记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

《个人信息安全规范》出台,企业面临更严监管!

自《网络安全法》正式实施以来,在全国各地掀起了一系列个人信息专项检查、处罚违法违规行为的行动,也加强了社会公众对个人信息保护的重视程度。然而之前的法规并没有太多落地细则,这次5月1日正式实施的《信息安全技术 个人信息安全规范》,就开始对网络运营者个人信息合规工作作出了更详细的规定。 《个人信息安全规范》出台,企业又面临哪些监管? 作为《网络安全法》的延续和细化,《 个人信息安全规范》不仅明确了相关行业个人信息的收集、保存、使用、共享的合规要求,同时也为网络运营者制定隐私政策及完善信息保护管控提供了指引,对企业内部安全管理制度和操作规程提出的要求也更多,主要包括三个方面: 第一,明确责任部门与人员 根据《个人信息安全规范》,在业务、人员规模、个人信息处理量等方面满足特定条件的个人信息控制者,例如主要业务涉及个人信
发布时间:2018-05-11 18:10 | 阅读:21840 | 评论:0 | 标签:安全前沿 信息安全 数据安全 防泄密

【安全意识】从《头号玩家》引发的信息安全思考

阅读: 3在《头号玩家》这部电影中,绝大多数人们已经沉迷游戏世界,并且通过游戏逃避残破不堪的现实生活环境,影射了“娱乐至死”的社会问题。但与此同时,在这部电影中还反映了一些信息安全相关的思考,在此与大家一起分享。好莱坞巨制《头号玩家》上映后,好评不断,该片由斯皮尔伯格导演,主要讲述了在2045年的世界中人们沉迷于VR(虚拟现实)游戏“绿洲”的虚幻世界,该游戏的创始人临终前宣布在游戏中留下了三个彩蛋,将他的全部资产都留给能寻找到隐藏彩蛋的游戏玩家。这部电影时长140分钟,截稿为止豆瓣评分达到8.9分,全片包含138个彩蛋,囊括了各年龄段人群的童年回忆,也有人说它是“在彩蛋中插播电影”。文章目录网络环境泄漏真实个人信息注重账户和密码信息的保护弱密码带来的风险密码信息的妥善保存更多密码保护技巧网络环境泄漏真实个人信息
发布时间:2018-04-26 15:05 | 阅读:30037 | 评论:0 | 标签:安全报告 信息安全 头号玩家 安全意识 密码保护 弱密码

【RSA 2018】内部安全威胁管控,用户个人信息保护之道

阅读: 7从近期的热点来看,GDPR法案、Facebook数据泄露事件、BigID夺冠等等都彰显了个人信息安全日益增加的重要性。本篇文章介绍了如何应用内部威胁模型以及通过五个步骤成功实施计划,其提供了一个能够有效应对内部安全威胁,保护用户个人信息的安全思路。在本次RSA2018大会中,Teradata和Monsanto公司的CISO,James Christiansen和Gary Harbison给大家分享了“Turning Your Security Strategy Inside Out—Managing Insider Threat”的主题,介绍了如何应用内部威胁模型以及通过五个步骤成功实施计划,这提供了一个能够有效应对内部安全威胁,保护用户个人信息的安全思路,下面对这个主题重点内容进行解读。文章目录三大
发布时间:2018-04-24 15:05 | 阅读:24749 | 评论:0 | 标签:技术前沿 个人信息安全 信息安全 内部安全 威胁管控

新形势下信息安全威胁的防控

今年两会关于信息安全的讨论也不少,对信息安全威胁的防控也成了大家关注的重点。信息化给企业带来更多便利,却也有不少信息安全风险在威胁企业中核心技术、业务数据以及用户信息的安全,特别是新形势下钓鱼攻击不断变换花样,病毒更新换代,系统漏洞稍不注意就被窃密者钻空子,而各种新技术新设备在人们没有设防时就开始成为窃密的新工具。 █ 钓鱼攻击招数翻新,窃取机密更有针对性 除了电子邮件、社交网站或广告,现在二维码支付、微信假红包信息也开始成为网络钓鱼的新招数,其目标都是诱骗受害者点击恶意附件或链接然后窃取机密信息。窃密者也由广撒网变成更有针对性的攻击,会对某些部门的敏感内容进行特意攻击。想要更好地保护信息数据安全,我们除了提高网络安全意识,对信息数据本身也要进行必要加密管控,确保数据始终在保护范围内。 █ 漏洞被忽视,系统风险
发布时间:2018-03-12 18:10 | 阅读:34314 | 评论:0 | 标签:安全前沿 信息安全 数据安全

勒索病毒入侵儿童医院,防御袭击需常态化!

