或者怕影响业务,那干脆什么都不做就好了! 针对这个问题,不得不说一下WAF的研发原理,WAF其实就是正则匹配,一般恶意请求会有正则特征,第一批安全专家就根据攻击者的特征做了一个正则特征库,原意为匹配特征的行为基本可以确定为攻击。
仅以此文向那些在企业进行安全体系各方面建设的各级苦逼安全从业者们致敬! 作为一名安全从业人员,在你的职业生涯过程中都会接触到不同方面的信息安全体系的建设,同时经过自我不断的学习与总结,会对信息安全体系有着自已的理解; 下图为笔者理解的信息安全体系架构简图: ? 信息安全体系大多可分为信息安全管理体系,信息安全技术体系,以及信息安全运营体系三个主要体系; 接下来,笔者将对这三个体系简单介绍一下: 信息安全管理体系指组织在整体或特定范围内建立的信息安全方针和目标 PDCA是安全体系建议很科学的程序,看官们一定要好好利用; 笔者认为,有些公司有管理,技术,运营三个体系是不够的,应该还有一个安全审计体系,实现“权力应该放在笼子里”,安全审计将对安全组织的权利进行制约 ,同时对安全体系建设的成果进行考核和审计,会使安全体系更加有效,强烈建议; 罗马也不是一天就能建成的,安全体系建议也不是一下子就建好的,需要打好基础,循序渐进,一步一步来; 至此,我对安全体系建设的内容基本告一段落
在享受新一代信息技术成果的背景下,传统工业系统的安全问题愈发突出,工业互联网成为黑客攻击和网络战的重要目标。工业互联网的平台安全、数据安全和联网智能设备的安全问题都备受关注。 对此,FreeBuf咨询通过现场走访、问卷调查及定向调研的形式,调查了数百家企业,结合定量分析与定性分析,最终完成《2020工业互联网安全研究报告》。 关于 FreeBuf 咨询 FreeBuf.COM是斗象科技旗下国内领先的网络安全行业门户,每日发布专业的安全资讯、技术剖析,分享国内外安全资源与行业洞见,是深受安全从业者与爱好者关注的网络安全网站与社区 FreeBuf咨询集结安全行业经验丰富的安全专家和分析师,常年对信息安全技术、行业动态保持追踪,洞悉安全行业现状和趋势,呈现最专业的研究与咨询服务。 *FreeBuf 咨询荣誉出品,未经许可严禁转载使用,欲合作请联系 FreeBuf 市场宋经理 : 电话:021-60495134/15311422102(同微信) 邮箱:dandan.song@tophant.com
腾讯云安全咨询协助企业识别信息资产及业务流程的信息安全弱点,并针对信息安全威胁提供信息安全风险处理规划建议。安全咨询包括合规类咨询服务、安全管理咨询服务、安全体系咨询服务与行业安全解决方案咨询服务。
扫码关注腾讯云开发者
领取腾讯云代金券