- 博客(67)
- 资源 (14)
- 收藏
- 关注
RSS订阅原创 云计算关键领域安全指南v5-速览版
云安全指南由云安全联盟(CSA)于2009年首次发布,成为了,为云计算用户、服务提供商及安全专家提供实用的安全策略,帮助他们在快速变化的云环境中有效地实施安全控制和防护措施。作为 CSA 云安全知识认证(CCSK)国际网络安全认证的官方学习材料,目前已更新至《云计算关键领域安全指南 v5》。在前几版的基础上,云安全指南v5 对技术进展和新兴安全威胁进行了全面更新。
2025-01-14 08:30:00
1663
原创 科研总结系列|2-GPT学术写作提示词集锦手册
本手册的目的是为读者整理一系列常用的提示词(Prompts),帮助在学术写作与审稿过程中更好地与 GPT 协作。通过精心设计和分类的提示词示例,笔者希望为研究者提供一份快捷、实用的参考指南,使其在撰写和润色论文、进行同行评审辅助以及编辑反馈优化等方面都能有效地提升写作效率与质量。
2025-01-13 20:00:00
1297
原创 数据治理新基石:分类分级方法与应用全面解析
《数据分类分级实践指南2.0》从国内外数据分类分级管理现状、数据分类分级概述、数据分类分级能力建设、数据分类分级方法、数据分类分级实施方案、数据分类分级应用等六个方面展开探讨与分析,并提供了国内典型数据分类分级产品介绍、数据分类分级模板工具、数据分类分级参考资料、数据分类分级关键技术与方法、典型行业标准解读、数据分类分级词典示例、文件识别规则示例等参考性、资料性附录。在指南的编写和实践验证中,多家企业贡献了他们的技术经验和产品支持,这些产品为推动数据分类分级的落地提供了宝贵的参考。
2025-01-12 08:00:00
1110
原创 科研总结系列|1-文献检索与管理(以网络安全领域为例)
在科研道路上,研究生和科研工作者往往面临的首要挑战之一,就是高效地获取并管理庞杂的文献信息。通过系统而准确的文献检索,我们不仅能够快速了解研究领域的前沿进展,也能及时捕捉新颖的学术思路,为后续课题设计奠定坚实基础。然而,若只停留于“搜集”层面,却缺乏对文献进行科学归档、标注和追溯的意识,就难以在海量资料中快速定位关键信息,反而会浪费宝贵的研究时间。合理运用多种检索渠道与文献管理工具,不仅能节约精力,还能有效避免漏查和重复收集,从而使论文写作和学术交流事半功倍。
2025-01-10 07:30:00
1116
翻译 【好文翻译】增强云安全:Kubernetes 安全的四个关键实践
在这篇博文中,我们将深入研究四个可以立即实施的关键最佳实践,以增强 Kubernetes 部署的安全性并保护您的云原生基础设施
2024-12-19 07:30:00
32
原创 强化Nacos安全性:从传统安全到创新NHP协议的演进
本文旨在通过Nacos的`QVD-2023-6271`这一漏洞,探讨传统安全产品在应对复杂网络威胁时的局限性,并介绍一种新兴的网络安全方法——网络资源超隐身协议(NHP协议),NHP协议作为零信任安全框架的核心组件之一,专为网络环境中的资源隐身和安全访问设计,在“永不信任、持续验证”的安全理念指导下,通过一套严格的身份验证和授权流程来控制数据资源的访问。
2024-12-18 09:00:00
1460
原创 开源单包授权工具fwknop环境搭建
本文中提到的fwknop实现了一种称为单包授权(SPA)的授权方案,用于隐藏服务。SPA将单个数据包经过加密,不可重放,并通过HMAC进行身份验证,以便在传达到隐藏在防火墙后面的SPA的主要应用场景是防火墙来过滤一切SSH等服务流量,从而使漏洞的利用(包括0day的和未打补丁)变得更加困难。由于没有开放端口,因此无法使用Nmap扫描SPA隐藏的任何服务。
2024-12-17 07:30:00
1082
原创 国外人工智能安全相关法律法规情况
自2017年以来,美国、欧盟、德国、加拿大、日本、新加坡等国家或地区已陆续发布人工智能发展和治理的法律法规准则,以时间轴为线索梳理这些法案可以发现,各国和地区开展的立法探索呈现出从宏观性准则和战略逐渐细化至诸如自动驾驶治理、数据安全等具体层面的趋势,全球范围内关于人工智能安全的治理逐步深化和具体。
