Security Information
lsyou_2000
长期从事信息安全保密技术研究,精通信息系统等级保护、分级保护相关政策,曾承担多项部级科研项目,获得省部级奖励多项,发表论文多篇。
展开
-
行政命令——提高关键基础设施网络安全
Executive Order -- Improving Critical Infrastructure CybersecurityEXECUTIVE ORDER- - - - - - -IMPROVING CRITICAL INFRASTRUCTURE CYBERSECURITY By the authority vested in me as President by转载 2013-02-26 11:08:24 · 1568 阅读 · 0 评论 -
赛门铁克发现武器级木马病毒 或涉及政府行为
腾讯科技讯网络安全厂商赛门铁克11月23日对外公布,发现了一个技术极为先进的网络攻击和信息盗取的木马,主要攻击对象是全球多国的宽带接入商以及电信公司,俄罗斯等多国遭遇攻击,另外这款工具的开发者不像是个人或企业,有可能是美国和以色列等国家的政府机构所开发。这款网络攻击工具也属于特洛伊木马类型,赛门铁克的团队将其暂时命名为“Regin”。据美国科技新闻网站Recode报道,发现这个木马的团队,在四转载 2014-11-25 13:32:35 · 710 阅读 · 0 评论 -
破壳漏洞(CVE-2014-6271)综合分析
目 录一、 威胁卡片 二、 概述 三、 已知事件发布/披露情况四、 漏洞的影响范围 五、 漏洞原理 六、 漏洞验证方法 七、 漏洞检测方法 八、 漏洞可能会带来的影响 九、 针对此漏洞的建议 十、 写在最后的啰嗦的话 一、 威胁卡片二、概述 2014年9月24日Bash被公布存在远程代码执行漏洞,安天实验室转载 2014-11-25 14:23:33 · 3046 阅读 · 0 评论 -
趋势科技发布《勒索软件的过去、现在和未来》安全报告
概要勒索是一种网络犯罪手段,而在这方面没有任何一款恶意软件比勒索软件做的更好。从2005、2006年以来,勒索软件一直没有停止过破坏的脚步。事实上,在过去的2016年,新出现的勒索病毒种类暴涨了近8倍,收取的赎金接近10亿美元。所有这些勒索软件都具备加密各种文件类型的能力,不仅是电脑设备,甚至是全球各地的移动设备和服务器,以及个人和企业统统受到此威胁的严重影响。至今仍让人心有余转载 2017-06-07 13:00:24 · 705 阅读 · 0 评论 -
美国发布《提升关键技术设施网络安全框架1.1版》
2017年1月10日,美国国家标准和技术局NIST更新发布《提升关键技术设施网络安全框架1.1版》,其中包含了该框架1.0版之后收集到的各类反馈信息。该更新版本提供了有关网络安全度量方法、强化供应链风险管理、完善鉴权授权和身份管理、轮廓与分层实现之间的关系等内容的更新,目的在于为相关企业和组织提供更具有针对性的指导性建议。Cybersecurity Framework v1.1 (原创 2017-06-08 16:25:12 · 1202 阅读 · 0 评论 -
美情报高级研究计划局研发多项下一代情报技术
6月4日,美国情报高级研究计划局(IARPA)副局长史黛丝·迪克逊介绍了多项正在研发的下一代情报技术。甄别自杀式爆炸袭击者IARPA正在开展一个甄别自杀式爆炸袭击者及高价值目标的项目。这些袭击者通常会被炸得粉身碎骨,没有可用DNA以识别其身份。IARPA的项目则寻求在没有可用DNA的情况下,使用来自头发和角质(人体皮肤最外层的主要成分)的蛋白质来确认其身份。 Am转载 2017-06-13 20:59:48 · 1031 阅读 · 0 评论 -
网络安全与信息安全
随着以计算机和网络通信为代表的信息技术(IT)的迅猛发展,现代政府部门、金融机构、企事业单位和商业组织对IT的依赖性也日益增强,信息技术几乎渗透到了社会生活的各个方面。然而,信息化发展浪潮带来的信息安全阴影就像雾霾一样笼罩着信息时代社会生活的各个角落。随着人们越来越重视信息的安全性,对信息安全工作的理解也不断深入。从早期的“三分技术、七分管理”,到后来的“技管并重”,以及最近几年强调的“信息安全治原创 2014-07-22 11:52:40 · 1936 阅读 · 0 评论 -
国外安全厂商披露30个Java云服务的0day细节
波兰的一家安全公司近日揭示批漏了30个Java云服务的0day漏洞和相应利用代码,这些漏洞允许客户在其服务器集群上部署Java应用程序。该公司在一月底二月初的时候,已经向Oracle递交了这些漏洞及有关的PoC代码,并且确认他们已经收到了报告。截至2月末的时候,Oracle的月度报告中报告了相关问题,告知安全研究人员,已修复了发现了的24个漏洞,剩下的六个漏洞也已经研究过,正在修复转载 2014-04-21 14:11:33 · 563 阅读 · 0 评论 -
总统政策指令——关键基础设施安全和可靠性
Presidential Policy Directive -- Critical Infrastructure Security and ResiliencePRESIDENTIAL POLICY DIRECTIVE/PPD-21SUBJECT: Critical Infrastructure Security and ResilienceThe Presidential P转载 2013-02-26 11:09:41 · 2224 阅读 · 0 评论 -
十四项信息安全国家标准于2012年10月1日正式实施
