企业产品网络安全建设日志0402

最新推荐文章于 2024-07-06 23:32:35 发布
最新推荐文章于 2024-07-06 23:32:35 发布
阅读量563 收藏
点赞数 1
分类专栏: 深造之旅 企业产品网络安全建设实录 文章标签: web安全 系统安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dalerkd/article/details/137298526
版权

文章目录

    • 全面评估了引入短链接组件带来的风险以及替代方案
    • 301安全升级正当时

全面评估了引入短链接组件带来的风险以及替代方案

引入比较关键的组件,要全面评估它的安全风险和维护成本。包括它有没有公开的漏洞,它选用的依赖是否有缺陷,它的开发者是否活跃,相关组件维护成本,如果应急维护的话,是否有人掌握相关技能?
此外,对于一些管理页面,也应当做到内网保护,也就是外网不能访问相关路径。
整体服务也应当在网关保护之下。我们的网关有一整套安全措施。
经过评估之后发现隐患非常多,对方很好,但不适合我们。
跟开发梳理应用的上下游工作逻辑是非常有用的,发现根本不需要使用引用短链接组件,使用下游服务就能解决问题。

301安全升级正当时

目前在项目经理的助推下,各产品线都在排查自己的域名是否支持https,把成年老域名都给找出来了
无用域名自然下架,其他域名正在热火朝天的排查中
预期有问题的主要是非常陈旧的设备,早期陈旧定制设备上的应用程序,可能不支持https,还有一些日志上传端口。