节后流感高发,医院也开始变得人满为患,然而就在大家为流感忙得焦头烂额时,勒索病毒又来了。近日,国内两家省级医院服务器疑似遭最新勒索病毒攻击,致其系统瘫痪,同时数据库文件被加密破坏,已影响正常就医秩序。 据悉,其中一家湖南省儿童医院受到的影响最为严重,从2018年2月24日7点左右,全院所有的医疗系统均无法正常使用,经过查实,医院服务器中了疑似最新的勒索病毒,目前,黑客要求院方在6小时内为每台中招机器支付1个比特币,根据目前比特币最新的价格,1枚比特币约合人民币6.5万元左右。 勒索病毒有哪些危害? 勒索病毒的危害去年已经让我们充分见识了一次,勒索病毒感染后会对电脑和服务器中的重要文件、数据甚至整个硬盘进行加密锁定,文件、数据被加密后没法使用,造成整个电脑或服务器无法正常运行,从而使相关业务系统的无法正常运行,
发布时间:2018-03-01 18:10 | 阅读:48298 | 评论:0 | 标签:安全前沿 信息安全 内网安全 勒索病毒 终端安全

新一代大规模僵尸网络Reaper可以通吃一切漏洞

​Reaper之所以传播如此迅速是有其独特手段的,Mirai只是利用了弱密码和默认密码,而Reaper则不同,该僵尸网络则同时利用了不同的物联网设备的数十个oday和1day漏洞,这些设备包括D-Link,Wi-Fi CAM,JAWS,Netgear,Linksys,AVTECH等。
发布时间:2018-02-21 17:20 | 阅读:96456 | 评论:0 | 标签:漏洞 系统安全 0day漏洞 信息安全

微软:每年信息安全投入10亿美元 必要的话诉诸法律手段

进入2018年,在对“云上全球利益”( A Cloud for Global Good)战略路线图的更新中,微软呼吁重视民族国家攻击者,关注人工智能对社会越来越大的影响力。对微软而言,治理并商业化云计算、人工智能(AI)和其他技术创新,是一项不仅仅为了产生利润的商业战略。微软总裁兼首席法务官布拉德·史密斯认为,这些技术还有助于解决当今世界面临的大部分紧迫问题。新版《云上全球利益》中,微软披露了将在2018年及之后时光中指导该公司社会责任工作的几个优先事项。2016年10月,微软发布了《云上全球利益》策略路线图。这是一本电子书,内含对策略制定者和IT行业的一系列建议,主题涉及云计算、AI、数据隐私、教育、持续性等等。这些建议还反映出了软件制造商对技术及其可能带来的社会问题的前瞻性思考。2018年的更新中,微软基于
发布时间:2018-01-12 05:50 | 阅读:53995 | 评论:0 | 标签:行业动态 人工智能 信息安全 国家黑客 微软

2018安全趋势预测及建议:确保数据完整性是实现安全的关键

对于企业来讲,要说2017年是充满挑战的一年,未免太轻描淡写。人类社会高度互连,对于企业来讲,网络攻击并非遥不可及之物,它就在前方可见之处,需要我们有预案予以防备。所有企业,都应该保有一定水平的“网络洁癖”,需要定时备份数据、为其系统及应用打上补丁、尽量缩小其数字资产的受攻击面。2018年,我们仍然需要借助新技术来变革我们的经营之道,这就有必要对相关安全顾虑有所周知,从而降低风险,甚至可以不采用技术便可实现这种变革。我们需要对现有的和潜在的风险有所了解,并且知晓如何做才能减少或者消除这些风险,只有这样我们才能时刻保持警戒之心,想网络罪犯之所未想,做网络罪犯之所未做。1. 云就是别人的电脑,保护信息安全要常抓不懈近日新闻中,“第三方云存储”这个字眼被反复提及,尤其是亚马逊的简易存储服务(Simple Storag
发布时间:2017-12-28 19:45 | 阅读:71971 | 评论:0 | 标签:牛闻牛评 AWS S3 bucket Palo Alto networks 信息安全 数据完整性

