记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

揭秘建立和保持数据完整性的6个步骤

不管什么样的组织机构,在存储数据时,都是想建立一个完整的安全的数据。这个数据存储原则详细来说,可以拆分成两个步骤。首先,要维护存储操作系统和应用程序二进制文件、配置数据、日志和其他重要信息文件的完整性。其次,保护系统完整性,以确保应用程序、终端和网络执行其预期功能而不会降级或被破坏。这意味着只有通过将人员、流程和技术合并成一个整体框架,才能实现数据完整性。没有适当的安全指导,这种过程可能会很困难。幸运的是,互联网安全中心的一些关键安全控制(也称为CIS Control)可以提供帮助,组织机构应特别注意这些安全措施:1.CIS Control 3,5和11共同帮助组织持续管理其漏洞,强化关键终端并监控意外的更改;2.CI
发布时间:2018-08-01 12:20 | 阅读:25577 | 评论:0 | 标签:Web安全 数据安全

通过公式注入从电子表格中提取数据(一)

由于最近有一个客户端测试的机会,我才有机会利用带外数据(out-of-band,OOB)的方法,从电子表格中提取数据。不过要注意的是,我本文中描述的方法,都是假设我对电子表格的内容有一定的控制权限,虽然这些权限非常有限的,但我还是有可能对完整的文档或客户端(目标)系统进行访问。为此,我粗略的了解了一下LibreOffice(是OpenOffice.org 办公套件衍生版)和Google Sheets(一种数据透视表),并分别找到了一些PoC。不过,我特别关注基于非Windows的应用程序,这是因为Windows的应用程序已经被研究烂了,我不想重复研究。在这篇文章中,我会向大家介绍了来自NotSoSecure团队的Aja
发布时间:2018-06-22 12:20 | 阅读:64577 | 评论:0 | 标签:技术 数据安全 注入

【数据安全】GDPR正式生效 企业如何建设隐私数据安全防护?

阅读: 36隐私保护一直都是信息安全领域的一个内容。随着《一般数据保护条例》(General Data Protection Regulation,以下简称GDPR)的正式实施,隐私保护与伴随而来的数据安全成为了企业必须面对的课题。本文针对隐私保护和数据安全方面的内容,展现一个相对全面,客观的视角,帮助企业更深入的了解和理解当下隐私保护和数据安全的前沿态势,以及如何落地该法案。隐私保护一直都是信息安全领域的一个内容,随着欧盟委员会于2016年4月14日投票通过了商讨四年之久的《一般数据保护条例》(General Data Protection Regulation,以下简称GDPR),隐私保护与伴随而来的数据安全在近2年成为了历次国际性安全会议中不可或缺的议题,在2018年4月的RSA2018会议中也有多个会议
发布时间:2018-05-28 15:05 | 阅读:50562 | 评论:0 | 标签:安全分享 GDPR 一般数据保护条例 保护个人隐私 数据安全 隐私保护

《个人信息安全规范》出台,企业面临更严监管!

自《网络安全法》正式实施以来,在全国各地掀起了一系列个人信息专项检查、处罚违法违规行为的行动,也加强了社会公众对个人信息保护的重视程度。然而之前的法规并没有太多落地细则,这次5月1日正式实施的《信息安全技术 个人信息安全规范》,就开始对网络运营者个人信息合规工作作出了更详细的规定。 《个人信息安全规范》出台,企业又面临哪些监管? 作为《网络安全法》的延续和细化,《 个人信息安全规范》不仅明确了相关行业个人信息的收集、保存、使用、共享的合规要求,同时也为网络运营者制定隐私政策及完善信息保护管控提供了指引,对企业内部安全管理制度和操作规程提出的要求也更多,主要包括三个方面: 第一,明确责任部门与人员 根据《个人信息安全规范》,在业务、人员规模、个人信息处理量等方面满足特定条件的个人信息控制者,例如主要业务涉及个人信
发布时间:2018-05-11 18:10 | 阅读:54861 | 评论:0 | 标签:安全前沿 信息安全 数据安全 防泄密