dalerkd
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
网络安全能力成熟度模型介绍
ducc20180301的博客
06-26 9499
经过多年网络安全工作,一直缺乏网络安全的整体视角,网络安全的全貌到底是什么,一直挺迷惑的。目前网络安全的分类和厂家非常多,而且每年还会冒出来不少新的产品。但这些产品感觉还是像盲人摸象,只看到网络安全的一个点,而不是一个整体。最近无意看到了网络安全能力成熟度模型(C2M2),有种相见恨晚的感觉。它是一套自成体系的模型,内容比较全面,更贴近企业落地。它的目的是帮助所有一定规模的组织评估和改进其网络安全,并加强其运营弹性。
建设企业网络安全体系的案例分析.pdf
09-19
建设企业网络安全体系的案例分析 本文将对建设企业网络安全体系进行深入分析,讨论企业网络安全现状、安全管理体系、安全技术防护体系、威胁情报中心和安全运营体系等方面的不足之处,并提出基于三位一体的网络安全...
企业网络安全保障团队建设构想
网络安全
11-22 5842
实战化的网络安全运行体系是保障业务安全稳定运行的基础,企业必须建立实战化的安全运行体系,以应对日益复杂的网络威胁。实战化的网络安全运行体系涵盖网络安全保障团队、网络安全管理机制、网络安全制度流程、网络安全支撑平台及安全工具等,通过安全运行活动将静态的安全产品构筑为动态的安全防护体系,使企业具备落实网络安全主体责任能力。
网络安全防护体系建设
PrintwhQ的博客
09-02 9257
构建适应数字化时代的网络安全防护体系,通过建立信任实现数字化业务的连接,通过控制风险抵御连接过程中的威胁,基于风险与信任的控制,保障网络安全防护体系落地。
企业网络安全最佳实践指南(二)
2301_81250923的博客
12-11 1317
首先是网络安全管理部分。正所谓“三分技术、七分管理”,且不论这“三”和“七”的科学合理性,单从字面上就可以看出管理的重要性。管理是脑,技术是手,脑支配手,手配合脑。所以先将网络安全管理相关内容进行呈现。网络安全管理体系侧重于从管理维度,在网络安全相关法律、法规控制下,制定网络安全整体的战略规划,对网络安全实际工作进行战略指导。配合战略落地,在管理方面的实际工作主要有标准化工作流程、风险管控、应急管理、网络安全重保、安全培训以及计划管理、监督实施等内容。
中小企业网络安全建设指引
煜铭2011
02-20 1870
【序章】  本文其实是我们在2016年底为腾讯投后企业的相关同学进行主题为“如何防范黑客攻击”的安全培训(为投资企业提供全方位资源支持是腾讯投资的一个增值服务)的时候产生的副产物:部分初创企业安全团队规模较小(甚至没有专职的安全团队),但是却又实实在在地遭受到来自互联网的安全威胁,它们急需安全方面的指导,但是又苦于经验和资源的匮乏,所以当时我们答应下来将这部分工作后续以文章及服务的形式进
记一次作业:完成企业网络安全运营建设方案
linyuezhouzhou的博客
05-06 2249
记一次作业:完成企业网络安全运营建设方案 首先了解首先了解网络安全运营建设的意义。 安全运营是网络安全运营者持续不断思考忧化的命题与治动 安金运营是系列规则技术和运用的集合,用以保障组织和业务平稳运行的相关治动,通过灵活,动态的突施控制和以期月达到组织和业务需要整体范围可持续正常远行。 系统性 动态性 实整性. 分析用户需求 (分析方案预期达到的效果/为了预所防某类事件发生) •通过购买与安全产品配套的安全运营服务,切实发挥出安全产品功能,体现安全产品的效果。 •针对自由...
网络安全产品之认识准入控制系统
学而思(xiejava的blog)
02-04 1805
随着企业信息化建设的不断深入,企业的各种信息资产越来越多,网络安全问题也越来越突出。如何防止外来电脑、移动设备接入局域网,保护企业信息资产的安全,成为企业网络管理的重要问题。准入控制系统的出现,为企业提供了一种有效的解决方案。本文我们一起来认识一下准入控制系统。
关于网络安全运营工作与安全建设工作的一些思考
Serendipper_constancy的博客
10-25 2072
以下内容是个人成长过程中对于网络安全运营工作的理解和思考,希望通过这篇文章帮助大家更好的去做安全运营体系化建设。安全运营工作并不是通过各类安全设备的叠加增强安全能力,而是通过技术与管理结合的形式将企业现有的安全能力进行最大化展现。
办公网安全建设
yib0y的博客
05-07 1457
背景 广泛的讲安全,大致分为 网络安全 主机安全 应用安全 在互联网,网络安全基本指的就是办公网的整体安全建设,IDC机房因为现在使用的都是云,所以基本不用操心这类安全。主机安全一般HIDS来做。应用安全从项目立项到上线之后的监控和SRC整套流程涉及的细节都非常的多,幸运的是我基本都做过,现在有幸参与公司的办公网安全建设。现在总结一下办公网安全建设,每一个场景都是亲身经历。 其次,办公网流量分...
网络安全管理与运维服务
热门推荐
hsabrina的博客
11-13 1万+
网络安全管理与运维服务 近年来,随着我国信息化建设的不断推进及信息技术的广泛应用,在促进经济发展、社会进步、科技创新的同时,也带来了十分突出的安全问题。根据中国国家信息安全漏洞库(CNNVD)、国家互联网应急中心(CNCERT)的实时抽样监测数据,2013年3月份,新增信息安全漏洞数量比上个月增加了33.9%;境内被挂马网站数量比上月增加17.9%;境内被黑网站数量为7909个,境内被篡改网站数量为9215个,境内被木马或僵尸程序控制主机数量为129万台。面对我国网络信息安全问题日益严重的现状,国家层面在
电力企业网络安全态势感知体系建设.pdf
09-19
《电力企业网络安全态势感知体系建设网络安全在当今数字化时代至关重要,尤其对于电力企业而言,其网络系统的安全性直接影响着国家的能源安全和社会稳定。本文以中国华电科工集团有限公司为例,深入探讨了电力...
企业云安全建设之路.pdf
02-03
综上所述,企业云安全建设涉及多个层面,包括策略制定、控制点设计、技术选型以及持续优化。通过构建全面的云安全体系,企业可以有效地应对云环境中的安全挑战,保障业务的正常运行,并符合日益严格的合规要求。
网络安全应急响应实践合集.zip
09-03
网络安全应急响应实践合集,共32份。 2019年全球互联网安全态势报告; 2020年网络安全应急响应分析报告; 安全服务与应急响应; 安全事件管理自动化之路; 从检测到响应-机器学习的应用演变; 从应急响应看医疗卫生...
网络安全测评技术与标准
weixin_48579910的博客
07-06 585
网络安全测评通过多种方法和工具对系统、网络和应用程序进行全面评估,以发现和修复潜在的安全漏洞,确保其符合安全标准和政策。结合渗透测试、漏洞扫描、安全审计、风险评估、合规性测试、代码审查、社会工程测试、配置评估和基准测试等多种类型的测评,组织可以全面提升其网络安全防护能力,保护其信息资产和业务连续性。网络安全测评流程包括准备阶段、信息收集阶段、漏洞扫描阶段、渗透测试阶段、安全审计阶段、风险评估阶段、报告阶段、修复和验证阶段以及持续监控和改进阶段。
网络防御保护——网络安全概述
智商不在服务区的博客
07-06 478
0day漏洞是指负责应用程序的程序员或供应商所未知的软件缺陷。因为该漏洞未知,所以没有可用的补丁程序。换句话说,该漏洞是由不直接参与项目的人员发现的。术语“0day”是指从发现漏洞到对其进行首次攻击之间的天数。0day漏洞公开后,便称为nday漏洞。0day时间表的工作原理如下:一个人或一个公司创建了一个软件,其中包含一个漏洞,但涉及编程或发行的人员却不知道。在开发人员有机会定位或解决问题之前,有人(除负责软件的人员之外)发现了漏洞。发现该漏洞的人会创建恶意代码来利用该漏洞。该漏洞被释放。
CTF实战:从入门到提升
hackeroink的博客
07-02 900
13章为第4篇Reverse逆向工程,主要介绍了逆向工程基本概念、计算机相关原理、逆向相关基础、常规逆向分析思路、反调试对抗技术等内容;第14~17章为第5篇PWN,主要介绍了基础环境准备、栈溢出、堆溢出等漏洞的原理与利用。本书所有案例都配有相关实践内容,能够更有效地帮助读者进一步理解相关技能。本书旨在帮助读者相对快速且完整地构建一个CTF实战所需的基础知识框架,并通过案例学习相关技能,完成从入门到提升,适合所有网络安全爱好者及从业者参考阅读,也可作为高等院校网络安全相关实践课程的参考用书。
网络安全(黑客)自学
白帽子凯哥聊黑客
07-02 809
网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。无论网络、Web、移动、桌面、云等哪个领域,都有攻与防两面性,例如 Web 安全技术,既有 Web 渗透,也有 Web 防御技术(WAF)。作为一个合格的网络安全工程师,应该做到攻守兼备,毕竟知己知彼,才能百战百胜。
第一节 网络安全概述
最新发布
m0_74543941的博客
07-06 611
网络安全的概述笔记,详细了解网络安全的发展。
信息安全-深信服下一代防火墙AF产品彩页.pdf
06-15
针对企业网络安全建设所面临的困难和挑战,NGAF提出了一系列创新的安全建设方案和理念,为用户提供了有力的支持和保障。通过NGAF产品手册中的详细介绍和实用案例分析,用户可以更好地了解NGAF的产品特点和优势,并...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值