机器学习作用于信息安全的五大顶级案例

通俗讲,机器学习就是“(计算机)无需显式编程即可学习的能力”。跨海量数据集应用数学技术,机器学习算法可建立起行为模型,并基于新输入的数据,用这些模型做出对未来的预测。视频网站根据用户的历史观看记录推出新剧集,自动驾驶汽车从擦肩而过的行人学习路况,都是机器学习的例子。那么,信息安全中的机器学习应用又是什么呢?大体上,机器学习可帮助公司企业更好地分析威胁,响应攻击及安全事件;还有助于自动化更琐碎更低级的工作,也就是之前工作量巨大或技术欠缺的安全团队所做的那些。安全方面,机器学习是个快速发展的趋势。ABI Research 的分析师估测,在网络安全界,机器学习将推动大数据、人工智能(AI)及分析的投资,有望在2021年达到960亿美元,同时,世界科技巨头已经在采取措施更好地保护自己的客户。谷歌用机器学习来分析安卓移动
发布时间:2017-12-19 01:05 | 阅读:59246 | 评论:0 | 标签:术有专攻 信息安全 分析检测 机器学习 移动终端安全 自动化

伯炎有话说:安全咨询师们的突破

安全咨询师,作为为企业提供安全服务及安全解决方案的专业群体,在保障企业信息安全中扮演着至关重要的角色。然而,身负迷彩声誉的安全咨询师们在从业过程中也面临着很多需要突破的地方。其一,见识广更要眼光深。信息安全是一门综合性学科,它需要咨询师具备一个比较健全的安全知识体系。咨询师的眼界取决于两个方面,一是看,二是学。当前安全咨询行业单科型人才较多,虽然咨询师们因服务于不同行业而具有较广的见识,但这恰恰是问题所在。一是他们的解决方案流于形式化和案例化,缺乏对原理和架构的掌控;二是所谓的见识麻痹了他们的求知欲望,当案例化方案被人接受谁又需要读书呢?当方案呈现出更多的引用而不是设计时,它该如何进步呢?在看与学的路上,咨询师更要具备国际化视野。虽然中国的信息产业和规模非常庞大,在国际上也有一定的影响力,但整个信息产业的基础和
发布时间:2017-12-04 08:40 | 阅读:49918 | 评论:0 | 标签:牛闻牛评 信息安全 安全咨询

随笔:信息安全保密管理实务

信息安全是企业竞争的关键之一,然而信息的公开与保密,是矛盾的一体。一方面是公开信息是管理的需求,而另一方面信息保密是竞争的需要;同一信息,在不同时间段,对保密和公开的需求是不同的。笔者从实务的角度进行阐明。以资信息安全同业者参考。 公开与保密的矛盾: 举例而言,某些企业薪资与奖金结构具有典型的公开与保密的矛盾。首先,对薪资、奖金信息进行保密,可以使企业有效的在人力资源市场中进行竞争。然而,有些企业为了执行激励机制,可能采取计件工资制等公开的薪资制度,从而使员工通过简单的换算即使可获知他人的薪酬水平;有些企业采取级差与权重系数制度,为保持其公正性,级差和权重系数是公示的,因此也能够使他人很容易推算出全体员工的报酬。类似的情况比比皆是,信息的公开与保密之间的矛盾由此产生。例如:处理这一矛盾的良好做法包括重叠型级差方
发布时间:2017-11-09 06:10 | 阅读:47826 | 评论:0 | 标签:专栏 保密管理 信息安全

国内首个智慧家庭信息安全白皮书发布

2017年10月,由中国电子技术标准化研究院、海尔优家智能科技(北京)有限公司、梆梆安全研究院联合编写的《智慧家庭信息安全白皮书》(以下简称《白皮书》)正式发布。白皮书梳理了国内外智慧家庭信息安全现状及发展趋势,剖析了历年来智慧家庭信息安全事件风险点,积极探寻智慧家庭信息安全本质,建立了智慧家庭信息安全方法论,构建了“端——管——云——App”架构为核心的保障体系,给出了智慧家庭信息安全最佳实践,并从场景化的角度让人们对智慧家庭信息安全有了更加直观的认知。每个人心中都有一个哈姆雷特每个人心中都有一个哈姆雷特,智慧家庭亦如此。智慧家庭服务于“人”与“家庭”,家庭所赋予每个人的意义独一无二,拥有了“感知”、“联接”、“交互”能力的智慧家庭更是如此,它因为家庭的原因拥有了独属于自己的“智慧”。种种迹象证明智慧家庭不再
发布时间:2017-11-01 03:15 | 阅读:48968 | 评论:0 | 标签:行业动态 信息安全 智慧家庭 梆梆安全