【RSA2018】数据安全 | DBMS插件型数据加密产品技术要点分析

阅读: 15数据安全是RSA大会近年来关注的重点。随着大数据、人工智能和物联网技术的发展,如何能够有效的保护个人隐私,保护企业敏感数据不被泄露,已经成为越来越多的安全厂商关注的重点。来自韩国的CubeOne提供了一种基于DBMS加密防护的安全解决方案,适用于存储重要信息(个人信息)的大容量DB。文章目录数据安全需求与日俱增产品技术要点绿盟数据安全解决方案数据安全需求与日俱增除了本次大会创新沙盒冠军BIGDATA以外,从本次RSA大会参展的数据安全方案提供商来看,有传统数据安全防护方案提供类厂商(如PKWARE),也有更专注于提供数据安全防护方案的厂商(如CubeOne)。其中来自韩国的CubeOne产品供应商,其安全解决方案从DBMS (Database Management System:数据库管理系统)加密
发布时间:2018-04-19 20:15 | 阅读:47343 | 评论:0 | 标签:技术前沿 rsa2018 信息泄露 数据安全 加密

信息安全高管压力巨大?IP-guard为你支招

信息安全高管面前的三座“大山” 1、政府机构监管加严 2、信息数据安全影响更大 3、搭建信息堡垒难度大 可以看出信息管理人员需要应对的问题很多,有不堪压力的就已经选择了离职,上个月Twitter的首席信息安全官Michael Coates就表示辞职不干了,Facebook的首席信息安全官Alex Stamos也盘算着8月份离开公司。高管离开了,信息安全问题仍然需要解决,在人力、技术不足的情况下,相信企业更需要一套高效的管理工具来帮助管理人员有条不絮地应对各种安全问题。 IP-guard仅通过“一个客户端,统一控制台”,就可以为用户提供终端安全管理所需要的多维度丰富功能(包括:信息防泄漏、终端行为管理与审计,终端文件备份,终端准入,资产运维管理等等)。在单一控制台上管理人员就可以掌控企业全部终端的信息管控,管控
发布时间:2018-04-13 14:35 | 阅读:60554 | 评论:0 | 标签:安全前沿 企业防泄密 数据安全 用户数据泄露

保护用户数据安全,加密成关键!

Facebook的5000万用户数据泄露事件愈演愈烈,可以说是Facebook创建以来最大的危机了,不仅股价大跌,公信度大减,还将面临潜在高达2万亿美元的罚款,现在Facebook创始人兼CEO马克·扎克伯格也不得不在媒体、社交平台甚至买下数家知名纸媒广告向公众道歉。 那么这5000万用户数据是如何被泄露的呢?2014年,剑桥大学的两个老师设计了一个性格测试App,来收集Facebook平台上的用户信息,然后他们将这些用户数据违规泄露给了Cambridge Analytica,后者通过研究用户资料分析他们的政治立场,然后给用户定向发布新闻,操纵用户心理,以此获取中间派。 此次事件之所以给Facebook带来这么大的负面危机,主要是Facebook在此事中没有真正保护好用户数据,也没有阻止第三方应用滥用以及出售
发布时间:2018-03-30 18:10 | 阅读:69784 | 评论:0 | 标签:安全前沿 数据安全 用户数据泄露 加密

新形势下信息安全威胁的防控

今年两会关于信息安全的讨论也不少,对信息安全威胁的防控也成了大家关注的重点。信息化给企业带来更多便利,却也有不少信息安全风险在威胁企业中核心技术、业务数据以及用户信息的安全,特别是新形势下钓鱼攻击不断变换花样,病毒更新换代,系统漏洞稍不注意就被窃密者钻空子,而各种新技术新设备在人们没有设防时就开始成为窃密的新工具。 █ 钓鱼攻击招数翻新,窃取机密更有针对性 除了电子邮件、社交网站或广告,现在二维码支付、微信假红包信息也开始成为网络钓鱼的新招数,其目标都是诱骗受害者点击恶意附件或链接然后窃取机密信息。窃密者也由广撒网变成更有针对性的攻击,会对某些部门的敏感内容进行特意攻击。想要更好地保护信息数据安全,我们除了提高网络安全意识,对信息数据本身也要进行必要加密管控,确保数据始终在保护范围内。 █ 漏洞被忽视,系统风险
发布时间:2018-03-12 18:10 | 阅读:65838 | 评论:0 | 标签:安全前沿 信息安全 数据安全

Hadoop架构下的数据库审计难在哪里?

