luozhonghua2000-CSDN博客

原创生物识别技术安全挑战浅论

生物识别技术利用人体生物特征进行身份认证的一种技术，通过计算机与光学，声学，生物传感器和生物统计学原理等高科技手段密切结合，将人体行为和心理特征收集，取样，运用图像处理或模式识别进行数字技术处理和存储的过程。生物识别应用类型1.指纹识别 2.语音识别 3.行为生物识别 4.“自拍”识别 5.击键识别 6.手掌静脉识别 7.虹膜识别 8.心跳识别 9.手型和手掌大小识别 10.DNA识别目前应用最多的是指纹，语音，面部行为，自拍，将来可能会其他扩展。

2023-05-11 23:23:44 422

原创渗透测试报告如何编写注意事项

网络工程师负责部署网络，程序员负责编写应用，审计员负责编写报告。作为网络渗透测试人员，毫无疑问你扮演着审计员的角色。你跟负责配置路由协议的网络工程师不同，跟负责编写应用的程序员也不同，你的价值在于你编写的报告。换句话说，你需要学习如何编写报告。有门科学艺术跟写作是关联的。如果要寻求一个一致的风格，作为渗透测试人员，并且最终有可能是审计员，你的价值都取决于如何呈现自己的发现。渗透测试报告不成功的首要原因是语法或拼写错误。次要原因是不合逻辑的流程或语体。这也是我们强烈建议你提前让跟项目无关的其他人帮你审定报告，

2023-05-11 20:38:53 551

原创 Java供应链安全检测SDL方法论

在 SDL 流程中，通过消息来调度各安全能力，上图以数字编号描述了构建阶段的增量扫描流程和包含了 SCA 辅助 SAST 判断依赖漏洞可利用性的 SAST 扫描流程，以字母编号描述了运行阶段的存量扫描流程。构建阶段，SCA 扫描由工程构建完成消息触发，数据流 mavenTree 的输入由 SCA 从 SDL 获取，完成扫描后返回漏洞信息给 SDL，SCA 的可利用性检查能力通过和 SAST 之间自建的消息队列异步提供给 SAST。近些年，开源程序陆续爆出安全漏洞，轻则影响用户体验，重则业务应用沦陷。

2023-05-11 10:42:48 559

原创 java安全编码规范(0)

JAVA安全编码标准有这么一指导书，新手可以去看看，这里主要从实践总结，随时会更新。主要从十个方面去了解下，实际上远远不只这些哦。。

2023-05-10 23:30:43 591

原创美国多年提高网安预算分析

联邦零信任战略定义了政府部门的优先目标，在各部门内实现一致的网络安全基线，该基线基于最小特权原则、最小化攻击面以及部门安全边界被攻破的假设设计保护措施。2016财年卡特称，这部分经费将用于建造更多的网络训练基地，测试网络工具，培训国防部的网络力量和发展新的攻击性网络武器。卡特在本月初的发言中称，这将帮助国防部进一步提升网络防御能力，为美国的网络战士建立更多的训练基地，发展网络工具和基础设施，开发和部署联邦共享的产品、服务和标准，以增强安全的客户体验，尤其是在高影响力的服务提供商中；

2023-05-10 20:42:54 996

原创物联网设备安全整改汇总(2)

上篇讲了物联网整体硬件安全整改，关于物联网设备端设备需要更细化的整改内容总结，这篇继续讲，一共分2大类，脆弱性分析和威胁风险分析，这些分析可作为具体落实改造的分析方法和工作方法，也可以作为部门负责人或创业者指导。通讯和存储过程中使用强加密算法进行数据加密和认证，密钥使用非对称加客进行传输。未授权访问：产品缺乏用户认证机制，后门账号，设计缺陷或软件漏洞。设备以全局唯一身份加入物联网，设备之间连接进行可信认证。设备厂商忽视安全：升级困难，配置错误，固件漏洞。硬件接口暴露：JTAG接口，串口(COM口)

2023-05-10 13:35:06 766

原创物联网硬件安全与整改梳理(1)