常见SQL注入方法整理系列-初始篇

前面介绍了MSSQL、MYSQL以及ORACLE的一些涉及安全体系的基本知识,且当作知识的积累或者温故吧。本篇主要介绍这三种数据库的攻击手法,力求形成一套攻击流程,当然流程是死的,在真实的攻击环境中还是需要发挥聪明才智的,所以也且当作参考笔记吧。 1  发现SQL注入漏洞 万事开头难,SQL注入攻击同样如此。给定一个WEB站点URL,发现该站点SQL注入漏洞最快的方法莫过于使用扫描工具,最有效的我自认为是查看应用程序源代码。然而工具往往不是万能的,查看源代码寻找注入漏洞的机会通常也是没有的,所以此时手工探测注入漏洞就显得格外重要了。 2  经典方法 相信听说过SQL注入攻击的,都知道最经典的探测方法。这里假设存在一个GET请求的连接http://www.sqltest.com/sql.php?id=1,则经典的
发布时间:2017-08-31 13:25 | 阅读:121437 | 评论:0 | 标签:专栏 SQL注入 信息安全 信息安全工程师 小白 渗透测试 注入

跨越工控安全缺失的十年

觉得过去10年的IT网络安全世界很糟糕?那是你还没认识到更令人绝望的深层因素。被盗知识产权损失达数十亿,OPM之类的大规模情报泄露频发,亿万身份失窃——网络空间失败案例多如繁星。尽管如此,从安全控制角度出发,依然有着明显的重大进展。无数创新——人力财力的巨大投入、产业/次产业的诞生和发展、对新兴威胁的响应能力(尽管不能预见),描绘出了损失背后蕴藏的大量积极因素。重点在于,为什么我们当前拥有一个约2000个安全解决方案的市场。而其市场价值就是另一个讨论话题了。关键基础设施/工业控制系统(ICS)这一安全细分领域,虽然围绕噩梦般的网络攻击场景和后果有近20年的讨论,过去10年却可被标记为“信息安全缺失的10年”。可以说,在网络安全准备度上,我们现在也没比10年前好多少。随着威胁态势明显日渐活跃和危险,这种形势简直让
发布时间:2017-08-26 23:45 | 阅读:61152 | 评论:0 | 标签:术有专攻 ICS 信息安全 工控安全

安全自动化在于信任,而非技术

我们可以自动化动作,而不自动化决策……一直以来的反馈都表明,至少安全团队是非常渴求自动化的。但这种渴望受制于怀疑和恐惧。怀疑威胁检测的准确性,恐惧威胁控制或缓解响应自动化的后果,以及自动化出错可能造成的不良影响和破坏。长期工作于网络安全领域的人知道,这种现象并不新鲜。反垃圾邮件和入侵防御系统(IPS)的承诺尚历历在目,对其异常和攻击检测能力的过度自信所造成的混乱,就开始啪啪打脸。安全自动化很多公司都有IPS,但却以非阻塞模式运行,直接降级成入侵检测系统(IDS)使用。而且这种趋势至今未减:公司企业引入自动化功能到现有技术中,比如安全信息及事件管理(SIEM)、终端检测与响应(EDR)、安全自动化与编配(SAO)解决方案等,但却不相信它们的自动化能力,仅仅在发送通知或执行威胁情报查询之类基本任务上应用自动化。这基
发布时间:2017-07-25 00:10 | 阅读:67317 | 评论:0 | 标签:术有专攻 信息安全 安全运营 自动化

Let’s do Yoga! 瑜伽与信息安全竟然有如此的相似性

跨界互通是个很常见的现象,瑜伽和网络安全也是如此。瑜伽,尤其是串联瑜伽,教导我们在一连串姿势中保持统一的原则。通过保持呼吸,我们专注在练习上,持续深入保持姿势,消除长时间维持姿势中的焦虑。网络安全也是如此。在网络安全项目中保持方针原则或指导框架是非常重要的。SANS的CIS关键安全控制(CSC)、NIST 800-171、PCI DSS 或 NERC CIP 安全标准起到的就是指南作用,可以改善我们使用特定工具保护公司和用户的有效性。串联瑜伽课上的几个常见姿势,与网络安全之间,存在有某种联系。1. 下犬式每堂瑜伽课上的必练姿势。下犬式天天练的原因,在于它带来的好处真是太多了。它就是瑜伽中的80/20原则。其中包含的好处有:通过伸展整个背部和肩甲一带,缓解背部疼痛;通过拉长颈椎和脖子,放松头部,缓解紧张和头痛;增
发布时间:2017-07-22 21:25 | 阅读:60943 | 评论:0 | 标签:术有专攻 CIC CSC 信息安全 安全框架 瑜伽

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云