——大数据渗透到各个行业领域,逐渐成为一种生产要素发挥着重要作用,成为未来竞争的制高点。 在大数据时代下,信息和数据的分析处理都会变得比以前更加繁杂,管理起来也更加麻烦。大数据发展仍旧面临着众多问题,最受大众关注的就是安全与隐私问题——大数据在收集、存储和使用的过程中,都面临着一定的安全风险,一旦大数据产生隐私泄露的情况,会对用户的安全性造成严重威胁。 Hadoop是什么? Hadoop是一个开发和运行处理大规模数据的软件平台,是Apache的一个用java语言实现开源软件框架,实现在大量计算机组成的集群中对海量数据进行分布式计算,是目前市场上最受欢迎的一种大数据解决方案之一。 (Hadoop架构业务及审计逻辑) Hadoop 由许多元素构成,其核心是分布式文件系统(HDFS)和MapReduce 引擎,并涵
发布时间:2018-03-05 18:45 | 阅读:55346 | 评论:0 | 标签:数据安全 Hadoop 大数据安全 数据库审计

数据库审计系统应用价值浅析

数据安全意识逐渐深入人心,数据库审计系统也成为数据库安全领域应用最为广泛、接受度最高的产品。笔者在各大搜索引擎中输入“数据库审计”等相关关键词,通常会跳出数以万计与之相关的词条及链接信息。但是数据库审计系统的应用价值究竟在哪里? 笔者从信息安全的方法论着手浅析数据库审计系统在信息安全体系中的实际应用价值,寄希望于能帮助我们的用户科学合理的使用数据库审计系统,构建完善的数据库安全防护体系。 防御、检测和威慑,被公认为信息安全建设的三个重要组成部分 防御往往是我们可以想到的第一种策略,也是人们最容易理解的一种。防御措施可以减少宝贵资源被破坏的可能性,从而降低风险和节省以其他方式可能无法避免的事件费用。因此防御通常优先于其他保护措施。信息安全系统中常见的防御控制系统诸如有防火墙、入侵防御(IPS)、WAF等。这些控
发布时间:2018-03-05 18:45 | 阅读:51961 | 评论:0 | 标签:数据安全 数据库审计 数据库审计系统

动态数据脱敏技术分析

在当前国内信息安全热潮中,数据脱敏作为数据安全的重要一环得到了业界的认可与重视。早在2012年,数据脱敏首次作为一个单独的魔力象限由Gartner发布,Gartner在2014年又提出了:按照数据使用场景,将数据脱敏分为静态数据脱敏(Static data masking-SDM )与动态数据脱敏(Dynamic data masking-DDM )。可能有人望文生义,认为动态数据脱敏一定比静态数据脱敏高级。非也非也,静态or动态,取决于脱敏的使用场景,主要是以使用场景为由来选择合适的数据脱敏的模式。今天咱们就来理一理动态数据脱敏和静态数据脱敏之间的区别,着重和大家分析下动态数据脱敏的原理、使用场景、部署方式等,一窥动态数据脱敏如何在隐私数据安全保护中发挥至关重要的左右。动静态数据脱敏“半斤八两”前面提到了,静
发布时间:2018-01-26 11:15 | 阅读:115548 | 评论:0 | 标签:技术产品 动态数据脱敏 数据安全 美创

某涉密单位数据库审计联动运维审计应用实例

在大数据时代的战场上,数据就是激活体系的血液。如何确保海量信息数据的安全,已经成为维护国家安全的核心命题。在此背景下,本文深入探讨了首次将数据库审计与运维审计联动阻断落地于某涉密单位的项目实例。 客户简介 该涉密单位核心业务大数据系统集成了多种数据库类型,如非关系型数据库(Hbase,Solr)与关系型数据库(Oracle,MySQL等),汇聚了海量的敏感数据,具有流量大、业务连续性要求高、可靠性要求高的特点。而数据库系统是一个复杂而又关键的系统,伴随着数据库信息价值以及可访问性的提升,数据库所面对的来自内部和外部的安全风险大大增加,急需加强对敏感数据的监管和防护。 面临的数据安全挑战问题 1、网络结构复杂,难“审计” 在三层架构中,应用服务器与数据库之间部署有CA安全网关,终端通过令牌加密后在CA网关处解密
发布时间:2018-01-23 07:50 | 阅读:49566 | 评论:0 | 标签:数据安全 数据库审计 昂楷科技

