自定义博客皮肤VIP专享

*博客头图:

格式为PNG、JPG,宽度*高度大于1920*100像素,不超过2MB,主视觉建议放在右侧,请参照线上博客头图

请上传大于1920*100像素的图片!

博客底图:

图片格式为PNG、JPG,不超过1MB,可上下左右平铺至整个背景

栏目图:

图片格式为PNG、JPG,图片宽度*高度为300*38像素,不超过0.5MB

主标题颜色:

RGB颜色,例如:#AFAFAF

Hover:

RGB颜色,例如:#AFAFAF

副标题颜色:

RGB颜色,例如:#AFAFAF

自定义博客皮肤

-+
  • 博客(203)
  • 资源 (6)
  • 收藏
  • 关注

原创 安全防守工作指南

本指南主要为了规避驻场工程师在护网防守期间出现违规行为,从保密要求、网络传播、个人终端安全、值守要求、关键个人行为等方面提出最基本的护网期间工作准则,规避驻场工程师、小白等被攻击者利用的风险。

2024-07-18 17:42:17 264

原创 移动设备安全革命:应对威胁与解决方案

移动设备已成为我们日常工作和家庭生活中不可或缺的工具,然而,对于它们安全性的关注和投资仍然远远不够。本文深入分析了移动设备安全的发展轨迹、目前面临的威胁态势,以及业界对于这些安全漏洞响应迟缓的深层原因。文中还探讨了人们在心理层面和组织结构上难以采取有效措施提升移动设备安全的原因,并提出了优先保护我们个性化的技术的解决方案。

2024-07-18 15:24:17 876

原创 全文翻译 | OWASP《LLM安全与治理检查清单》

本文是OWASP(开放式网络应用安全项目)发布的《LLM AI安全与治理清单》(以下简称“清单”),旨在为使用大型语言模型(LLM)的组织提供安全与治理方面的指导。清单强调了负责任和可信的人工智能(AI)的重要性,并指出AI技术,尤其是LLM,在创新、效率和商业成功方面具有巨大潜力,同时也带来了明显的挑战。文中讨论了LLM面临的挑战,包括控制和数据平面的不可分割性、非确定性设计、语义搜索的使用等,并强调了LLM增加的攻击面和相关风险。

2024-07-17 10:12:19 856

原创 全面解析LLM安全风险 | 3万字长文翻译OWASP关于大语言模型的Top 10安全风险

全面解析LLM安全风险 | 3万字长文翻译OWASP关于大语言模型的Top 10安全风险。

2024-07-17 10:09:41 523

原创 整合网络安全工具的6点建议

企业组织需要对各种单点式安全工具和控制措施进行整合和管控,这可以带来诸多好处。

2024-07-16 17:39:43 491

原创 Gartner发布终端安全运营指南:有效终端安全运营的三大关键

Gartner发布终端安全运营指南:有效终端安全运营的三大关键

2024-07-16 16:41:50 1180

原创 资产几何?现代组织的外部攻击面

组织的外部攻击面情况如何?组织自己能完全掌握自己资产的情况吗?

2024-07-10 15:56:32 683

原创 Gartner发布采用美国防部模型实施零信任的方法指南:七大支柱落地方法

零信任是网络安全计划的关键要素,但制定策略可能会很困难。安全和风险管理领导者应使用美国国防部模型的七大支柱以及 Gartner 研究来设计零信任策略。

2024-07-09 10:24:19 639

原创 十大全球网络安全巨头面向平台化和生成式AI的关键举措:收购、整合和建立战略联盟

随着人工智能和生成人工智能能力的不断增强,从点解决方案向整合和平台的转变正在重新定义 IT 安全市场及其领先的供应商。

2024-07-04 10:51:52 842

原创 云渗透实战手册:云API攻防之云服务端点侦查

在云计算环境中的渗透,与传统渗透相比,新增加了许多新的攻击面,同时也因为云计算的特点我们需要转变渗透的思维,用云计算的方式去思考云渗透。

2024-07-03 15:11:45 879

原创 被⽹络罪犯利⽤的5⼤ChatGPT越狱提⽰

⾃ChatGPT发布的近18个月以来,⽹络罪犯们已经能够利⽤⽣成式AI进⾏攻击。OpenAI在其内容政策中制定了限制措施,以阻⽌⽣成恶意内容。作为回应,攻击者们创建了⾃⼰的⽣成式AI平台,如 WormGPT和FraudGPT,并且他们还分享了如何绕过这些限制以实现对ChatGPT的“越狱”。

2024-07-03 15:07:13 1067

原创 Windows安全认证机制——Windows常见协议

链路本地多播名称解析(LLMNR)是一个基于域名系统(DNS)数据包格式的协议,使用此协议可以解析局域网中本地链路上的主机名称。它可以很好地支持IPv4和IPv6,是仅次于DNS解析的名称解析协议。NetBIOS是Network Basic Input/Output System(网上基本输入输出系统)的缩写,它是一种接入服务网络的接口标准,主机系统通过WINS服务、广播及Lmhost文件等多种模式,把NetBIOS名解析成对应的IP地址,实现信息通讯。

2024-07-02 10:38:02 571

原创 Windows安全认证机制——Kerberos 域认证

Kerberos是由麻省理工学院(MIT)开发的网络身份验证协议,它的主要好处是强大的加密和单点登录(SSO)。Kerberos作为一种可信任的第三方认证服务,是通过传统的密码技术(如共享密钥)实现不依赖于主机操作系统的认证,无需基于主机地址的信任,不要求网络上所有主机的物理安全,并假定网络上传送的数据包可以被任意地读取、修改和插入数据的情况下保证通讯安全。

