记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

网络数据安全管理条例 (征求意见稿) 中的那些评估

《网络数据安全管理条例(征求意见稿)》(“《条例》”)将数据安全的风险评估作为一项普遍和常态的风险控制和管理手段,这体现在《条例》对评估的多条款规定上。整体而言,《条例》的评估可以分为年度评估和日常评估(定期、非定期)两大类。在两类下又针对一般事项和特定事项,进一步细化为若干评估。当然如果体系化,还可以依据实施评估的主体,将评估区分为数据处理者启动的评估和网信部门等监管机构发起的评估;以及《网络安全法》以来就有所规定的自评估和外部第三方评估等等。
发布时间:2021-11-29 23:10 | 阅读:1033 | 评论:0 | 标签:数据安全 安全 网络

360政企安全集团态势感知项目获评“2021中国5G+工业互联网典型应用”

近日,由工信部主办的2021中国5G+工业互联网大会成功召开,大会聚焦智慧工厂、智慧城市、智慧安全等六个领域,在全国范围内遴选出58个典型应用案例。三六零(股票代码:601360.SH,以下简称360)旗下的政企安全集团与天津市通信安全中心、三大运营商、天大求实电力新技术股份有限公司共同打造的《天津省级工业互联网安全态势感知平台项目》成功入选“智慧安全”领域典型应用案例,成为“5G+工业互联网”行业应用的全国示范项目。5G和工业互联网是推动传统产业转型升级、培育发展先进制造业的重要支撑。当前,“5G+工业互联网”的典型应用场景已在采矿、电力、钢铁等22个国民经济重点行业深度应用、快速推广。
发布时间:2021-11-29 21:18 | 阅读:1337 | 评论:0 | 标签:安全 态势 工业 360 中国

安全知识图谱 | APT组织画像归因

阅读:24近日,绿盟科技推出安全知识图谱技术白皮书《践行安全知识图谱,携手迈进认知智能》,旨在对安全知识图谱概念内涵、核心框架、关键技术和应用实践进行全面总结与介绍,助力网络安全智能化迈入认知智能阶段。本文为安全知识图谱白皮书《践行安全知识图谱,携手迈进认知智能》精华解读系列第二篇——解析APT威胁追踪技术,重点介绍基于知识图谱的APT组织画像归因。一、APT组织画像归因挑战2017年Shadow Brokers泄露了NSA(美国国家安全局)多个震惊世界的攻击武器工具,世界顶级APT组织的攻击水平由此可见一斑。
发布时间:2021-11-29 18:55 | 阅读:1493 | 评论:0 | 标签:安全分享 APT 威胁防护 知识图谱 apt 安全

《上海市建设网络安全产业创新高地行动计划(2021-2023年)》通过

2021年11月25日,上海市委副书记、市长龚正主持召开市政府常务会议。会议原则同意《上海市建设网络安全产业创新高地行动计划(2021—2023年)》并指出,作为经济中心、金融中心,上海拥有大量关键基础设施、重要信息系统和海量用户资源。要坚持事业和产业“双轮驱动”,对产业进行科学布局和精准投入,加快构建安全保障体系,形成在发展中保安全、在安全中促发展的新格局。要推动产、研、用、融“齐头并进”,坚持“关键保障和市场服务”两手抓,推进“技术攻关和制度创新”双突破。
发布时间:2021-11-29 18:31 | 阅读:1473 | 评论:0 | 标签:网络安全 安全 网络

安全知识图谱 | APT组织画像归因

全文共1894字,阅读大约需5分钟。近日,绿盟科技推出安全知识图谱技术白皮书《践行安全知识图谱,携手迈进认知智能》,旨在对安全知识图谱概念内涵、核心框架、关键技术和应用实践进行全面总结与介绍,助力网络安全智能化迈入认知智能阶段。本文为安全知识图谱白皮书《践行安全知识图谱,携手迈进认知智能》精华解读系列第二篇——解析APT威胁追踪技术,重点介绍基于知识图谱的APT组织画像归因。01APT组织画像归因挑战2017年Shadow Brokers泄露了NSA(美国国家安全局)多个震惊世界的攻击武器工具,世界顶级APT组织的攻击水平由此可见一斑。
发布时间:2021-11-29 17:42 | 阅读:1663 | 评论:0 | 标签:apt 安全

