- 博客(42)
- 资源 (6)
- 收藏
- 关注
原创 OWASP发布开源AI网络安全知识库框架AI Exchange
面对人工智能安全相关工具、平台、法规、应用和服务的快速增长,在推出大语言模型十大漏洞TOP10列表后,OWASP近日又推出了AI开源网络安全知识库框架——AI Exchange(链接在文末),旨在推进全球AI安全标准、法规和知识的开发和共享。与其他软件系统非常相似,人工智能系统开发也遵循生命周期,因此AIExchange建议企业遵循NIST的安全软件开发框架(SSDF),在人工智能软件开发生命周期(SDLC)的各个阶段进行安全防护,包括安全设计、开发、部署以及操作和维护。AI Exchange导航器。
2024-01-22 10:23:30 582
原创 PDF最强处理工具-StirlingPDF
Stirling-PDF 一个功能强大的本地托管的基于 Web 的 PDF 操作工具,这个软件最初是使用 ChatGPT 制作的,持续的版本迭代更新,支持对 PDF 文件执行各种操作,例如拆分合并、转换、重组、添加图像、旋转、压缩等。完全开源免费,彻底告别付费和漫天的广告!
2024-01-02 08:43:48 1135 1
原创 漏洞扫描工具scan4all(15000+PoC)
scan4all拥有15000+PoC漏洞扫描,23种应用弱口令爆破,7000+Web指纹,146种协议,90000+规则Port扫描。集成 vscan、nuclei、ksubdomain、subfinder等,充分自动化进行扫描。是一款Fuzz、HW打点、BugBounty神器等工具。
2024-01-02 08:40:12 1043 2
原创 安全AI系统开发指南
本文件建议为使用人工智能(AI)的任何系统的提供商提供指导方针,无论这些系统是从头开始创建的,还是建立在他人提供的工具和服务之上的。实施这些指导方针将有助于提供商构建按预期运行、在需要时可用的人工智能系统,并且在不向未经授权的方透露敏感数据的情况下工作。本文档主要针对使用组织托管的模型或使用外部应用程序编程接口(API)的人工智能系统提供商。我们敦促所有利益相关者(包括数据科学家、开发人员、管理人员、决策者和风险所有者)阅读这些指南,帮助他们就人工智能系统的设计、开发、部署和运营做出明智的决定。
2023-12-05 16:17:49 490
原创 欧盟《数据治理法》说明
《数据治理法》是一项跨部门法案,旨在通过监管公共/持有的受保护数据的重复使用,通过监管新型数据中介机构促进数据共享,以及鼓励出于利他主义目的共享数据,提供更多数据。个人和非个人数据都在DGA的范围内,涉及个人数据时适用《通用数据保护条例》(GDPR)。除了GDPR,内置的保障措施将增加对数据共享和重复使用的信任,这是在市场上提供更多数据的先决条件。
2023-09-27 11:36:39 246
原创 韩国PIPA修正案要点
2023年2月27日,韩国国会通过了2011年《个人信息保护法》的修正案提案。这些修正案是PIPA颁布以来涉及范围最广的修正案之一。
2023-09-18 18:03:21 201
原创 生成式人工智能的潜在有害影响与未来之路(三)
到目前为止,这个问题的答案是喜忧参半的。产品责任法的特点有两个要素:(i)其适应能力和演变能力,以应对新类型的产品和危害,以及(ii)其关注的是将可致命或极为有害的产品与造成危害但不可能以不同的方式设计、制造或营销的产品或简单地以不合理的方式使用的产品区分开来。这几家公司不仅在开发生成性人工智能方面占据主导地位,而且在提供生成性人工智慧所需的底层工具和服务方面占据主导优势,这进一步集中了一个市场,尽管推广了“开源”技术,但仍被少数强大的公司所占据,这些公司拥有不透明的人工智能开发方法和限制竞争的激励措施。
2023-08-24 18:33:10 2419
原创 生成式人工智能的潜在有害影响与未来之路(二)
利润高于隐私:不透明数据收集增加背景和风险生成型人工智能工具建立在各种大型、复杂的机器学习模型之上,这些模型需要大量的训练数据才能发挥作用。对于像ChatGPT这样的工具,数据包括从互联网上抓取的文本。对于像Lensa或Stable Diffusion这样的产品,数据包括照片和艺术。由于生成型人工智能对数据的巨大需求,许多人工智能开发人员可能会不分青红皂白地在网上搜寻数据。虽然在某些情况下,这些开发人员试图通过过滤掉受保护的作品、露骨的内容、仇恨言论或有偏见的输入来净化他们的培训数据,但清理数据的做