2024-07-02 10:34:20 585

原创 Windows安全认证机制——NTLM本地认证

Windows安全认证机制之NTLM本地认证

2024-07-02 10:30:00 597

原创 UAC用户账户控制详解

用户帐户控制(User Account Control,UAC)为Windows Vista中所推出的安全技术之一,其主要特点在于通过限制应用软件对系统层级的访问,从而改进Windows操作系统的安全性。虽然此类机能一直遭到部分用户的批评,但后续的Windows操作系统仍保留此类机能。如Windows 7中,微软公司保留并改进了此项功能(自定义UAC的安全等级)。

2024-07-02 10:22:12 669

原创 Windows访问控制模型详解

访问控制模型(Access Control Model)是指Windows操作系统关于安全性的一个概念,由访问令牌和安全描述符两部分构成,其中访问令牌是指由当前登录的Windows账号的用户持有,其中会包含了该账号的基础信息,包括用户帐户的标识和特权信息,安全描述符由要访问的对象持有,里面会包含当前对象的安全信息。假设当用户登录时,操作系统会对用户的帐户名和密码进行身份验证, 当登录成功时,系统会自动分配访问令牌(Access Token),访问令牌包含安全标识符,用于标识用户的帐户以及该用户所属的任

2024-07-02 10:17:23 609

原创 Gartner发布软件供应链安全指南:软件供应链攻击造成的损失将从 2023 年的460亿美元上升到2031年的1380亿美元

软件供应链安全是一个关键的风险和合规性问题,但大多数组织都以分散的方式处理它。缺乏一个包罗万象的框架会遗留安全漏洞。通过实施三支柱框架,安全和风险管理领导者可以确保广泛的保护。

2024-07-02 10:04:51 1006

原创 红蓝对抗下的内网横向移动渗透技术详解

本文主要介绍了利用远程服务进行横向渗透的方法,读者阅读本章内容后就能够理解,红队人员一旦通过外部某一个点进入了企业内部网络之中,那么内网之中所有的安全防护设备将会形同虚设,红队人员在内网之中获取核心靶标的系统权限如同探囊取物。因此,如何有效地建立内网横向渗透安全防护体系就成了大部分企业及蓝队防守人员值得思考的问题,笔者希望通过本章对红队人员进行横向渗透所常利用的手法的介绍,读者能够对内网安全体系建设引起更多的重视和思考。

2024-07-02 09:58:58 1780

原创 欧盟新指南对生成式人工智能数据合规的启示

2024年6月,欧盟数据保护监管机构(EDPS)发布了关于生成式人工智能数据合规的指南。《指南》更倾向于在方法论层面阐述生成式人工智能系统数据合规的方法论,而并非给出具体、直接可执行的操作指引。

2024-07-01 09:21:33 942

原创 红蓝对抗下的内网穿透技术详解

随着隧道技术的不断更新迭代,越来越多的攻击者利用隧道技术攻击企业内网,通过本篇文章从多维度分析隧道隐蔽技术的划分及对隧道技术整体来讲解,其中包含基础知识概括和相关隧道工具的利用方式及隧道隐蔽技术的检测防护方法,并且通过大量的案例来演示了多个实际常见的隧道场景,比如我们通过拿到系统权限后利用多个协议实现隧道穿透、端口转发、内网穿透,总之,希望本篇内容对读者有所帮助。

2024-06-29 10:56:33 911

原创 欧盟新指南对生成式人工智能数据合规的启示

《指南》更倾向于在方法论层面阐述生成式人工智能系统数据合规的方法论,而并非给出具体、直接可执行的操作指引。

2024-06-28 10:51:05 702

原创 北约网络安全防御演习:Locked Shields

网络空间被认为是陆、海、空、天之后的第五战场,各国都在开始使用与研发网络作战武器,网络空间对于国家安全愈发重要。网络安全正在成为国家安全的重要组成部分,各国正在加紧制定国家网络安全战略、建立各种应急处置组织与网络防御应对机构。在这个过程中,网络安全防御演习正在扮演越来越重要的角色。

2024-06-28 10:48:10 1213

原创 Gartner发布2024年企业高管增长议程:使网络安全投资与业务增长保持一致

网络安全投资和准备被视为推动企业发展的关键因素。除了避免损失之外,高管还应利用有效的以业务为中心的安全方法,通过大规模实现敏捷性和创新来推动收入增长。

2024-06-27 17:05:12 824

原创 Gartner发布开发敏捷网络安全计划指南:安全计划是一个在快速变化的环境中运作的复杂生态系统

随着企业数字化程度的提高,它们面临的网络安全风险和威胁只会增加。这项研究有助于高管领导了解敏捷网络安全计划的重要性,以及如何与安全和风险利益相关者合作,为下一次重大破坏做好准备。

2024-06-25 17:53:17 728

原创 【蓝队小WIKI】攻防演练中防守方重点知识点整理

Hvv蓝队技战法:https://www.freebuf.com/defense/391301.html3个阶段,4大要点,蓝队防守全流程纲要解读:https://www.aqniu.com/vendor/84950.html。

2024-06-24 18:59:27 1104

原创 Gartner发布2024年人工智能技术成熟度曲线:29项决定人工智能领域发展方向的前沿和趋势性技术

人工智能投资已达到新高,重点是生成式人工智能,但在大多数情况下,该技术尚未实现预期的商业价值。这项研究通过分析各种人工智能创新(其中许多创新正在快速发展),帮助人工智能领导者确定其他值得投资的技术。

2024-06-20 14:13:47 1705 3

原创 IDC发布2023年中国Web应用防火墙市场份额报告

IDC数据显示,2023年中国WAF硬件市场规模为13.5亿元人民币,同比增长为-2.6%;云WAF(公有云+私有云)市场规模为21.0亿元人民币,相较于2022年实现了14.0%的同比增长。