安全基线是信息系统最小的安全保障，是实现信息安全风险评估和风险管理的前提和基础，需建立各种系统的基线安全模型安全度量是衡量智能硬件设备的安全防御能力水平的综合评估呈现。无人值守且可能动态的智能硬件节点的远程签约信息和业务信息配置成为难点，机器与机器之间通信为需求的智能硬件网络与传统的人与人之间通信为需求的网络存在差异性。在面临传统网络的传输层和应用层的所有安全问题的同时，因智能硬件感知层采集的数据协议以及格式的多样性以及海量性带来的新的安全问题。

2023-05-09 15:08:26 908

原创物联网安全工作梳理(0)

物联网相比互联网，设备更多，协议更多，标准不统一，安全更脆弱，因此相当于互联网的安全漏洞增量。SOC实现耗合，安全防护联动、安全情报共享等终端微点矩阵化、组织化、智能自适应化。从安全情报、安全产品、安全运维、安全服务等多维度整合提高防御效率，降低防御成本。传输过程的流量分析、窃取、嗅探等传输信息数据被泄露、劫持、篡改、干扰、屏蔽等。强化物联网云端、传输端、终端的逻层、物理层等多层面的安全检测能力。以业务为驱动，量化安全、展示安全、控制安全技术化安全管理。代码安全--终端安全的核心，芯片智能设备的“大脑”

2023-05-09 09:52:51 766

原创情报收集分析

这里我们要知道，每家公司收集情报的范围往往是有限的，且不同于其他公司宣称的拥有相似数据。情报收集分析方法是逆向考虑hacker是如何利用社会工程学抓取漏洞，作为安全人员是必须的技能，网络安全情报收集：目标选取，OSINT,足迹，隐藏收集，HUMINT，识别保护机制，分析结构和内容仅属个人观念和模版。这通常是网络威胁情报中最丰富的数据集之一，因为调查人员能够识别威胁的多个因素，包括黑客所使用的工具和技术，并且通常可以识别入侵背后的意图和动机。MASINT是指除了信号和图像之外，通过技术手段收集的情报。

2023-05-08 21:33:36 816

原创防御DDOS攻击方法总结

在有网络带宽保证的前提下，请尽量提升硬件配置，要有效对抗每秒10万个SYN攻击包，服务器的配置至少应该为：P42.4G/DDR512M/SCSI-HD，起关键作用的主要是CPU和内存，若有志强双CPU的话就用它吧，内存一定要选择DDR的高速内存，硬盘要尽量选择SCSI的，别只贪IDE价格不贵量还足的便宜，否则会付出高昂的性能代价，再就是网卡一定要选用3COM或Intel等名牌的，若是Realtek的还是用在自己的PC上吧。常用的低代价和高代价防御方法，低代价有点效果，高代价效果明显，可以做到永不宕机。

2023-05-08 13:11:53 708

原创 2023国内网安市场分析和创业机会

一位信息安全资深专家表示，早期的信息安全是被动防御，如今“以平台化的服务为主，在数据中发现入侵痕迹，对攻击行为进行预判、阻止，必然是一种趋势。据了解，以BAT为代表的互联网巨头们，也正不断用重金将全国的顶尖“白帽子”（发现网络漏洞的安全专家）收入麾下。中国信息安全界有数千家企业，但目前还只是一片草地，做得比较好的企业，也只是长得比较高的草而已。硬件，软件这些年有长足的国产化，因为国产化可做到可信，自主，但还有大部分应用市场没有做到，外来的软件或开源都不可能做到可信，自主。

2023-05-07 23:30:51 119

原创大数据安全分析与架构设计

随着数据的增大就会吸引更多潜在的攻击者，同时在黑客将数据攻破之后还会根据突破口而获取大量的数据，因此很多黑客都喜欢攻击大数据技术下的数据，进而可以一定程度的降低黑客的攻击成本，从而获得更多的收益。可以说云服务和大数据技术是共同发展起来的。划重点：数据采集是大数据安全分析最重要的部分，这一块主要依靠着数据分级规则来定，由于很多现实原因，市场上很多类似的这种平台并不能很好的规划好这个采集端，一旦落地混乱，后面的数据流程就会乱，应用就是重复的bug修复，这就是现实，因此仅可能的抽象，归类在这一层做到通用又灵活。