由全国信息安全标准化技术委员会组织制定、国家标准化管理委员会审查批准发布的:GB/T 25068.1-2012《信息技术安全技术IT网络安全第1部分:网络安全管理》、GB/T 25068.2-2012《信息技术安全技术IT网络安全第2部分:网络安全体系结构》、GB/T 28447-2012《信息安全技术电子认证服务机构运营管理规范》、GB/T 28448-2012《信息安全技术信息转载 2013-03-23 20:56:11 · 878 阅读 · 0 评论 -
美国国土安全部重点努力加强国家关键基础设施的网络安全
DHS Highlights Efforts to Strengthen Cybersecurity for the Nations Critical Infrastructure美国国土安全部重点努力加强国家关键基础设施的网络安全 Release Date: February 13, 2013For Immediate ReleaseDHS Press翻译 2013-02-26 11:11:48 · 1945 阅读 · 0 评论 -
全球信息安全的六大战略错误
全球信息安全的六大战略错误(The Six Strategic Mistakes Made by Global Information Security Experts )杨义先 教授、博导、长江学者(Yi Xian Yang, Prof. & Ph.D)北京邮电大学信息安全中心主任(Director of Information Security Cent转载 2013-10-12 10:50:06 · 1905 阅读 · 0 评论 -
开放可信技术供应商标准O-TTPS v1.0
开放可信技术供应商标准V1.0——避免恶意感染或伪造产品 1引言 1.1目标【O-TTPS是一系列指南、要求和建议的集合,在实践应用中为技术获取者带来商业利益,减少获取恶意污染或假冒伪劣产品的风险。文档中给出了成熟的工业供应商所采取的最佳实践,通过严格评审且达成一致的过程,以及标准中给出的要求和建议,对建立一个减少风险的基础方法有很大的好处。采用这个标准的大或小的软硬翻译 2013-10-12 10:55:48 · 2240 阅读 · 0 评论 -
加州立法规范数据泄露后的通告
根据美国加利福尼亚州原来的法律规定,当组织受到攻击发生数据泄露时,需通知当地居民关于个人信息安全性可能受到的影响。其中,个人信息的定义限制为敏感数据,如包含个人全名的社会安全号码SSN,驾驶执照号码,医疗记录或财务账户信息等。美国加州近日通过的法律SB-46扩展了这个范围,包括允许对在线账户信息的访问。扩展的信息包括:用户名或电子邮件地址,允许访问在线账户信息的密码或安全问题和答案等。SB原创 2013-10-25 10:32:32 · 2033 阅读 · 0 评论 -
技术供应链安全——供应商范围的定义
在O-TTPS v1.0中对技术供应链安全提出了一系列针对技术供应商(提供信息技术产品)控制措施以保证技术供应链安全。然而,在当前的全球市场中,技术供应商已不仅仅指O-TTPS v1.0 中所定义的那些,还包括了大量的其他供应商,其供应产品的质量、安全性、可靠性等对信息安全也具有十分重大的影响。根据ISO9000中对产品的定义,产品包括硬件、软件、服务和流程性材料,对应到I原创 2013-10-29 16:17:11 · 976 阅读 · 0 评论 -
CSA发布云控制矩阵3.0版
云安全联盟(CSA)近期正式发布CSA云控制矩阵(CCM)3.0版,该版本共包括16个控制域,136个控制点。其组成如下图:原创 2013-10-31 14:39:50 · 1813 阅读 · 0 评论 -
奥巴马允许NSA利用网络0day漏洞
华盛顿——美国政府高级官员上周六表示,奥巴马总统介入了美国情报机构内部的激烈争论,并且决定,如果国家安全局(National Security Agency,简称NSA)发现网络安全存在重要漏洞(0day),大多数情况下就应该公开信息,确保漏洞获得修复,而不是保持沉默,以便利用这些漏洞开展间谍活动或网络攻击。不过,前述官员表示,奥巴马也给出了广泛的例外情况,前提是“国家安全或执法行动存转载 2014-04-21 14:12:26 · 688 阅读 · 0 评论 -
一周海外安全事件回顾(20140414-0420)
在上周,“心脏滴血”(Heartbleed)仍旧是最热的话题。谁应该为滴血漏洞负主要责任呢?就在安全界争论到最热闹的时候,史上“最伟大”的程序猿出现了。他说,你们都别吵了,那段OpenSSL问题代码尼玛就是我写的。谁应该为“心脏滴血”负主要责任?到底谁该为“心脏滴血”漏洞负责,这是安全界最近争论的焦点之一。大家众说纷纭,靠谱的不靠谱的,说什么的都有。就在这个时候,“史上最伟大”的程转载 2014-04-21 14:06:05 · 593 阅读 · 0 评论 -
1000万辆汽车VIN识别码数据被泄,小心买到克隆车!
E安全6月13日讯 目前已经发现一个汽车数据库被泄露至网络当中,数据库囊括美国本土出售的上千万辆汽车以及相关购买者的个人信息。受这起泄露影响的汽车经销商包括Acura(讴歌)、BMW(宝马)、 Chrysler(克莱斯勒)、Honda(本田)、 Hyundai(现代)、 Infiniti(英菲尼迪)、 Jeep(吉普)、 Kia(起亚)、 Mini(迷你)、 Mitsubishi(三菱)、Niss转载 2017-06-13 21:02:28 · 2418 阅读 · 0 评论