2023-08-24 18:28:40 785
原创 生成式人工智能的潜在有害影响与未来之路(一)
这是本文的第1版,反映了截至2023年5月15日,Generative AI的已记载的和预期的危害。由于Generative AI的发展、使用和危害的快速变化,我们承认这是一篇内在的动态论文,未来会发生变化。在本文中,我们使用一种标准格式来解释生成人工智能可能产生的危害的类型。每一节首先解释了生成人工智能带来的相关背景信息和潜在风险,然后强调了学者和监管机构为补救每一种伤害而采取的具体危害和干预措施。本文借鉴了人工智能危害的两个分类法来指导我们的分析:1.Danielle Citron和Daniel
2023-08-11 08:54:25 3051
原创 PCI SSC发布安全软件标准和程序v1.2版
支付卡行业安全标准委员会(“PCI SSC”)于2022年12月7日宣布,已发布PCI安全软件标准1.2版及其支持文件。
2022-12-28 12:45:47 301 1
原创 【转载】干货满满!10分钟看懂Docker和K8S
2010年,几个搞IT的年轻人,在美国旧金山成立了一家名叫“dotCloud”的公司。这家公司主要提供基于PaaS的云计算技术服务。具体来说,是和LXC有关的容器技术。LXC,就是Linux容器虚拟技术(Linux container)后来,dotCloud公司将自己的容器技术进行了简化和标准化,并命名为——Docker。Docker技术诞生之后,并没有引起行业的关注。...
2020-03-26 12:28:07 398
转载 【转载】文本自动生成研究进展与趋势
CCF 中文信息技术专业委员会万小军 冯岩松 孙薇薇北京大学计算机科学技术研究所,北京摘要我们期待未来有一天计算机能够像人类一样会写作,能够撰写出高质量的自然语言文本。文 本自动生成就是实现这一目的的关键技术。按照不同的输入划分,文本自动生成可包括文本 到文本的生成、意义到文本的生成、数据到文本的生成以及图像到文本的生成等。上述每项 技术均极具挑战性,在自然语言处理与人工智能领域均...
2018-08-17 12:18:48 2125
转载 1000万辆汽车VIN识别码数据被泄,小心买到克隆车!
E安全6月13日讯 目前已经发现一个汽车数据库被泄露至网络当中,数据库囊括美国本土出售的上千万辆汽车以及相关购买者的个人信息。受这起泄露影响的汽车经销商包括Acura(讴歌)、BMW(宝马)、 Chrysler(克莱斯勒)、Honda(本田)、 Hyundai(现代)、 Infiniti(英菲尼迪)、 Jeep(吉普)、 Kia(起亚)、 Mini(迷你)、 Mitsubishi(三菱)、Niss
2017-06-13 21:02:28 2449
转载 美情报高级研究计划局研发多项下一代情报技术
6月4日,美国情报高级研究计划局(IARPA)副局长史黛丝·迪克逊介绍了多项正在研发的下一代情报技术。甄别自杀式爆炸袭击者IARPA正在开展一个甄别自杀式爆炸袭击者及高价值目标的项目。这些袭击者通常会被炸得粉身碎骨,没有可用DNA以识别其身份。IARPA的项目则寻求在没有可用DNA的情况下,使用来自头发和角质(人体皮肤最外层的主要成分)的蛋白质来确认其身份。 Am
2017-06-13 20:59:48 1059
原创 美国发布《提升关键技术设施网络安全框架1.1版》
2017年1月10日,美国国家标准和技术局NIST更新发布《提升关键技术设施网络安全框架1.1版》,其中包含了该框架1.0版之后收集到的各类反馈信息。该更新版本提供了有关网络安全度量方法、强化供应链风险管理、完善鉴权授权和身份管理、轮廓与分层实现之间的关系等内容的更新,目的在于为相关企业和组织提供更具有针对性的指导性建议。Cybersecurity Framework v1.1 (
2017-06-08 16:25:12 1217
转载 趋势科技发布《勒索软件的过去、现在和未来》安全报告