2023-05-07 22:49:23 967

原创 35岁后的程序猿该何去何从

所以他还是组建了团队，一边投入外包网站，一边维护以前的订单和新来的订单，后期经过一年的努力，终于有结果了，但问题又来了，国内进行这块业务虽然有增长，但还是竞争多，于是又开发国外版外包网，就这样艰难的执行着，经过半年努力运营，也接到一些国外订单，国外订单虽然有可观的利润，但随着沟通维护成本的增加，还是存在增长瓶颈，所以后面总结，干外包业务瓶颈较大，很累并没有什么利润，后面他开始转型，转型到专做安全的一个细分领域，精兵简政，将所有的力量集中突破，终于得到了国家和社会的认可，这才解决了长期的业务利润。

2023-05-07 18:09:19 974

原创业务安全场景分析和归类

业务安全可分四类，账户安全，内容安全，支付安全，活动安全。验证码机制(图形，语音，滑动等)具体落地效果演示将在后续系列公布。利用假身份进行开户 (金融业务)具体落地效果演示将在后续系列公布。感信息过滤(黄色，反动，暴力等)收集变形，绕过文字组合生成新样本。具体落地效果演示将在后续系列公布。具体落地效果演示将在后续系列公布。前端提示不要透露过多信息。提现频次上限，提现后通知。异常地区，设备二次认证。异常设备登录二次认证。第三方凤控SDK阳断。黄牛，革毛党瓜分优惠。分析用户行为是否异常。

2023-05-07 14:20:32 232

原创安全漏洞总结

在已知的安全的漏洞上识别和设计漏洞修补一般是白盒测试和整改，在实际的生产工作中，整改的工作量也是非常多的，比如其中一个很小的子项SQL注入可能就涉及到好几种的要整改，如果项目涉及大，那么工作量是巨大的。安全漏洞总结只是已知的漏洞，未知的漏洞天天都在发生，这里总结一般都是必须整改的，一共6大类，每类若干小类，每小类若干个项，这次总结能涵盖大部分安全漏洞攻击点。远程代码执行——CVE-2015-0240。用户名: FTP 密码: FTP为空。用户名: USER 密码: pass。暴力破解——hydra。

2023-05-07 01:02:06 695

原创信息安全从业人员职业规划(甲方乙方分别说明)

负责整个组织的安全运行状态、物理安全、信息安全等，很多企业都是合伙人之一互联网金融、银行等行业都非常重要企业的各个方面都要管，甚至业务安全、反欺诈和隐私保护等等到犯罪的问题。大型的企业会设置专门的安全测试部门定期对基础设施和应用系统进行安全扫描和渗透测试风险评估，对漏洞的整改进行跟踪和技术支持等全国有几千人，人员基数在不断增长。对主机、网络、数据库、应用系统、数据等进行安全检查策略配置等对思科路由器、防火墙设备、操作系统等等各种安全产品的维护等。帮客户进行安全解决方案设计，对客户进行安全培训、售前交流等。

2023-05-06 09:30:39 871

原创网络安全等级保护安全设计技术要求示例解读

服务层是对云服务商所提供服务的实现,包含实现服务所需的软件组件,根据服务模式不同,云服务商和云租户承担的安全责任不同服务层安全设计需要明确云服务商控制的资源范围内的安全设计技术要求，并且云服务商可以通过提供安全接口和安全服务为云租户提供安全技术和安全防护能力。各级系统安全保护环境由相应级别的安全计算环境、安全区域边界、安全通信网络和(或)安全管理中心组成。结合云计算功能分层框架和云计算安全特点,构建云计算安全设计防护技术框架,包括云用户层、访问层、服务层、资源层、硬件设施层和管理层(跨层功能)。

2023-05-05 13:27:29 650

原创安全服务体系建设主体内容

安全服务体系建设总共10类工作内容，每类分若干咨询方案或技术实施方案，同时也是一个长期建设与服务的工作，这些工作都是依据《网络安全等级保护基本要求》、《网络安全等级保护安全设计技术要求》《网络安全等级保护定级指南》。定级咨询：根据等级保护定级国家标准和定级对象，给定级对象进行合理定级。应急响应：针对突发的安全事件，协助进行回溯、回复和取证相关工作。访问控制：账户管理、权限管理、强制访问、策略管理、敏感信息标记。技术整改方案：根据等级保护级别和现状，提出整体技术整改方案。可信验证：文件完整性+实时监控。