如军刀般精准犀利—瑞士之密码安全

#网安智库 284 个内容 #密码安全 50 个内容 一前 言瑞士作为一个欧洲小国,尽管自然资源匮乏,但蜚声海内外的除全球知名的钟表外还有个就是军刀了,精巧、犀利、功能全面给人印象深刻,这种对产品的设计哲学和产品灵魂注入,深入骨髓,而这种灵魂在密码安全产品方面一脉相承,尽展无余。瑞士的密码安全从产业到产品均值得我们学习借鉴。二瑞士密码安全产业概况瑞士的密码安全产业尽管水平很高,但一直以来都并不显山露水,不为人知。直到最近“窃听门”曝光,2020年有报道指出美国中央情报局CIA利用瑞士加密公司Crypto AG,通过在产品中植入加密漏洞来窃听120国。
发布时间:2021-11-29 17:42 | 阅读:1442 | 评论:0 | 标签:安全

工业物联网蓝牙安全及基于标识算法的分布式鉴权技术研究

#网安智库 284个内容 摘 要蓝牙是当下流行的短距离通信技术,蓝牙标准中的配对机制可以在主从设备之间快速建立连接,连接建立以后可以避免第三方的窃听和篡改。为了解决蓝牙技术在工业物联网中的安全应用问题,首先分析了蓝牙协议的安全机制,其次分析工业物联网应用场景对蓝牙通信的安全需求,并研究现有蓝牙安全机制与工业物联网蓝牙需求的差异。最后提出了适用于工业物联网终端的蓝牙安全方案,可以实现基于合法身份的、分布式的鉴权及接入控制功能。
发布时间:2021-11-29 17:42 | 阅读:1573 | 评论:0 | 标签:物联网 安全 工业 分布式

INSEC WORLD 成都·世界信息安全大会前夕,我们采访了Bart Preneel院士

数字经济是未来的发展趋势,我国十四五规划明确提出,“要加快数字化发展,建设数字中国”。与此同时,网络安全风险和威胁也随之蔓延、扩散和叠加,全球网络安全形势日益严峻和复杂。网络安全是数字经济的基石,没有网络安全就没有数字经济的蓬勃发展。数字经济发展越快,网络安全就必须扎的越牢,恰如2021 INSEC WORLD 成都∙世界信息安全大会(以下简称“2021 INSEC WORLD大会”)的主题——“数字经济,安全为钥”。2021年12月14-15日,2021 INSEC WORLD大会将在成都香格里拉大酒店举办。
发布时间:2021-11-29 15:51 | 阅读:1527 | 评论:0 | 标签:安全

千万级数据安全项目,甲方都要啥

#网安标讯 39 个内容 #数据安全 2 个内容 超过千万的网络安全相关大项目不少见,但像这个客户一样把采购需求写得这么明确且有条理的属实难得。11月26日,广东省政府发表公开招标文件:广东省交通运输厅一体化数字平台(二期)项目数据安全服务招标公告。该项目为数据安全专项项目,项目预算1064.15万元,该项目采购需求包含数据安全全生命周期,项目建设及采购需求描述清晰、全面、有条理。堪称甲方数据安全项目建设需求的典型模板。
发布时间:2021-11-29 15:00 | 阅读:1260 | 评论:0 | 标签:数据安全 安全

【学者风采】 羌卫中——聚焦系统安全研究与教学

羌卫中华中科技大学教授、博士生导师。1977年生,师从金海教授,2005年获得华中科技大学计算机系统结构专业博士学位,毕业后留校任教,2007年至2009年在挪威奥斯陆大学从事博士后研究工作。长期坚持在系统安全领域开展研究和教学工作,研究方向包括系统与软件安全、云计算与大数据安全等。主持国家自然科学基金项目3项;主持863计划课题1项,作为技术骨干参与国家重点基础研究发展计划(973计划)项目、国家重点研发计划课题、国家发改委信息安全专项课题等多个项目。合作出版著作1部,发表论文40余篇,获得国家技术发明专利20余项。
发布时间:2021-11-29 15:00 | 阅读:1579 | 评论:0 | 标签:安全