2024-06-19 15:07:07 595

原创 Gartner发布中国数据出境安全评估准备指南:利用技术简化安全评估的重启流程

在中国有业务往来的企业机构可能需要开展当地政府主导的业务数据和个人数据出境安全评估。跨国公司的安全和风险管理(SRM)领导者必须提前计划,避免数据传输和业务运营的中断。

2024-06-13 10:37:22 1176

原创 《电力网络安全事件应急预案》

各电力企业负责电力网络安全事件的应对工作,负责建立健全本企业的电力网络安全事件应对工作机制,具体负责本企业电力网络安全事件的预防、监测、报告和应急处置工作,在国家能源局及其派出机构的组织下,为其他电力企业的电力网络安全事件应对提供技术支持。各电力企业应按职责做好电力网络安全事件日常预防工作,做好网络安全检查、隐患排查、风险评估和容灾备份,健全本单位网络安全监测预警和信息通报机制,及时采取有效措施,减少和避免电力网络安全事件的发生及危害,提高应对电力网络安全事件的能力。做好预警信息要求的其他工作。

2024-06-12 09:21:32 926

原创 2024 RSAC大会值得关注的10款安全新品

一年一度的RSAC大会将于5月6日至9日举行。今年大会以“可能的艺术”(the Art of Possible)为主题,将通过高峰论坛、竞赛活动、展览等多种方式,呈现网络安全行业发展的新理念、新技术、新产品,以及众多创新网络安全企业。

2024-06-12 08:57:37 685

原创 以零信任守护AI原生应用:防范LLM攻击与数据投毒

AI原生应用正在迅速成为人工智能的下一个前沿领域。这些程序利用先进的AI技术,例如大型语言模型(LLMs),以赋能应用的智能化和交互化。从聊天机器人和虚拟助手到内容生成和情感分析,AI原生应用正在改变企业与客户互动和处理信息的方式。

2024-06-11 11:43:43 404

原创 Gartner发布企业人工智能治理指南:以企业通用治理框架为基础,确定针对框架六大支柱的AI特定因素

人工智能(AI)不仅发展迅速而且可能会放大人类的偏见,如何对其实施有效的治理是数据和分析领导者面临的一个挑战。本文提供了一种全面的方法,可用于扩展企业的治理框架,引入信任、透明度和多样性等AI特定的考虑因素。

2024-06-11 10:30:13 1178

原创 《Linux操作系统》

命令编译它生成f2.o。设置文件 a1.txt 的权限,使所有者(u)具有读取、写入和执行权限,所属组(g)具有读取和执行权限,其他用户(o)具有只读权限。这个脚本的主要功能是检查/root目录下是否存在名为bak的目录,如果不存在则创建它,并在该目录下创建一个以当前日期命名的压缩文件,用于备份/etc目录。在 Linux 文件系统中,i 节点(Inode)是一个用于存储文件元数据的结构,它包含了文件的大小、所有者、权限、时间戳以及数据块的地址等信息。其中,文件所有者是文件的拥有者,具有对文件的最高权限;

2024-06-07 16:33:08 983

原创 《Python程序设计》

写代码,有如下变量 name = " aleX is a man",请按照要求实现每个功能: (1)移除 name 变量对应的值两边的空格,并输出移除后的内容 (2)判断 name 变量对应的值a出现次数,并输出结果 (3)判断 name 变量对应的值以a进行分割,并输出结果 (4)将 name 变量对应的值a替换成w,并输出结果 (5)将 name 变量对应的值变小写,并输出结果 (6)请输出 name 变量对应的值的第 2 个字符?1)当输入的半径为非数值时,抛出异常,提示“输入非数值,请重新输入”;

2024-06-07 16:32:04 945

原创 《计算机操作系统》

计算题2*7若磁头的当前位置为100磁道,磁头正向磁道号增加方向移动。现有一个磁盘读写请求队列:23、376、205、132、19、61、190、398、29、4、18、40。若采用最短寻道时间优先算法,试计算出平均寻道长度为多少?解: 采用最短寻道时间优先磁盘调度算法,进行调度的情况为(从100磁道开始)移臂路线图如下:100-132-190-205-61-40-29-23-19-18-4-376-398平均寻道长度(32+58+15+144+21+11+6+4+1+14+3

2024-06-07 16:27:17 1074

原创 《数据库原理与应用》

教师属性有职工号,姓名,专业等,论文属性有论文编号,期刊/会议名称,出版时间,收录情况,他引次数,第一作者和通讯作者等。教师属性有职工号,姓名,专业等,学生属性有学号,姓名,专业,年级等。竞赛获奖证书有证书编号,名称,级别,获奖等级,指导老师,学生成员等。逻辑独立性是指用户的应用程序与数据库的逻辑结构是相互独立的,即,当数据的逻辑结构改变时,用户程序也可以不变.数据与程序的独立,把数据的定义从程序中分离出去,加上数据的存取又由DBMS负责,从而简化了应用程序的编制,大大减少了应用程序的维护和修改.