2023-05-04 22:49:39 1073

原创等保定级报告模版

侵害的客观方面表现为: 一旦信息系统的业务信息遭到入侵、修改、增加、删除等不明侵害 (形式可以包括丢失、破坏、损坏等)，会对公民、法人和其他组织的合法权益造成影响和损害，可以表现为: 影响正常工作的开展，导致业务能力下降，造成不良影响，引起法律纠纷等。业务处理系统以内部财务结算模式，负责各类买入转让还款的业务处理，包括与第三方实时连接、接口协议转换、非实时批量数据的采集、业务处理逻辑的实现、与会计核算系统的连接等。该业务信息遭到破坏后，所侵害的客体是公民、法人和其他组织的合法权益。

2023-05-04 19:25:13 773

原创等保定级怎么做

一般损害:工作职能受到局部影响，业务能力有所降低但不影响主要功能的执行，出现较轻的法律问题,较低的财产损失,有限的社会不良影响,对其他组织和个人造成较低损害:严重损害:工作职能受到严重影响，业务能力显著下降且严重影响主要功能执行，出现较严重的法律问题,较高的财产损失,较大范围的社会不良影响，对其他组织和个人造成较高损害;审核通过后最终确定定级对象的安全保护等级。由于对客体的侵害是通过对等级保护对象的破坏实现的，因此对客体的侵害外在表现为对等级保护对象的破坏，通过侵害方式、侵害后果和侵害程度加以描述。

2023-05-04 18:24:57 962

原创等保各项费用支出明细

Q7：做等级保护要多少钱？答：开展等级保护工作主要包含：规划费用、建设或整改费用、运维费用、测评费用等，具体费用因各单位现状、保护对象承载业务功能、重要程度、所在地区等差异较大。为避免过度保护或疏于防范的情况，减少资源浪费等，建议聘请或咨询专业的等级保护服务机构，制定科学合理的方案。新老项目会根据客户现实情况制定符合等保政策的安全规划方案，根据这个方案实施需要的项目，一般费用5万起，可以和测评费合并。会根据规划方案进行整改收费，1w到1000w不等会根据规划方案运维，可以和整改费合并。【测评费用】

2023-05-04 15:22:51 986

原创身份鉴别解读与技术实现分析(1)

Kerberos框架的核心设计思想是引入了KDC，KDC名为密码分发中心，实际并不会把原始密码分发出去，而是使用客户端和服务端各自的密码分别加密认证信息，生成和分发票据，客户端和服务器也分别使用自己的密码解密拿到的认证过程中的票据信息，在整个过程中，原始密码不会在网络中传输，避免了密码传输泄密的风险，而且实现了客户端和服务器的双向认证。服务器验证动态口令时，跟这个动态口令牌没有任何物理联系，服务器和动态口令牌使用同样的算法，基于通用的原始秘钥和其他参数，各算各的，同一时间算出的数字都是一样的。

2023-05-03 23:58:47 1197

原创等保整改常见问题解答

但是这并不代表等级保护工作白做了，即使你拿着不符合的测评报告，主管单位也是承认你们单位今年的等级保护工作已经开展过了，只是目前的问题较多，没达到相应的标准，需要抓紧整改。答：可根据实际情况，如考虑等保测评结果分数与等级、业务系统风险与防护要求等综合考虑安全通信网络防护、安全区域边界防护、安全计算环境防护、安全管理中心、安全建设与运维等投入。为了能成功通过等级测评，企业要根据等级保护建设要求，对信息和信息系统进行网络安全升级，对定级对象当前不满足要求的进行建设整改，包括技术层面的整改，也包括管理方面的整改。

2023-05-03 13:52:22 1081

原创等保工作的定级指南文件

对于采用其他特殊技术或处于特殊应用场景的等级保护对象，应在安全风险评估的基础上，针对安全风险采取特殊的安全措施作为补充。由于标的不同、更用技术的不同、应用场景的不同等因不同的等级保打对会以不同的形态出现，老现式可能称之为基确信息网络、信息系统(包合采用移动互联等技术、云计算平台/系统、大数据象而台/系统的联网,王业控制系统，形态本同的等级保护对的胁有所不同，安全保护需会所差为了使于实现对不同级别的和不同形态的等级保护共性化和个性化保护,等级份分为安全通用要求和安全扩展要求。数据资源可以独立定级。