概要勒索是一种网络犯罪手段,而在这方面没有任何一款恶意软件比勒索软件做的更好。从2005、2006年以来,勒索软件一直没有停止过破坏的脚步。事实上,在过去的2016年,新出现的勒索病毒种类暴涨了近8倍,收取的赎金接近10亿美元。所有这些勒索软件都具备加密各种文件类型的能力,不仅是电脑设备,甚至是全球各地的移动设备和服务器,以及个人和企业统统受到此威胁的严重影响。至今仍让人心有余
2017-06-07 13:00:24 721
转载 超全面!信息图形设计知识全方位科普
一. 什么是信息图形信息图形设计就是针对内容复杂、难以描述的信息进行充分的理解、提炼、整理、分类,并通过设计将其视觉化,通过图形简单清晰地向用户以更为直观的形式展示,这种图就叫做信息图形。信息图形由信息和图形两个词语组成,它被称之为“信息图形”(Infographics或Information Graphics)。信息图形最初是用在报纸、杂志、新闻等媒体刊登的一般图解。图解这个词
2017-06-05 22:36:50 1628
转载 k近邻(kNN)算法简介
K最近邻(k-Nearest Neighbor,KNN)分类算法,是一个理论上比较成熟的方法,也是最简单的机器学习算法之一。一、算法概述 k -近邻算法是基于实例的学习方法中最基本的,先介绍基于实例学习的相关概念。基于实例的学习。1、已知一系列的训练样例,很多学习方法为目标函数建立起明确的一般化描述;但与此不同,基于实例的学习方法只是简单地
2016-05-30 23:29:18 17768
转载 数学中各种距离的定义
在做分类时常常需要估算不同样本之间的相似性度量(SimilarityMeasurement),这时通常采用的方法就是计算样本间的“距离”(Distance)。采用什么样的方法计算距离是很讲究,甚至关系到分类的正确与否。 本文的目的就是对常用的相似性度量作一个总结。本文目录:1.欧氏距离2.曼哈顿距离3. 切比雪夫距离4. 闵可夫斯基距离
2016-05-30 23:28:12 16342 1
转载 破壳漏洞(CVE-2014-6271)综合分析
目 录一、 威胁卡片 二、 概述 三、 已知事件发布/披露情况四、 漏洞的影响范围 五、 漏洞原理 六、 漏洞验证方法 七、 漏洞检测方法 八、 漏洞可能会带来的影响 九、 针对此漏洞的建议 十、 写在最后的啰嗦的话 一、 威胁卡片二、概述 2014年9月24日Bash被公布存在远程代码执行漏洞,安天实验室
2014-11-25 14:23:33 3128
转载 赛门铁克发现武器级木马病毒 或涉及政府行为
腾讯科技讯网络安全厂商赛门铁克11月23日对外公布,发现了一个技术极为先进的网络攻击和信息盗取的木马,主要攻击对象是全球多国的宽带接入商以及电信公司,俄罗斯等多国遭遇攻击,另外这款工具的开发者不像是个人或企业,有可能是美国和以色列等国家的政府机构所开发。这款网络攻击工具也属于特洛伊木马类型,赛门铁克的团队将其暂时命名为“Regin”。据美国科技新闻网站Recode报道,发现这个木马的团队,在四
2014-11-25 13:32:35 727
原创 网络安全与信息安全
随着以计算机和网络通信为代表的信息技术(IT)的迅猛发展,现代政府部门、金融机构、企事业单位和商业组织对IT的依赖性也日益增强,信息技术几乎渗透到了社会生活的各个方面。然而,信息化发展浪潮带来的信息安全阴影就像雾霾一样笼罩着信息时代社会生活的各个角落。随着人们越来越重视信息的安全性,对信息安全工作的理解也不断深入。从早期的“三分技术、七分管理”,到后来的“技管并重”,以及最近几年强调的“信息安全治
2014-07-22 11:52:40 1985
转载 奥巴马允许NSA利用网络0day漏洞
华盛顿——美国政府高级官员上周六表示,奥巴马总统介入了美国情报机构内部的激烈争论,并且决定,如果国家安全局(National Security Agency,简称NSA)发现网络安全存在重要漏洞(0day),大多数情况下就应该公开信息,确保漏洞获得修复,而不是保持沉默,以便利用这些漏洞开展间谍活动或网络攻击。不过,前述官员表示,奥巴马也给出了广泛的例外情况,前提是“国家安全或执法行动存
2014-04-21 14:12:26 697
转载 国外安全厂商披露30个Java云服务的0day细节