2024-12-15 09:00:00
1485
原创 《周易入门》读后感暨后续学习规划
《周易》不仅是一部占卜经典,更是一座涵盖哲学、自然法则与生活智慧的宝库。通过系统化的学习,将理论与实践结合起来,真正理解《周易》背后的深邃哲理,运用其智慧应对生活中的变化与挑战。
2024-12-14 20:00:00
1060
原创 《长安的荔枝》阅后有感
继《太白金星有点烦》阅后有感又读了马亲王的《长安的荔枝》,我买的版本是湖南文艺出版社的。封面采用了文中主人公-李善德在困境中的一句话:**“就算失败,我也想知道,自己倒在距离终点多远的地方”**让我感触颇深。这本书和《太白金星有点烦》一样,都属于架空某个故事/历史的古装职场小说,借古喻今,尤其是对于身在职场的打工仔,很容易与之共情。
2024-12-14 09:00:00
362
原创 【干货好文】关于勒索病毒的那些事
勒索病毒是一种极具传播性、破坏性的恶意软件,主要利用多种密码算法加密用户数据,恐吓、胁迫、勒索用户高额赎金。近期,勒索病毒攻击形势更加严峻,已经对全球能源、金融等领域重要企业造成严重影响。由于勒索病毒加密信息难以恢复、攻击来源难以追踪,攻击直接影响与生产生活相关信息系统的正常运转,勒索病毒对现实世界威胁加剧,已成为全球广泛关注的网络安全难题。
2024-12-13 21:30:00
816
翻译 【好文翻译】Fwknop单包授权
端口敲门是一种早期技术,它利用 TCP 和 UDP 数据包头中的端口字段来传递信息。通常,这些协议用于封装应用程序层数据,但端口敲门通过使用端口号本身作为数据字段,将信息编码为发送到各个端口的数据包序列。这些数据包通常通过防火墙日志或数据包捕获机制(如 libpcap)进行监控。通常情况下,会有一个端口敲门客户端和一个端口敲门服务器。在这种情况下(以及本文的其余部分中,除非另有说明),术语客户端和服务器分别指发送和监控数据包的软件组件。
2024-12-12 07:30:00
58
原创 解读谷歌量子芯片Willow:量子计算的崛起及其影响
谷歌刚刚宣布了其最新的量子计算芯片Willow,在全球科技界引起了巨大的轰动。官方宣称,这块小小的芯片,能在五分钟内完成超级计算机需要亿万年才能搞定的计算任务。消息一出,连马斯克都惊叹一声“哇塞”!听起来是不是有点科幻?但这就是量子计算的魅力所在。
2024-12-11 22:30:00
2832
2
转载 从V4到V5,CCSK如何将AI、零信任和DevSecOps融入云安全实践中
云安全联盟 (CSA) 已将其云安全知识证书 (CCSK) 大幅更新至版本 5 (v5)。并整合了 AI/GenAI、零信任、DevSecOps 和数据湖等新兴主题。CCSK v5 扩展了 CCSK v4 中提供的基础知识,纳入了新领域和主题,同时改进和更新了现有内容。这确保安全专业人员具备有效保护云环境所需的最新信息和技能。
2024-12-05 18:46:04
64
转载 你是AI安全相关技能人才嘛?新岗位新机会,CSA人工智能安全认证专家Q3上线
云安全联盟(CSA)大中华区响应全球趋势,基于在AI安全方向的研究基础、全球的AI安全生态以及专业的AI安全专家团队推出了人工智能安全认证专家(Certified Artificial Intelligence Security Professional,CAISP)培训课程,将在Q3全面上线。该课程旨在为从事AI(含AI安全)的研究、管理、运营、开发以及网络安全等从业人员提供一套全面覆盖AI安全领域、跨领域综合能力培养、实践导向与案例分析、结合全球视野与法规治理的AI安全课程。
2024-06-27 17:11:42
523
原创 【解读】工信部数据安全能力提升实施方案
工业和信息化部研究起草了《工业领域数据安全能力提升实施方案(2024-2026年)》于2024年2月26日正式发布,分步骤、有重点地指导各方扎实推进工业领域数据安全工作。
2024-02-28 18:39:21
1860
原创 如何使用Sora?Sora 介绍和注册使用教程