欧盟网络安全局:铁路网络风险管理最佳实践

当地时间11月25日,欧盟网络和信息安全局-ENISA发布了一份题为《Railway Cybersecurity – Good Practices in Cyber Risk Management 》的报告,详细介绍了铁路组织网络风险管理的最佳实践。ENISA说,欧洲铁路企业(RUs)和基础设施管理人员(IMs)需要以系统的方式应对网络风险,这是其风险管理过程的一部分。自2016年网络和信息安全(NIS)指令生效以来,这一需求变得更加迫切。该报告的目的是为欧洲RUs和IMs提供关于如何评估和减轻网络风险的适用方法和实例。
发布时间:2021-11-29 12:27 | 阅读:1433 | 评论:0 | 标签:网络安全 安全 网络

《数据安全法》背景下各地数据条例共性内容解读与实践思路

在中共中央国务院发布的《关于构建更加完善的要素市场化配置体制机制的意见》中,明确将数据与土地、人力、资本、技术并列为五大生产要素之一。近年来,国家和地方政府陆续出台多部促进大数据产业发展的法律法规,旨在充分发挥数据生产要素价值,进一步推动国家数字化转型。《网络安全法》、《数据安全法》、《个人信息保护法》的先后颁布施行,为各地方政府进一步制定促进大数据发展相关保障及条例定下基调。
发布时间:2021-11-29 12:27 | 阅读:1192 | 评论:0 | 标签:数据安全 安全

投入越大,问题越多?托管式安全运营正当时

一直以来,企业网络安全能力在需求和建设两端都存在较大差距,随着企业数字化转型的不断深入,这种差距正在变得更加明显。企业既需要应对不断增长的安全威胁,同时又必须面对专业人才匮乏、防护经验缺失、安全预算有限的现实。安全建设的困惑与挑战在安全牛近期开展的行业调研中,有多位企业CSO都表达了同样的困惑:企业对网络安全建设的重视度不断提升,安全投入也逐步增长,采购并建设了态势感知系统、SOC平台、威胁检测系统等新一代安全管控平台,但新技术的应用却带来了更多问题,让安全管理团队陷入了日志分析、事件响应和问题处置等大量事务性工作中,疲于应对,实际效果难以达到建设预期。
发布时间:2021-11-29 11:24 | 阅读:1265 | 评论:0 | 标签:安全托管 安全运营 深信服 安全

11月26日每日安全热点 - TrickBot检查屏幕分辨率以逃避检测

漏洞 VulnerabilitySymfony 安全更新https://github.com/symfony/symfony/releases/tag/v5.3.12安全事件 Security Incident海上服务提供商Swire Pacific Offshore被Clop勒索软件袭击https
发布时间:2021-11-29 10:27 | 阅读:1491 | 评论:0 | 标签:安全

【网络安全基础教程】SQL注入攻击防范方法有哪些?

  SQL注入攻击是最危险的Web漏洞之一,危害性极大,造成的后果不堪设想,因此受到了大家的高度重视。那么你知道SQL注入攻击防范方法有哪些吗?我们来看看详细的内容介绍。   SQL注入攻击的危害很大,而且防火墙很难对攻击行为进行拦截,主要的SQL注入攻击防范方法,具体有以下几个方面。   1、分级管理   对用户进行分级管理,严格控制用户的权限,对于普通用户,禁止给予数据库建立、删除、修改等相关权限,只有系统管理员才具有增、删、改、查的权限。   2、参数传值   程序员在书写SQL语言时,禁止将变量直接写入到SQL语句,必须通过设置相应的参数来传递相关的变量。从而抑制SQL注入。
发布时间:2021-11-29 06:59 | 阅读:1564 | 评论:0 | 标签:注入 攻击 SQL 网络安全 安全 网络