2024-06-07 16:25:05 1060

原创 《嵌入式系统导论》

对于多字节数据,在字节编址的存储器中将占用多个连续的字节存储空间。如果高字节数据保存在高存储地址,低字节数据保存在低存储地址,则称为数据存储的小端方式( Little Endian )。大端方式( Big Endian )是指高字节数据保存在低存储地址,低字节数据保存在高存储地址。STM32的独立看门狗(IWDG)是一种保护机制,它有一个独立的内部时钟源和分频器,可以检测主程序是否在规定时间内更新寄存器。当程序出现错误时,IWDG将会产生复位信号,以防止程序陷入死循环。

2024-06-07 16:23:34 560

原创 《动态网站建设》

动态网站建设试题类型试题数量总分论述题110.00分名词解释220.00分简答题330.00分。

2024-06-07 16:21:47 760

原创 《Java程序设计》

编程题编程实现将char类型的字符'语'的Unicode值输出,并转换为int类型输出,最后再将改int值转换为字符输出。 使用Character类的charValue()方法和intValue()方法来完成这个任务。charValue()方法用于将字符类型转换为int类型,而intValue()方法则用于将int类型转换回字符类型。 public class Main { public static void main(String[] args) {

2024-06-07 16:18:18 486

原创 《数字电路》

由于教字电路中的器件主要工作在开关状态,因为采用的分析工具主要是逻辑代数,用功能表,真值表,逻辑表达式,波形图等来表达电路的主要功能,随着计算技术的发展,为了分析,仿真与设计数字电路或数字系统,还可以采用硬件描述语言,使用如ABEL语言等软件,借助计算机来分析,仿真与设计数字系统。单稳态触发器是指只有一个稳定状态的触发器。时序电路的米里型是指一种时序电路类型,其特点是电路的输出仅与最近的输入有关,而与过去的输入状态无关。也就是说,时序电路的输出信号只受到当前输入信号的影响,而不会受到过去的输入信号的影响。

2024-06-07 16:16:13 949

离散数学教学课件 郝晓燕 第7章 格与布尔代数.pdf

离散数学教学课件 郝晓燕 第7章 格与布尔代数

2024-06-07

离散数学教学课件 郝晓燕 第1章逻辑.pdf

离散数学教学课件 郝晓燕 第1章逻辑

2024-06-07

数据结构 专业课 题库与答案

数据结构 专业课 题库与答案

2024-06-07

高级语言程序设计作业 含代码

9道单选题(重点考察指针和复杂类型) 3道编程题: - 成绩排序(考察qsort函数,ftell函数的用法,关键在于comp函数的编写) - 字符串嵌套(考察字符串处理和栈的使用,需要注意最外层可以没有括号以及多个深度相同的字符串并列的情况) - 质数对(用筛法生成质数表,否则可能超时)

2024-06-07

高级语言程序设计_华北电力大学_ALL-C语言程序设计_ALL.ppt

高级语言程序设计_华北电力大学_ALL-C语言程序设计_ALL

2024-06-07

计算机网络(第七版)谢希仁著 考试知识点整理

计算机网络(第七版)谢希仁著 考试知识点整理

2024-05-30

Gartner发布电信运营商应对持续变化的网络安全环境指南:现代云安全与网络安全的五大核心挑战

所有组织的云和网络都面临着高级威胁。作为网络安全的关键参与者,电信运营商的 CIO 需要了解行业面临的挑战,并了解应采用哪些解决方案来实现方法的现代化。 电信运营商 (CSP) CIO 如果不能调整其安全策略来保护其环境,那么他们将会面临各种漏洞和事件,包括数据泄露。 CSP 网络安全团队面临一系列云安全挑战和风险。CSP CIO 在寻求建立有效的云安全时需要了解这些挑战。 CSP CIO 需要采取多管齐下的方法来发展和提高网络安全,包括实施零信任、提高技术人员的技能和优先考虑 API 发现。 需要采取额外措施来全面保护 CSP 环境,重点关注自动化、治理和身份控制。

2024-05-30

Gartner发布评估威胁情报计划有效性指南:评估威胁情报有效性的四个步骤

许多组织都在努力实施 TI 并评估其价值。安全和风险管理领导者必须使用优先情报要求来评估其 TI 计划的有效性,并根据其组织战略完善该计划。 尽管许多组织已将威胁情报 (TI) 纳入其安全计划,但他们很难评估其性能、成熟度以及在相关产品和服务中的总体投资。 安全和风险管理 (SRM) 领导者仍在被动地管理他们的计划,而不是制定可防御的增长计划,导致缺乏证实的报告。 由于 TI 缺乏监督和治理,许多组织无法建立健康的反馈循环,从而错过了调整和管理噪音源的机会。 由于缺乏 TI规范化,组织无法使收集到的信息具有可操作性,也无法评估与业务驱动优先级相关的计划成熟度。

2024-05-29

Gartner发布中国数据安全安全与风险管理领导者指南:将孤立的数据安全产品集成到数据安全平台中,实施一致的数据安全策略

在中国开展业务或与中国相关的组织面临着越来越多的数据安全风险和法规。安全和风险管理领导者必须采用风险优先的数据安全计划和投资,以响应监管要求,以增强数据驱动的数字创新能力。 跨组织职能的分散的数据安全举措和不协调的利益相关者责任阻碍了组织实现企业规模的一致数据安全治理(DSG)。 数据发现和分类是 DSG 的基础,并且在大多数组织中都是通过手动流程实施的。然而,这既不具有可扩展性,也不有效。 随着组织数据处理活动的动态发展,时间点数据风险评估(DRA)通常不足以满足风险识别和处理方面多样化且不断变化的合规要求。 本地和云中应用程序和数据存储之间的数据移动不断增加,导致安全和风险管理 ( SRM )领导者难以实现统一的数据可见性和安全控制。

2024-05-23

全文下载:Gartner发布网络风险管理最佳实践:生命周期规划、保护和监控的三个阶段和九个核心要素

对于在互联数字环境中运营的企业机构,网络风险管理至关重要。安全和风险管理领导者可阅读本文,了解网络风险管理计划的基本构成。 成功的网络风险管理计划须贯彻“五D”原则:动态化(dynamic)、分布式(distributed)、依据充分(defensible)、数据驱动(data-driven)和赋能决策(decision enabling)。 如缺少情境信息,对于网络风险数据的分析将难以提供可执行的结果。 考虑到资源的有限性和运营成本,企业机构需要根据重要性和敏感性对资产进行分类,以提高网络风险管理适应变化的能力。 为比较网络风险与企业机构的其他风险,企业机构越来越多地要求安全和风险管理(SRM)领导者阐释网络风险的财务影响。 在风险登记单中记录网络风险并与利益相关者保持沟通,对于从业务角度综合阐释网络风险、进而实现数据驱动型决策至关重要。