波兰的一家安全公司近日揭示批漏了30个Java云服务的0day漏洞和相应利用代码,这些漏洞允许客户在其服务器集群上部署Java应用程序。该公司在一月底二月初的时候,已经向Oracle递交了这些漏洞及有关的PoC代码,并且确认他们已经收到了报告。截至2月末的时候,Oracle的月度报告中报告了相关问题,告知安全研究人员,已修复了发现了的24个漏洞,剩下的六个漏洞也已经研究过,正在修复
2014-04-21 14:11:33 570
转载 一周海外安全事件回顾(20140414-0420)
在上周,“心脏滴血”(Heartbleed)仍旧是最热的话题。谁应该为滴血漏洞负主要责任呢?就在安全界争论到最热闹的时候,史上“最伟大”的程序猿出现了。他说,你们都别吵了,那段OpenSSL问题代码尼玛就是我写的。谁应该为“心脏滴血”负主要责任?到底谁该为“心脏滴血”漏洞负责,这是安全界最近争论的焦点之一。大家众说纷纭,靠谱的不靠谱的,说什么的都有。就在这个时候,“史上最伟大”的程
2014-04-21 14:06:05 603
原创 CSA发布云控制矩阵3.0版
云安全联盟(CSA)近期正式发布CSA云控制矩阵(CCM)3.0版,该版本共包括16个控制域,136个控制点。其组成如下图:
2013-10-31 14:39:50 1833
原创 技术供应链安全——供应商范围的定义
在O-TTPS v1.0中对技术供应链安全提出了一系列针对技术供应商(提供信息技术产品)控制措施以保证技术供应链安全。然而,在当前的全球市场中,技术供应商已不仅仅指O-TTPS v1.0 中所定义的那些,还包括了大量的其他供应商,其供应产品的质量、安全性、可靠性等对信息安全也具有十分重大的影响。根据ISO9000中对产品的定义,产品包括硬件、软件、服务和流程性材料,对应到I
2013-10-29 16:17:11 1000
原创 加州立法规范数据泄露后的通告
根据美国加利福尼亚州原来的法律规定,当组织受到攻击发生数据泄露时,需通知当地居民关于个人信息安全性可能受到的影响。其中,个人信息的定义限制为敏感数据,如包含个人全名的社会安全号码SSN,驾驶执照号码,医疗记录或财务账户信息等。美国加州近日通过的法律SB-46扩展了这个范围,包括允许对在线账户信息的访问。扩展的信息包括:用户名或电子邮件地址,允许访问在线账户信息的密码或安全问题和答案等。SB
2013-10-25 10:32:32 2059
翻译 开放可信技术供应商标准O-TTPS v1.0
开放可信技术供应商标准V1.0——避免恶意感染或伪造产品 1引言 1.1目标【O-TTPS是一系列指南、要求和建议的集合,在实践应用中为技术获取者带来商业利益,减少获取恶意污染或假冒伪劣产品的风险。文档中给出了成熟的工业供应商所采取的最佳实践,通过严格评审且达成一致的过程,以及标准中给出的要求和建议,对建立一个减少风险的基础方法有很大的好处。采用这个标准的大或小的软硬
2013-10-12 10:55:48 2284
转载 全球信息安全的六大战略错误
全球信息安全的六大战略错误(The Six Strategic Mistakes Made by Global Information Security Experts )杨义先 教授、博导、长江学者(Yi Xian Yang, Prof. & Ph.D)北京邮电大学信息安全中心主任(Director of Information Security Cent
2013-10-12 10:50:06 2072
转载 揭露黑客是如何通过上传一个jsp页面控制和攻击你web站点的(含jsp代码)
前一段时间公司请业内做安全的一家公司给企业的信息化系统做了一次安全扫描,发现了很多安全隐患及系统漏洞。在做安全加固及补丁修补时笔者在web服务器上(包含unix和windows平台)发现了一个名叫shell.jsp的jsp页面,于是把他拿下来放在测试服务器运行发现原来这个jsp具备在windows和unix平台上通过web界面控制你的整个web容器甚至你的主机。但是我们已经通过js控制这种
2013-09-03 09:56:28 2221
转载 MySQL安全加固实战
集团聘请国内顶级安全厂商对企业信息化系统安全扫描,发现笔者运维的系统存在SQL注入式漏洞、数据库提权安全漏洞、密码明文及附件上传安全隐患。于是笔者对该系统实施了系列的安全加固工作,在安全厂商进行二次扫描时未再发现安全隐患。具体应对措施如下:1) 对于SQL注入式漏洞解决方案是这样的在用户对系统进行操作时首先进行非法字符校验,因为系统已经上线不可能在对每一个SQL问做PreparedStat