日本新版《网络安全战略》尽显“攻击”姿态

日本近日通过新版《网络安全战略》,明确提出未来3年日本在网络安全领域的政策目标及实施方针。相较于以往版本,日本新版《网络安全战略》包含了大量与以往战略截然不同的内容,主要包括“提高优先度、迎合印太、数字改革”等方面。近年来,日本一直在所谓“网络攻击事件溯源”问题上抹黑中国。此次新战略中,日本围绕所谓“疑似有国家参与”的网络攻击活动,更是直接点名中国、俄罗斯和朝鲜,通过制造国际舆论歪曲有关国家的国际形象。日本肆意树立假想敌、渲染威胁程度的做法,是在掩盖其以此为由扩充网络实力的真实企图。此外,新版战略明确表示,将网络领域在外交和安全保障问题上的“优先度”提升至空前高度。
发布时间:2021-11-28 23:03 | 阅读:2883 | 评论:0 | 标签:攻击 网络安全 安全 网络

数据安全保护和治理的新方法

收录于话题 秉持数据驱动战略的数据驱动型组织,正在利用数据,以前所未有的速度开创未来。同时,也面临日益增长的安全、隐私、合规风险。在过去几十年中,保护敏感数据的现有方法是孤立地建立起来的,缺乏整体性。考虑到各组织正在越来越严格的隐私法规下处理比以往任何时候都多的数据,寻求一种新方法是极为必要的。当今,数据访问控制的所谓“最佳实践”,是创建一个明确定义的可访问数据列表,并在此基础上制定权限。然而,不幸的是,一旦考虑到现实世界的企业数据挑战,这根本不可行。一个好的数据保护和数据治理解决方案,必须能够实现正常的数据访问,而不是中断或产生负面影响。
发布时间:2021-11-28 18:06 | 阅读:3120 | 评论:0 | 标签:数据安全 安全 保护

拧紧个人信息安全阀 360盘今圆桌会专家共话《数据安全法》

  伴随全球数字化转型以及我国新基建加速落地,做好数据安全治理成为业界共识。今年6月,《数据安全法》正式被表决通过,“数据”作为一种新型的、独立的保护对象,已经获得立法上的认可。   “在我国加速向数字化转型过程中,以数字安全、个人信息保护为代表的数据治理也成为重大的基础性课题。”近日,在三六零(601360.SH,下称“360”)举办的“盘今圆桌会”第二期会议上,360集团副总裁、总法律顾问张伟指出。   据悉,本次会议聚焦“《数据安全法》时代的数治之道”,汇聚了产学研各界资深专家、学者,共话数据治理。
发布时间:2021-11-28 04:31 | 阅读:4275 | 评论:0 | 标签:数据安全 安全 360

GitHub Actions安全漏洞可使攻击者绕过代码审查机制 影响受保护分支

Cider Security的研究人员在GitHubActions中发现了一个安全漏洞,该漏洞允许攻击者绕过必要的审查机制,将未审查的代码推到受保护的分支,使其进入生产管道。根据Medium上的一篇博客文章,首席安全研究员Omer Gil和他在Cidersecurity(一家专注于持续集成/持续交付安全的初创公司)的研究团队发现了这个安全漏洞,这是他们研究DevOps中新型攻击的一部分。Gil称,要求审查是GitHub中最广泛使用的安全机制之一,由于GitHub Actions是默认安装的,几乎任何组织都容易受到这种攻击。
发布时间:2021-11-27 15:03 | 阅读:5244 | 评论:0 | 标签:漏洞 攻击 安全 保护

农民日报社:借力深信服安全运营服务,专业党媒稳步迈进融媒体阶段

  随着互联网的快速发展,传统媒体与新媒体逐渐走上了媒体融合之路,实现在资源、内容、宣传、利益上的融合互通。农民日报社作为“专业党媒”,率先乘上融媒体转型的浪潮,借助融媒体平台不断地提升自身的传播力、引导力、影响力、公信力。  融媒体平台的建设,让新闻以更快的速度、更多的形式展现在群众面前,但在“一次采集、多种生成、多元传播”的过程中,外部威胁和黑客可利用的入口也在无形中增加。  为保障融媒体平台的稳定运行,农民日报社携手深信服安全运营服务(MSS),在满足等级保护相关要求的基础上,快速扩展了“持续监测、主动响应、闭环处置”三大安全能力,护航融媒体平台的业务安全。
发布时间:2021-11-27 15:03 | 阅读:5284 | 评论:0 | 标签:安全运营 安全