2024-05-21

Gartner发布生成式AI用例棱镜:中国生成式AI最具发展前景的19个用例分析(工具包下载)

本文介绍了生成式人工智能(GenAI)在中国最具发展前景的19个用例,这些用例可以改善企业运营、增加营收、提升客户体验并缩小风险敞口。中国的首席信息官(CIO)可参考本文,根据用例成熟度及其业务影响制定投资战略。

2024-05-17

Gartner发布生成式AI用例棱镜:中国生成式AI最具发展前景的19个用例分析(PPT下载)

本文介绍了生成式人工智能(GenAI)在中国最具发展前景的19个用例,这些用例可以改善企业运营、增加营收、提升客户体验并缩小风险敞口。中国的首席信息官(CIO)可参考本文,根据用例成熟度及其业务影响制定投资战略。

2024-05-17

资源下载Gartner发布最新网络安全职位描述库:28个网络安全岗位和角色职责和技能要求描述

该库中的示例职位描述将帮助安全和风险管理领导者、招聘经理和招聘团队在招聘网络安全人员时澄清和传达角色定义和技能要求。 根据 Gartner 2024 年 CIO 人才规划调查,网络安全目前是 IT 行业中第三个最难招聘和聘用合格人才的领域(仅次于生成式人工智能和机器学习)。此外,根据ISC2的2021年和2023年网络安全劳动力研究,全球人才缺口从2021年的270万人增加到2023年的390万人。这种上升趋势表明全球人才缺口将继续加速。与此同时,跨组织的数字化转型需要更广泛的安全角色,这需要新的技能和知识。因此,大多数网络安全职能部门都在努力填补现有职位,并且无法针对未来可能出现的新人才需求进行规划。 更好的职位列表和对新出现的角色的更深入了解可以解决安全招聘挑战。精心设计的职位列表吸引了更多合格的候选人,并且对新兴安全角色的早期了解确保了该职能为数字时代做好了准备。 这项研究帮助安全专业人员更好地定义安全角色并编写高质量的职位列表。

2024-05-15

全文下载Gartner发布降低企业软件供应链安全风险指南:全球软件供应链相关法规、指南以及企业需要开展的三个方面工作

软件供应链攻击呈三位数增长,但很少有企业机构采取措施对这些复杂攻击的风险进行评估。安全和风险管理领导者可参考本文,采用三种实践来检测和预防攻击,保护企业机构的安全。 虽然软件供应链攻击频繁发生,但其安全评估尚未被纳入供应商风险管理或采购活动框架,导致企业机构易遭受攻击。 安全团队在应对漏洞时困难重重,尤其是在软件依赖项中包含漏洞的情况下。长期以来,软件组件并不对外披露,因此其内容往往并不透明。这使得安全团队难以确定软件是否已受到攻击的影响,需要投入大量的工作,才能识别受影响的软件并实施风险缓解措施。 客户很少对商业软件的潜在漏洞或恶意代码进行正式测试和评估,即使对于支持高价值或敏感流程的系统也是如此。这会留出横向移动路径,为恶意代码入侵提供了可乘之机,进而导致数据和知识产权失窃。

2024-05-11

2024年人工智能威胁态势报告:有关AI系统及AI应用的安全风险与安全防护全景(全文下载)

HiddenLayer公司最新发布的《2024年AI威胁场景报告》中,研究人员阐明了AI相关漏洞及其对组织的影响,并为应对这些挑战的IT安全和数据科学领导者提供了指导建议。最后,报告还揭示了各种形式的AI安全控制的前沿进展。 关键数据 平均而言,企业在生产系统中部署了高达1689个AI模型; 98%的IT领导者认为至少有一些AI模型对他们的业务成功至关重要。 83%的受访者表示,AI广泛应用于他们组织内的所有团队。 61%的IT领导者承认“影子AI”(未获得IT批准或在IT部门控制下的解决方案)是其组织内的一个重要问题。 89%的受访者对与第三方AI集成相关的安全漏洞表示担忧;高达75%的受访者甚至认为第三方集成带来的风险比现有的威胁更大。 77%的公司报告称,在过去一年中,他们的AI遭遇了违规行为。 92%的受访者仍在针对这一新兴威胁制定全面的计划。 2024年,94%的受访者将预算分配给AI安全,但只有61%的受访者对预算分配高度自信。 30%的IT领导者已经部署了针对对抗性AI的手动防御,但只有14%的人正在计划和测试此类攻击。 只有30%的公司针对模

2024-05-09

Gartner发布应对动荡、复杂和模糊世界的威胁形势指南:当前需要应对的12种不稳定性、不确定性、复杂和模糊的安全威胁 全文下载

当今世界是动荡(Volatile)、复杂(Complex)和模糊(Ambiguous)的,随着组织追求数字化转型以及犯罪分子不断发展技术,由此产生的安全威胁也是波动性、不确定性、复杂性和模糊性的,安全和风险管理领导者必须完善策略以应对 VUCA 世界中的威胁。 主要发现 即使是资金最充足的组织也无法解决他们所知道的所有威胁。有效的响应需要强有力的验证和优先级排序,但也意味着接受一定程度的残余风险。 基于单一来源攻击统计数据的网络安全计划更改本质上是反应性的,很少是最佳选择。它们还损害了首席信息安全官 (CISO) 的长期可信度,因为很容易指出方法中的缺陷或相互矛盾的发现。 网络安全供应商对生成式人工智能功能的关注可能会导致他们的路线图偏离必要的行为检测功能,以保持领先于不断发展的攻击技术。