2023-05-03 11:58:08 1270

原创等保工作流程和明细

一、系统定级信息系统运营使用单位按照等级保护管理办法和定级指南，自主确定信息系统的安全保护等级。有上级主管部门的，应当经上级主管部门审批。跨省或全国统一联网运行的信息系统可以由其主管部门统一确定安全保护等级。定级需要根据信息系统的实际情况合理定级。二、系统备案第二级以上信息系统定级单位到所在地设区的市级以上公安机关办理备案手续。省级单位到省公安厅网安总队备案，各地市单位一般直接到市级网安支队备案，也有部分地市区县单位的定级备案资料是先交到区县公安网监大队的，具体根据各地市要求来。

2023-05-02 17:42:46 917

原创信息安全咨询服务内容

一、安全技术服务包括风险评估、安全排查、安全加固、渗透测试、云防御、安全监测、安全测试、安全规划设计、漏洞扫描等。二、安全运维支持服务包括，驻场服务、安全巡检、应急响应服务、应急演练服务、重大节会安全保障、远程支撑等。三、安全咨询包括等级保护合规设计与建设咨询服务、信息系统安全风险评估咨询服务、信息安全保障体系设计规划咨询服务、信息安全管理体系建设咨询服务。四、安全培训服务1、安全技术培训，包括安全漏洞扫描及挖掘、安全技术加固、安全配置核查、渗透测试等。

2023-05-02 17:15:17 2749

原创渗透测试流程方法工具详情

前面的环节可以说都是在按部就班地完成非常普遍的目标，而在这个环节中，需要渗透测试团队根据目标组织的业务经营模式、保护资产形式与安全防御计划的不同特点，自主设计出攻击目标，识别关键基础设施，并寻找客户组织最具价值和尝试安全保护的信息和资产，最终达成能够对客户组织造成最重要业务影响的攻击途径。渗透攻击可以利用公开渠道可获取的渗透代码，但一般在实际应用场景中，渗透测试者还需要充分地考虑目标系统特性来定制渗透攻击，并需要挫败目标网络与系统中实施的安全防御措施，才能成功达成渗透目的。

2023-05-01 22:27:51 1029

原创漏洞分析和利用

这种反差已经造就了安全漏洞交易市场的出现，如著名的 TippingPoint公司的“Zero-Day Imitative”计划和iDefense公司的漏洞贡献者计划等，这些安全公司通过向安全研究人员收购高价值的安全漏洞，并出售给如政府部门等客户来赢取经济利益，同时也为安全研究人员带来更高的经济收益，而这些安全漏洞的售价通常在几百美元至数万美元之间，影响范围巨大且能够有效利用的安全漏洞售价甚至可能超出十万美元。在渗透测试流程中，核心内容是找出目标系统中存在的安全漏洞，并实施渗透攻击，从而进入到目标系统中。

2023-05-01 09:21:31 1147

原创信息系统生命周期安全设计工作大纲

系统生命周期安全设计分：安全需求设计，系统安全开发，安全测试，系统上线安全，安全运维等维度，本文详细介绍

2023-04-30 22:45:54 73

原创 Fortify免费安装使用教程

Fortify 能够提供静态和动态应用程序安全测试技术，以及运行时应用程序监控和保护功能。为实现高效安全监测，Fortify具有源代码安全分析，可精准定位漏洞产生的路径，以及具有1分钟1万行的扫描速度。

2023-04-30 19:44:44 2658

原创 ChatGPT信息安全问题

对某些企业利用chatgpt生成代码，我敢说，100%存在安全隐患，一旦被利用，损失你们都懂得。再说国内的企业一般都不可能投入大量的精力和成本投入安全，出现了就找人背锅。

2023-04-30 15:44:29 648

原创等保2.0存在的问题

测评要求中，很多测评指标的对应的测评对象明显无法测评，比如剩余信息保护测评对象是终端和服务器等设备中的操作系统、业务应用系统、数据库管理系统、中间件和系统管理软件，操作系统在Windows上都比较清晰可操作，但在Linux上异议很多，但数据库管理系统、中间件、业务应用系统上如何测评，却没有详细说明，测评要求的测评实施很多都是文义描述，缺少可操作性和实践性，导致测评过程中，测评实施方法各不相同。加上客户要求越来越高，测评机构必然的倾向于客户，毕竟，对于绝大部分机构来说，客户就是上帝。

2023-04-29 21:52:47 1552