大数据安全保护思考

*本文原创作者:mcvoodoo,本文属FreeBuf原创奖励计划,未经许可禁止转载 大数据安全保护思考 随着大数据时代的来临,企业数据开始激增,各种数据在云端、移动设备、关系型数据库、大数据库平台、pc端、采集器端等多个位置分散。对数据安全来说,挑战也更大了。在大型互联网企业里,传统方法已经很难绘制出一张敏感数据流转图了。因此在新的形势下,一是在工具层面要有新的手段支撑,包括完整的敏感数据视图、高风险场景识别、数据违规/滥用预警、数据安全事件的发现检测和阻止等。二是目前企业也存在着合规的问题了,以往合规对于互联网来说没那么重要,但随着网安法的出台,数据安全也摆上了日程。另外对于跨境企业来说,还面临着海外的数据安全法规。 所以,面临的挑战也是显而易见的。 1、 在策略层面:由于海量的数据类型,已经很难明确定义什
发布时间:2018-01-21 19:45 | 阅读:82432 | 评论:0 | 标签:数据安全 大数据

奥巴马网络安全专员告诉你如何保护网上购物安全

网购可谓是假期“必不可少”的一部分了,网络犯罪分子也发现,在某些重大节日里,人们在网购的时候或多或少都会放松警惕,而这也给犯罪分子们提供了可乘之机。 如果在网购的过程中,用户没有采取适当的防护措施的话,很可能你连过年都过不好。因此,在今天这篇文章中,我们一起来看一看美国前总统奥巴马的网络安全专员Eric Cole对实现安全网购的最佳途径有何见解。 注:本文中的“我”指代Eric Cole。 附赠Dric Cole的美照: 消费者在网购时可以采取哪些安全措施? 实际上,实现网络安全并不一定要你去做一些“疯狂和复杂”的事情,其实一切都可以很简单。 首先,安全常识是最重要的。我知道,人们往往喜欢使用一些“高科技”来保护自己的安全,但其实它们并不像人们所想的那么实用。实际上,我们只需要拥有一些上网
发布时间:2018-01-06 16:20 | 阅读:81625 | 评论:0 | 标签:WEB安全 数据安全 奥巴马 网购

基于Hadoop架构下医疗大数据安全的探究

医疗信息化已正式进入“大数据时代”,医疗大数据解决了海量数据的存储与检索问题,也催生了新的安全问题。如何更好地保护敏感信息及病人隐私,成为大数据时代医院管理面临的一大难题。但在利益的驱使下,医疗行业的数据安全已成为重灾区,各种数据泄漏事件时有发生。 2017年10月,一家医疗服务机构存储在亚马逊S3上的大约47GB医疗数据意外对公众开放,其中包含315363份PDF文件涉及15万病人的信息曝光。 2016年,深圳上万条产妇信息被爆泄露,产妇出院3小时被骗近万元。 2016年2月,某黑客入侵某部委医疗服务信息系统,该系统数据库内的部分公民个人信息被导出并贩卖。 2014年12月,海南卫生厅某系统漏洞导致数千万参保人员敏感信息泄露;江苏疾控中心某平台漏洞导致几千万敏感信息泄露。 大数据架构下的安全已成为医院信息化
发布时间:2017-12-25 16:55 | 阅读:58585 | 评论:0 | 标签:数据安全

从应用层到传输层 谷歌披露如何保护数据安全

谷歌基础设施中应用层服务到服务通信的防护方式,及其用于数据防护的系统,如今终于公开了。该技术名为应用层传输安全(ALTS),用于验证谷歌服务之间的通信,保证传输中数据的安全。数据发往谷歌时,是用安全通信协议防护的,如传输层安全(TLS)。该Web搜索巨头称,ALTS的研发始于2007年,当时TLS与其他不能满足该公司最低安全标准的支持协议捆绑在一起。因此,该公司认为,设计自己的安全解决方案,比修补已有系统更合适。因为比TLS更安全,谷歌将ALTS描述为“高度可靠的可信系统,可为内部远程过程调用(RPC)通信提供身份验证和安全”,确保该公司基础设施内的安全。谷歌解释称,该系统仅需服务自身最低限度的参与,因为数据默认受到保护。所有生产工作负载发出或收到的RPC,都默认受ALTS保护,只要它们处于谷歌控制的物理边界之
发布时间:2017-12-21 21:05 | 阅读:70257 | 评论:0 | 标签:技术产品 ALTS 数据安全 谷歌

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云