2024-05-07

麒麟软件操作系统勒索病毒防护指引

月23日,由工业和信息化部网络安全威胁和漏洞信息共享平台信创政务产品安全漏洞专业库(以下简称“信创安全漏洞库”)牵头编制的《麒麟软件操作系统勒索病毒防护指引》正式发布。 该指引介绍了勒索病毒的攻击原理和攻击路径,为用户安全使用麒麟软件桌面操作系统和服务器操作系统提供了具体参考。 《麒麟软件操作系统勒索病毒防护指引》由信创安全漏洞库牵头,与国内9家企事业单位联合编制,旨在应对日益严峻的网络空间安全态势,提升信创产业网络安全防护意识和安全防护水平,构建良好信创安全生态环境。 下一步,信创安全漏洞库将继续开展信息收集、风险研判、处置通报等相关工作,提供信创产品安全漏洞缓解措施及修复方案,进一步提升我国信创产品安全防护能力,助力构建良好信创安全生态环境。

2024-04-25

Gartner发布攻击面管理创新洞察(全文下载)

Gartner发布攻击面管理创新洞察:CTEM、VA、EASM、CAASM、ASA、DRPS、BAS、VM等攻击面管理相关技术及关系。 安全运营团队负责管理跨内部和外部数字资产的复杂攻击面。这项研究概述了攻击面评估空间,以帮助安全和风险管理领导者驾驭技术并改善其安全状况。 随着本地和云中的技术环境变得越来越复杂和分散,组织必须管理不断增长的攻击面。 SaaS 应用程序和供应链接触点正在扩大攻击面。容器和网络物理系统(例如物联网)也呈现出新的攻击面。 传统上,攻击面解决方案主要侧重于识别外部可见资产的安全卫生方面的缺陷。这些解决方案正在迅速扩展,超越对外部客户拥有的技术的传统评估,重点关注品牌风险、声誉风险以及来自 SaaS 和第三方系统的风险。 尽管人们对攻击面评估作为一个独立主题的兴趣相对浓厚,但许多攻击面解决方案正在与其他市场领域的解决方案进行整合。外部攻击面管理 (EASM)与漏洞评估 (VA)相结合,创建了更广泛的暴露评估市场。 事实证明,网络资产攻击面管理 (CAASM) 对于安全团队提高资产可见性的要求很有价值。作为次要好处,它可以改进整个组织的配置管理数据库 (CMDB)

2024-04-25

大语言模型安全测试方法

4月16日联合国日内瓦总部万国宫,由世界数字技术院(WDTA)与云安全联盟大中华区(CSA GCR)联合主办第27届联合国科技大会AI边会上,世界数字技术院(WDTA)发布了两项具有重要意义的国际标准:“生成式人工智能应用安全测试标准”和“大语言模型安全测试方法”。这是国际组织首次在生成式AI应用安全、大模型安全领域发布国际标准,为业界提供了统一的测试框架,标准的发布将对人工智能领域产生深远影响,推动人工智能技术的安全、可靠发展。 这两大标准由云安全联盟大中华区研究院副院长黄连金带领的专家团队编制而成,他们来自CSA大中华区、OpenAI、蚂蚁集团、谷歌、微软、亚马逊、英伟达、OPPO、科大讯飞、百度、腾讯、加州大学伯克利分校、芝加哥大学、香港科技大学等数十家单位,体现了业界的广泛协作与集体智慧。 云安全联盟大中华区主席、世界数字技术院执行理事长李雨航院士发布时介绍,“生成式人工智能应用安全测试标准”为测试和验证生成式AI应用的安全性提供了一个框架,特别是那些使用大语言模型构建的应用程序。它定义了人工智能应用程序架构每一层的测试和验证范围,确保AI应用各个方面都经过严格的安全性和合规性

2024-04-24

生成式人工智能应用安全测试标准

4月16日联合国日内瓦总部万国宫,由世界数字技术院(WDTA)与云安全联盟大中华区(CSA GCR)联合主办第27届联合国科技大会AI边会上,世界数字技术院(WDTA)发布了两项具有重要意义的国际标准:“生成式人工智能应用安全测试标准”和“大语言模型安全测试方法”。这是国际组织首次在生成式AI应用安全、大模型安全领域发布国际标准,为业界提供了统一的测试框架,标准的发布将对人工智能领域产生深远影响,推动人工智能技术的安全、可靠发展。 这两大标准由云安全联盟大中华区研究院副院长黄连金带领的专家团队编制而成,他们来自CSA大中华区、OpenAI、蚂蚁集团、谷歌、微软、亚马逊、英伟达、OPPO、科大讯飞、百度、腾讯、加州大学伯克利分校、芝加哥大学、香港科技大学等数十家单位,体现了业界的广泛协作与集体智慧。 云安全联盟大中华区主席、世界数字技术院执行理事长李雨航院士发布时介绍,“生成式人工智能应用安全测试标准”为测试和验证生成式AI应用的安全性提供了一个框架,特别是那些使用大语言模型构建的应用程序。它定义了人工智能应用程序架构每一层的测试和验证范围。

2024-04-24

英国NCSC发布网络安全评估框架CAF v3.2

近日,英国国家网络安全中心(NCSC)发布了网络安全评估框架(CAF)3.2版本。 网络安全评估框架(CAF)是一个目标导向的评估体系,提供了一种系统、全面的方法,用于评估组织网络安全风险管理的成熟度和“网络弹性”。CAF框架的核心是4个高级目标和14个原则,全部都用结果来表述(即需要达到的目标),而不是需要完成的清单。 CAF3.1版本发布以来的两年间,该框架因其实用性而在全球迅速流行,应用范围已经远远超出了最初的监管范畴;同时,针对关键国家基础设施(CNI)的网络威胁也逐年呈上升趋势,这促使NCSC做出更新CAF框架的决定。 在CAF3.2版本中,NCSC通过分析全球关键基础设施遭受的各种网络攻击,对CAF3.1版本中有关远程访问、特权操作、用户访问级别和多因素认证的使用(均包含在框架的B2a和B2c原则中)的部分进行了重大修订。 熟悉CAF框架的读者会意识到,该指南的原则、目标和“良好实践指标”(IGP)是相互关联的,这意味着IGP的变化会

