观点
D1Net

企业如何建立强大的内部威胁计划

尽管安全威胁通常来自企业内部,但很多企业的安全支出仍将其重点放在防范外部威胁上。调研机构Forrester Research公司在最近发布的一份调查报告中指出,只有18%的企业优先将安全支出用于构建专门的内部威胁计划,25%企业则将支出用于防范外部威胁。 企业需要担心的不仅仅是可能心怀不满意的一些员工,大多数内部威胁事件本质上都是非恶意的。Proofpoint公司和波洛蒙研究所在其发布的“202
D1Net
网络安全
网空闲话

海运网络安全:脆弱的海运供应链对全球经济的威胁

针对海上供应链的成功网络攻击将有可能损害个别公司、国家财政甚至全球经济。
网空闲话
关键基础设施安全应急响应中心

电信领域数据安全标准体系现状与思考

数据安全问题涉及公众利益、社会稳定与国家安全,亟需规范安全管理,加强安全防护。而数据安全标准是开展数据安全管理、规范行业数据安全要求、指导企业提升数据安全能力的重要抓手。
关键基础设施安全应急响应中心
网络安全 数据安全 大数据 信息安全 数据标准化
D1Net

如何从网络安全事件中恢复:企业必须吸取的教训

人们之前也遭遇过供应链攻击,2021年是供应链攻击快速增长的一年。与Spring4Shell和Log4j攻击一样,使用开源解决方案增加了风险。它们几乎存在于所有的软件开发中,并且经常快速开发,从而在安全性方面留下空白。这意味着,如果开源组件中存在任何漏洞,其影响将是巨大的。
D1Net
网络安全防护 软件 网络安全 漏洞
黑客技术和网络安全

JDK9为何要将String的底层实现由char[]改成了byte[]?

如果你不是 Java8 的钉子户,你应该早就发现了:String 类的源码已经由 char[] 优化为了 byte[] 来存储字符串内容,为什么要这样做呢? 开门见山地说,从 char[] 到 byte[],最主要的目的是为了节省字符串占用的内存 。内存占用减少带来的另外一个好处,就是 GC 次数也会减少。
黑客技术和网络安全
char string 字符编码 字符
数世咨询

找到最奇怪的错误:10款顶级模糊测试工具

本文尝试推荐一些顶级的模测工具。商业工具来自OWASP网站上的列表,免费工具则是在GitHub上搜索“fuzz”,按“打星”的人气数量排序。
数世咨询
Cismag

面向资源受限安全芯片的开放式运行环境设计

安全芯片开放式架构实现了用户程序和操作系统的分离,降低了应用程序与安全芯片操作系统的耦合性,但同时存在国外垄断、执行效率低、内存易泄露等弊端。对于搭载了开放式运行环境的安全芯片,面向资源受限所设计的精简扩展指令集支持与行业应用高度结合,具有基于寄存器的高效指令集解释执行能力,并具有更好的指令集安全性,可支持多应用融合,有助于打破国外垄断。
Cismag
字节码 虚拟机 安全芯片 指令集 操作数
网空闲话

美国白宫与开源组织、科技巨头共同推动1.5亿美元开源软件保护计划

将实现安全教育、风险评估、数字签名、内存安全、事件响应、更好扫描、代码审计、数据共享、SBOM、改进供应链等目标。
网空闲话
网络与数据法实务

关于“网络关键设备”的法律规则与合规要旨

网络关键设备(critical network device)是指支持联网功能,在同类网络设备中具有较高性能的设备,通常用于重要网络节点、重要部位或重要系统中,一旦遭到破坏,可能引发重大网络安全风险。
网络与数据法实务
田旭达

基于办公环境的零信任架构实践

面对业务暴露面隐藏、远程办公、运维管理、多数据中心访问等场景,适时而生的零信任理念可以为企业提供更为完善的数字化办公安全防护手段。
田旭达
办公环境 审计软件 网络攻击 安全审计 场景应用
金融电子化

银行业数据安全挑战及建行应对实践

随着银行同业竞争不断加剧,以用户为中心、以数据为驱动、以场景为依托、以满足用户需求和实现生态闭环为目标的数字化经营日益成为银行竞争的新赛道,银行业收集的数据,早已不局限于金融资产余额、账户变动等金融数据,越来越多的非金融交易数据在银行沉淀。
金融电子化
数据安全 银行资产 信息安全 银行 网络安全
商密君

网络安全多重检测评估分类整合模型

近年来,我国网络治理成效显著,多部法律法规对检测评估作出规定,但同时也出现了重复评估、评估孤岛、资源浪费等问题。按照安全保护、安全评估、安全审查 3 个类别,整合 8 项检测评估,允许“向下兼容”,形成“查、评、改”体系,提出了运行机制,实现检测评估集约化。通过加强协同联动共享,避免重复交叉,重点开展高级可持续漏洞风险的检测评估,提升评估管理治理效能,在最优情况下每年可节省资金约为 22 亿元,节
商密君
网络安全
数世咨询

MITRE:内部威胁知识库

MITRE Engenuity 和其主要的业务合作者共同开发了一个TTP知识库。该知识库主要收录内部威胁者所使用的策略、技术以及进行恶意行为的过程。
数世咨询
茉泠

MITRE:内部威胁知识库

即使是那些受到雇主信任的内部人员,也会做出一些辜负信任的恶意活动。他们实行恶意行为时,往往会用到一些策略、技术以及过程(TTP)。对于这些已知的TTP,自我定位为内部威胁情报中心的MITRE认为:是时候汇总出一个统一的“字典”了。 二月中旬,在Citigroup Technology、 Microsoft、Crowdstrike、Verizon、和 JP Morgan Chase等多部门巨头的支
茉泠
威胁
中伦视界

权知轻重,度知长短:如何开展《个人信息保护法》项下的合规审计?

《个人信息保护法》将合规审计设定为处理者的法定义务,但如何开展审计仍存在诸多争议。本文结合域外经验,提出企业开展个人信息合规审计的目标、范围、流程和组织等实施路径。
中伦视界
奇安网情局

政策突变:美国政府拟削弱军方网络空间行动权限

美国防部与国务院的网络空间权力斗争。
奇安网情局
D1Net

如何揭开网络安全风险管理流程的神秘面纱?

在进行一些调查之后,调研机构发现2021年上半年约有3.047亿次勒索软件攻击,下半年的情况更加糟糕,达到3.186亿次,超过了2020年的2.819亿次勒索软件攻击。因此,网络安全风险管理越来越复杂,需要IT安全专业人员了解网络犯罪分子构成的威胁。
D1Net
数世咨询

RBAC浅谈

RBAC基于角色,而非用户设置访问权限,从而能够在不过度消耗IT部门的情况下实现加强安全性。
数世咨询
星云

RBAC浅谈

RBAC基于角色,而非用户设置访问权限,从而能够在不过度消耗IT部门的情况下实现加强安全性。
星云
访问控制 rbac
关键基础设施安全应急响应中心

网络安全监管运营体系建设与思考

本文在国家及监管单位对网络安全的监管和指导要求与烟草行业网信工作发展规划相结合的背景下,从四川中烟工业有限责任公司(以下简称:四川中烟)全公司网络安全监管运营体系建设的角度,阐述如何通过把各工厂IT环境中的安全设备、重要服务器设备日志、数据进行采集,并上传至公司进行统一配置,实现全面监控、实时告警、流量分析等。从公司统筹规划开展安全运营建设工作,既有效降低企业安全运维成本,又使企业安全事件应急响应
关键基础设施安全应急响应中心
网络安全 网络安全防护 信息化管理 网络监管 信息化规划