政府、医疗行业再成勒索重灾区,终端安全形势愈发严峻

近日,亚信安全发布了《2021年第三季度网络安全威胁报告》(以下简称报告)。报告显示,第三季度勒索病毒总量小幅提升,且攻击靶心开始向政府和医疗行业移动。此外,PE病毒、Rootkit、后门木马、僵尸网络、钓鱼网站、Web威胁、高危漏洞等皆有增长,终端安全形势依旧严峻!勒索病毒靶心移动:发展中国家、政府、医疗,本季度亚信安全客户终端检测并拦截恶意程序约7,781万次、恶意URL地址共计17,291,316次、勒索病毒12,931次。从“勒索病毒月检测图”可以看出,第三季度勒索病毒总量较上一季度有小幅度上升。
发布时间:2021-11-27 15:00 | 阅读:4902 | 评论:0 | 标签:勒索 安全

【火绒安全周报】海外版战网出现宕机/少年因窃取加密货币被捕

01海外版战网出现宕机近日,海外版战网(Battle.net)出现宕机,导致玩家无法登录游戏。对此,动视暴雪回应称,战网服务器遭到了DDOS攻击,正在着手解决。据悉,该公司旗下许多产品都发布了服务中断公告,大多数玩家反馈战网无法连接,而游戏的服务连接似乎没有受到太大影响。目前战网登录已经开始排队,用户需要等待一段时间才能进入。
发布时间:2021-11-27 15:00 | 阅读:5608 | 评论:0 | 标签:加密 安全

【漏洞预警】Linux Kernel TIPC任意代码执行漏洞安全风险通告

风险通告近日,奇安信 CERT 监测到Linux kernel TIPC任意代码执行漏洞(CVE-2021-43267)的漏洞细节和EXP已在互联网公开。漏洞存在于Linux 内核中的 net/tipc/crypto.c 中,由于Linux Kernel TIPC模块对用户提供的 MSG_CRYPTO 消息类型大小验证不足,攻击者可以利用此漏洞在目标者系统上以ROOT权限执行任意代码。鉴于漏洞危害较大且漏洞细节和EXP已公开,建议用户及时升级版本。
发布时间:2021-11-27 14:57 | 阅读:5229 | 评论:0 | 标签:漏洞 linux 执行 安全

SharpSpray:一款功能强大的活动目录密码喷射安全工具

关于SharpSpraySharpSpray是一款功能强大的活动目录密码喷射安全工具,该工具基于.NET C#开发,可以帮助广大研究人员对活动目录的安全性进行分析。SharpSpray是DomainPasswordSpray工具的C#实现,并且还引入了很多增强功能以及额外功能。除此之外,该工具还使用了LDAP协议来跟域活动目录服务进行通信。功能介绍可以从域上下文的内部和外部进行操作。从列表中排除禁用域的帐户。自动从活动目录中收集域用户信息。通过在一次锁定尝试中排除帐户,避免潜在的帐户锁定。通过自动收集域锁定账户来观察窗口设置,避免潜在的帐户锁定。与域细粒度密码策略兼容。
发布时间:2021-11-27 14:57 | 阅读:4868 | 评论:0 | 标签:安全

Fortinet入选中国SD-WAN安全市场研究报告

      近日,Fortinet为某药品电子商务平台提供的集成安全的SD-WAN(软件定义广域网)解决方案,入选《IDC PeerScape:CIO 视角——中国 SD-WAN 安全市场调研》(以下简称调研)代表案例。      SD-WAN将网络控制能力通过软件方式云化,能够帮助用户降低广域网(WAN)的开支和提高网络连接灵活性。因此,SD-WAN获得了众多企业的关注。
发布时间:2021-11-27 14:57 | 阅读:4779 | 评论:0 | 标签:安全 中国