2024-04-22

北京金融科技产业联盟发布《金融行业云原生安全体系研究报告》

报告系统回顾了云原生产业的发展历程与最新趋势,提出了一套完整的云原生安全体系架构及安全能力全景图,为金融机构全面评估和强化自身的云原生安全能力提供了重要参考。 随着云计算、大数据、人工智能等技术的迅速发展,数字化转型的速度不断加快。云原生作为下一代信息技术与应用模式的关键技术,已经成为机构数字化转型的重要支撑,云原生安全在数字化转型过程也备受关注。北京金融科技产业联盟金融数字化转型专业委员会积极开展相关工作,由中国银联、工商银行、农业银行、建设银行、邮政储蓄银行、浦发银行、建信金科、长亭、绿盟、阿里云、亚信、青藤云安全、奇安信、小佑等单位联合牵头,民生银行、光大银行、平安银行、北京银行、中债登、中债金科、中国信科、北京数字认证、深信服、安恒信息等单位参与,开展金融领域云原生安全相关研究,共同编写《金融行业云原生安全体系研究报告》。 报告系统回顾了云原生产业的发展历程与最新趋势,提出了一套完整的云原生安全体系架构及安全能力全景图,为金融机构全面评估和强化自身的云原生安全能力提供了重要参考。报告列举了业界在云原生安全领域的创新实践案例,展示了金融机构在云原生安全技术应用方面取得的丰硕成果

2024-04-22

Gartner发布信任、风险和安全管理领域的生成式人工智能创新指南:生成式AI整个生命周期运行中的攻击面 全文下载

生成式人工智能带来了三类新风险:内容异常、数据保护和人工智能应用安全。使用或构建 GenAI 应用的 IT 领导者可以利用这项研究来了解市场动态并评估新兴的 GenAI TRiSM 技术和解决新风险的提供商。 主要发现 在企业应用中集成大语言模型(LLM )和其他生成人工智能(GenAI)模型会带来三类新风险:输入和输出风险、数据泄露和人工智能应用漏洞。 构建并通常托管 GenAI 模型的供应商不提供一套完整的控制措施来减轻这些风险。相反,用户需要获取解决方案来增强供应商的有限控制。 IT 领导者必须信任 LLM 供应商为最终用户的数据提供保护机制,而无法验证这些供应商的安全和隐私控制。 GenAI 信任、风险和安全管理 (TRiSM) 解决方案市场正在快速增长,但新兴解决方案在很大程度上仍未经过测试。目前它的目标是保护大语言模型的使用,而不是保护多模式模型的使用。

2024-04-19

Gartner发布终端安全运营指南:有效终端安全运营的三大关键 原文下载

孤立的终端管理团队使用专门的工具和策略,这会产生不必要的开支、降低容量、增加风险并降低员工体验。I&O 领导者必须立即采取行动,团结终端管理团队、工具和策略,以取得成功。 Gartner 客户互动和最近的一项调查表明,许多组织仍然使用孤立的组织结构进行终端管理,这是提高效率的巨大机会。 孤立的终端管理团队和平台会分散运营,增加网络安全风险并造成不一致的员工体验 。 统一终端管理 (UEM) 供应商在管理非 Windows 操作系统的能力方面取得了显著进步。UEM 工具能够支持 macOS、iOS、iPadOS、Android 和 Windows 上的大多数用例,但仍有多种工具在使用。 成熟的数字化工作场所组织更有可能整合团队和工具。在 Gartner 数字化工作场所成熟度评估中,拥有整合终端管理团队结构的组织得分比同行高出34% ,而将终端管理工具整合为单一 UEM 工具的组织得分高出 70%。

2024-07-16

Gartner发布软件供应链安全指南:软件供应链攻击造成的损失将从 2023 年的460亿美元上升到2031年的1380亿美元

软件供应链安全是一个关键的风险和合规性问题,但大多数组织都以分散的方式处理它。缺乏一个包罗万象的框架会遗留安全漏洞。通过实施三支柱框架,安全和风险管理领导者可以确保广泛的保护。 对软件供应链的攻击给组织带来重大的安全、监管和运营风险。有数据显示,这些攻击造成的损失将从 2023 年的 460 亿美元上升到 2031 年的 1380 亿美元。 在全球范围内,包括法律法规在内的合规要求以及非正式的行业指导正在实施,以迫使对软件供应链安全 (SSCS) 和应用程序安全风险采取更积极的应对措施。 Gartner 2023 年技术采用调查发现,近三分之二的组织报告称他们已经实施或正在实施 SSCS 计划。尽管如此,多起事件和指标表明,这些努力(通常在整个组织内缺乏协调)未能解决严重的安全漏洞。

2024-07-02

Gartner发布2024年企业高管增长议程:使网络安全投资与业务增长保持一致

网络安全投资和准备被视为推动企业发展的关键因素。除了避免损失之外,高管还应利用有效的以业务为中心的安全方法,通过大规模实现敏捷性和创新来推动收入增长。 高增长公司通过扩大商业足迹来推动业绩,这需要大规模的创新、敏捷性和效率,并通过适当的网络安全投资来支持。 根据企业高管对2024 年 Gartner 增长议程调查的回应,隐私和安全位居第二,仅次于人工智能,对于实现企业收入增长至关重要。 高增长公司推动有效的安全和隐私方法,这些方法以结果为基础,并平衡保护企业的需求和企业增长的需求。