2013-09-03 09:54:45 841
转载 Web应用安全配置基线指导
本文描述了IT运维人员所维护管理的Web应用服务器应当遵循的安全标准,本文档旨在指导系统管理人员进行Web应用安全基线检查。本文使用者包括:服务器系统管理员、应用程序管理员、网络安全管理员。本文适用的范围为基于B/S架构的Web应用。第1章 身份与访问控制 1.1 账户锁定策略安全基线项目名称Web应用账户锁定策略安全基线要求项
2013-09-03 09:54:38 2235
转载 开源中间件tomcat服务器安全配置基线指导
本文规定了信息系统部门所维护管理的Tomcat WEB服务器应当遵循的安全性设置标准,本文档旨在指导系统管理人员进行Tomcat WEB服务器的安全配置。本文适用的tomcat服务器版本为4.x、5.x、6.x版本的Tomcat Web服务器。第1章 账号管理、认证授权1.1 账号1.1.1 共享帐号管理安全基线
2013-09-03 09:52:27 4300
原创 Apache安全配置基线指导
本文规定了维护工程师所维护管理的Apache服务器应当遵循的安全性设置标准,本文档旨在指导系统管理人员进行Apache服务器的安全配置。本文档适用的版本2.0.x、2.2.x版本的Apache服务器。 第1章 日志配置操作1.1 日志配置1.1.1 审核登录安全基线项目名称Apache审核登录策略安全基线要求项
2013-09-03 09:49:51 1741
转载 一次调侃引发的思考——甲方企业的IT人员究竟应具备哪些素质?
早上跟我的小伙伴们聊天说到IT苦,写了下述内容,然后小伙伴儿们就都受惊了。后来自己想想挺有意思的,所以跟大家分享一下干甲方企业IT苦啊。搞业务软件要精通行业与核心业务;搞财务软件要熟悉企业会计制度与准则还要有能力月结/年结/报表/分析;上管理软件要懂企业管理;搞个定制开发还得熟悉主流关系型数据库与主流开发语言;做IT规划要会解读公司战略与分解还要有宏观思维;做项
2013-08-29 11:33:39 846 1
转载 十四项信息安全国家标准于2012年10月1日正式实施
由全国信息安全标准化技术委员会组织制定、国家标准化管理委员会审查批准发布的:GB/T 25068.1-2012《信息技术安全技术IT网络安全第1部分:网络安全管理》、GB/T 25068.2-2012《信息技术安全技术IT网络安全第2部分:网络安全体系结构》、GB/T 28447-2012《信息安全技术电子认证服务机构运营管理规范》、GB/T 28448-2012《信息安全技术信息
2013-03-23 20:56:11 899
翻译 美国国土安全部重点努力加强国家关键基础设施的网络安全
DHS Highlights Efforts to Strengthen Cybersecurity for the Nations Critical Infrastructure美国国土安全部重点努力加强国家关键基础设施的网络安全 Release Date: February 13, 2013For Immediate ReleaseDHS Press
2013-02-26 11:11:48 1958
转载 总统政策指令——关键基础设施安全和可靠性
Presidential Policy Directive -- Critical Infrastructure Security and ResiliencePRESIDENTIAL POLICY DIRECTIVE/PPD-21SUBJECT: Critical Infrastructure Security and ResilienceThe Presidential P
2013-02-26 11:09:41 2325
2023年中国软件供应链安全分析报告
2023-08-24
CIS benchmarks.rar
2020-04-17
spotbugs-4.0.2.tgz
2020-04-17
CSA_CCM_v3.0.1-FedRAMP_5.2.15.xlsx
2020-03-12
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人