Linux Kernel TIPC任意代码执行漏洞安全风险通告

风险通告近日,奇安信 CERT 监测到Linux kernel TIPC任意代码执行漏洞(CVE-2021-43267)的漏洞细节和EXP已在互联网公开。漏洞存在于Linux 内核中的 net/tipc/crypto.c 中,由于Linux Kernel TIPC模块对用户提供的 MSG_CRYPTO 消息类型大小验证不足,攻击者可以利用此漏洞在目标者系统上以ROOT权限执行任意代码。鉴于漏洞危害较大且漏洞细节和EXP已公开,建议用户及时升级版本。当前漏洞状态细节是否公开PoC状态EXP状态在野利用是已公开已公开未知漏洞描述TIPC 作为内核模块实现,存在于所有主要 Linux 发行版中。
发布时间:2021-11-27 12:27 | 阅读:4841 | 评论:0 | 标签:漏洞 linux 执行 安全

安全编码为应用软件增加免疫力

多数企业的安全团队和开发团队都在单独工作,安全问题似乎只是安全团队的职责。仅靠安全团队就能确保开发的软件安全了吗?答案是否定的。在获取解决方案之前,让我们一起来看看,安全团队都在做哪些工作。检查所有代码的安全性缺陷,并将其报告给开发团队进行修复。在你的安全开发生命周期中执行严格的同行审查程序。由内部或外部安全团队定期进行应用程序评估/渗透测试。实现扫描工具以发现漏洞。在提高软件安全性上,这些方式都不错。但这些方法也很昂贵,并且类似于每次生病都要服用一轮抗生素。这不仅带来很高的成本,而且随着时间的推移作用会逐渐减弱,并削弱你的免疫能力。
发布时间:2021-11-27 04:25 | 阅读:6119 | 评论:0 | 标签:安全

政府行业IT安全软件市场规模达23亿元 奇安信市场份额居首

11月25日,国际权威咨询机构IDC发布《中国政府行业 IT 安全软件市场份额报告,2021》(以下简称《报告》)。《报告》指出,2020年中国政府行业IT安全软件市场规模为23亿元人民币,同比增长14.4%。其中,奇安信作为市场主要玩家,凭借终端安全软件优势及安全运营中心方案,以10.3%的市场份额位居第一。2020年,网络安全软件市场面临着新冠疫情带来的剧烈冲击,勒索攻击带来的威胁日益增加。同时,国家加快了安全相关法律法规的制定,驱动和规范了政府企业安全相关的组织、人员、系统的建设。
发布时间:2021-11-26 21:14 | 阅读:4865 | 评论:0 | 标签:安全

WitAwards 2021中国网络安全行业年度评选专家评委名单公布

经过一个多月的报名及评选,WitAwards 2021中国网络安全行业年度评选最后的投票环节——专家评委投票也已结束。本届评委,主办方邀请了知名甲方企业、政府研究机构、安全产业、行业、学术界等各大领域的网络安全知名专家和学者,一以贯之保障了评选的专业性和权威性。本次评选获奖结果将在12月1日线上公布,WitAwards 2021中国网络安全行业年度评选盛典将随CIS 2021 Spring·春日版于明年3月举行。
发布时间:2021-11-26 18:28 | 阅读:5181 | 评论:0 | 标签:网络安全 安全 网络 中国

【安全客惊现真香现场】“找不同大挑战” 携岁末惊喜,即将震撼来袭!

活动链接:即将再12月1日正式上线,敬请关注!小挑战 大惊喜眼瞅着2021年已经接近年终岁尾,想想过去的一年那么辛苦,很多朋友相信都希望在这样即将辞旧迎新的时刻,获得一些别样的惊喜,来狠狠犒劳下自己,以不同的新面貌来开启崭新的一年。其中,在年前添置点新东西,无疑是不可或缺的最优选择。 作为网络安全行业的知名平台,安全客早已把这些“小心思”了然于心,不仅通过官网升级为众多忠实用户提供了崭新的浏览体验;同时还即将在12月1日特别上线“找不同大挑战”游戏活动,并精心挑选了海量惊喜礼品,来满足不同粉丝群体的“心头所爱”,空前“捡漏”机会不容错过。
发布时间:2021-11-26 18:27 | 阅读:4427 | 评论:0 | 标签:安全

公告

永久免费持续更新精选优质黑客技术文章Hackdig,帮你成为掌握黑客技术的英雄

求赞助求支持·广告位💖

标签云