2024-06-27

计算机网络 题库 远程教育

计算机网络 题库 远程教育

2024-06-26

Gartner发布开发敏捷网络安全计划指南:安全计划是一个在快速变化的环境中运作的复杂生态系统

随着企业数字化程度的提高,它们面临的网络安全风险和威胁只会增加。这项研究有助于高管领导了解敏捷网络安全计划的重要性,以及如何与安全和风险利益相关者合作,为下一次重大破坏做好准备。 新冠肺炎疫情、地区冲突、全球政治紧张局势、经济不确定性和生成性人工智能等事件造成的破坏,正在催生新的技术采用模式(例如 IT 民主化、商业技术人员),这也带来了新的网络风险。 这些事件凸显了严格、不灵活的安全计划所带来的挑战。它们还强调了对能够根据外部变化做出调整的敏捷网络安全计划的迫切需求。 网络安全领导者面临着压力,他们需要支持和推动快速变化的业务需求和优先事项,而不是阻碍和减缓这些需求和优先事项。这需要新的网络安全治理、战略和运营方法。

2024-06-25

Gartner发布2024年人工智能技术成熟度曲线:29项决定人工智能领域发展方向的前沿和趋势性技术(全文)

人工智能投资已达到新高,重点是生成式人工智能,但在大多数情况下,该技术尚未实现预期的商业价值。这项研究通过分析各种人工智能创新(其中许多创新正在快速发展),帮助人工智能领导者确定其他值得投资的技术。 需要知道的 生成式人工智能 (GenAI) 已经度过了预期膨胀的高峰期,尽管对其的炒作仍在继续。到 2024 年,基于其他人工智能技术的项目将产生更多价值,无论是独立的还是与 GenAI 结合的,这些项目都有标准化的流程来帮助实施。为了实现最大收益,人工智能领导者应该将未来的系统架构建立在复合人工智能技术的基础上,结合技术成熟度曲线各个阶段的创新方法。 随着人工智能项目的数量和规模不断增加,二阶效应开始发挥作用。因此,人们越来越关注治理、风险、所有权、安全和减轻技术债务。这些因素正在国家、企业、团队和个人从业者层面得到解决,但即使法规已达到高级阶段,也远未成熟。

2024-06-20

Gartner发布中国数据出境安全评估准备指南:利用技术简化安全评估的重启流程

在中国有业务往来的企业机构可能需要开展当地政府主导的业务数据和个人数据出境安全评估。跨国公司的安全和风险管理(SRM)领导者必须提前计划,避免数据传输和业务运营的中断。 并非所有数据出境都会触发政府主导的安全评估。然而,一旦触发评估,企业机构就需要在进行数据传输之前向相关部门报批。 政府主导的安全评估可能需要几个月才能完成,若不能及时响应,可能会中断现行的数据传输或影响新项目的上线。 如果传输数据的处理流程发生变化,或者接收国的监管环境有所改变,企业机构将需要重新申请政府主导的安全评估。这就将安全评估从一个周期性的行动变成了一系列持续的运营工作。 政府主导的安全评估结果和中国监管部门提供的指导意见,将促使企业机构重新审视其中国数据本地化和IT隔离战略。

2024-06-13

Gartner发布企业人工智能治理指南:以企业通用治理框架为基础,确定针对框架六大支柱的AI特定因素

人工智能(AI)不仅发展迅速而且可能会放大人类的偏见,如何对其实施有效的治理是数据和分析领导者面临的一个挑战。本文提供了一种全面的方法,可用于扩展企业的治理框架,引入信任、透明度和多样性等AI特定的考虑因素。 人工智能(AI)正在成为企业运营和业务的关键支撑。鉴于其重要性、可扩展性和全民化趋势,企业必须对其实施有效的治理,以平衡此类技术的价值与其带来的新风险。 无论在哪个领域,良好的治理都体现出类似的特征,而这些共同的支柱同样可以为AI治理提供组织框架和基础。 AI技术格局持续演变,涉及大量对规模、可解释性、易用性、速度、技能和成本的权衡。这种复杂性,以及AI本质上作为预测性和生成式技术所固有的模糊性,导致人们难以准确判断AI可能会对企业声誉和业务以及对整个社会产生怎样的影响。

2024-06-11

Java程序设计 练习题与参考答案

Java程序设计 练习题与参考答案

2024-06-07

离散数学课后习题合集.pdf

离散数学课后习题合集

2024-06-07

《离散数学》题库答案.pdf

《离散数学》题库答案

2024-06-07

离散数学教学课件 郝晓燕 第4章 关系.pdf

离散数学教学课件 郝晓燕 第4章 关系

2024-06-07

离散数学教学课件 郝晓燕 第8章 图论及其应用.pdf

离散数学教学课件 郝晓燕 第8章 图论及其应用

2024-06-07

离散数学教学课件 郝晓燕 第2章 谓词逻辑.pdf

离散数学教学课件 郝晓燕 第2章 谓词逻辑

2024-06-07

离散数学教学课件 郝晓燕 第6章 代数结构.pdf

离散数学教学课件 郝晓燕 第6章 代数结构

2024-06-07

离散数学教学课件 郝晓燕 第5章 函数.pdf

离散数学教学课件 郝晓燕 第5章 函数

2024-06-07

离散数学教学课件 郝晓燕 第3章 集合.pdf

离散数学教学课件 郝晓燕 第3章 集合

2024-06-07

空空如也

TA创建的收藏夹 TA关注的收藏夹

TA关注的人

提示
确定要删除当前文章?
取消 删除