OpenAI的Sora开启了视频创作的新纪元,无论是专业人士还是爱好者,都可以轻松创作出高质量的视频内容。尽管仍有一些限制,但随着技术的不断进步,相信这些问题将会逐渐被解决。立即尝试Sora,开启您的AI视频创作之旅吧
2024-02-27 19:00:00
12135
6
原创 Sora - 真正单兵作战时代来临了
超级个体户模式赋予了个人前所未有的力量和自由,但同时也带来了责任和挑战。通过不断学习、技术应用、个人品牌建设、建立网络,以及保持敏捷和遵循伦理标准,个体可以在这个复杂多变的世界中找到自己的位置,实现个人和职业的成长。未来属于那些准备好抓住机遇、勇于面对挑战的超级个体。Sora的推出不仅是技术进步的标志,也是对创意产业、社会伦理和个人创造力的一次深刻考验。随着这项技术的发展和应用,我们将需要不断地评估和适应其带来的变化,确保技术进步能够惠及社会的各个方面。同时,这也提醒了我们作为技术使用者、创造者和监管者的责
2024-02-27 08:00:00
2718
1
原创 数据安全治理实践路线(下)
数据安全运营阶段通过不断适配业务环境和风险管理需求,持续优化安全策略措施,强化整个数据安全治理体系的有效运转。数据安全评估优化阶段主要是通过内部评估与第三方评估相结合的方式,对组织的数据安全治理能力进行评估分析,总结不足并动态纠偏,实现数据安全治理的持续优化及闭环工作机制的建立。
2024-02-26 21:17:23
1550
原创 数据安全治理实践路线(中)
数据安全建设阶段主要对数据安全规划进行落地实施,建成与组织相适应的数据安全治理能力,包括组织架构的建设、制度体系的完善、技术工具的建立和人员能力的培养等。
2024-02-26 21:01:04
1821
原创 数据安全治理实践路线(上)
可以按照自顶向下和自底向上相结合的思路推进实践过程。一方面,组织自顶向下,以数据安全战略规划为指导,以规划、建设、运营、优化为主线,围绕构建数据安全治理体系这一核心,从组织架构、制度流程、技术工具和人员能力四个维度构建全局建设思路。另一方面,组织自底向上,针对各业务场景敏捷落地相关数据安全能力点,以快速满足业务场景的数据安全需求,降低数据安全治理的长期性对业务开展的影响。通过各个场景的建设与完善,最终全面覆盖组织的所有数据处理活动。
2024-02-22 23:52:53
1133
原创 构建企业数据安全的根基:深入解析数据安全治理能力评估与实践框架
随着数据安全挑战的日益增加,企业必须认识到构建和维护一个强大的数据安全治理框架的重要性。腾讯安全和信通院发布的《数据安全治理与实践自皮书》中提出了以风险为核心的数据安全治理体系框架,整个框架由实践模板可细化为组织内可分步落地实践的各个模块:法律合规体组织保障体系、流程体系、技术体系、安全基础设施。
2024-02-21 21:43:10
1616
2
原创 数据安全治理:构建与实施的关键要素及总体架构
本文深入探讨了数据安全治理的关键要点和总体架构,强调了以数据为中心的治理体系、多元化主体的协同合作以及发展与安全的平衡三大核心原则。以及细致勾勒了数据安全治理的四大组成部分:治理目标、治理体系、治理维度和实践路线,为组织提供了一套可行的实施框架。后续文章将继续探索更多具体的实施策略和技术解决方案,帮助您应对日益复杂的数据安全挑战。
2024-02-21 21:15:26
2501
原创 数据安全治理【概述】
数据安全治理是指在组织数据安全战略的指导下,为确保组织数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力,内外部相关方协作实施的一系列活动集合。包括建立组织数据安全治理组织架构,制定数据安全制度规范,构建数据安全技术体系,建设数据安全人才梯队等。
2024-02-19 18:30:00
1098
原创 智能未来之路:《NIST AI RMF 1.0》与负责任的AI发展
NIST AI RMF 1.0》框架是一份全面指南,旨在指导人工智能的负责任、可信赖和可持续发展。该框架强调了AI系统在设计和实施过程中应遵循的核心原则,包括确保技术的安全性、透明性和公平性。此外,框架还着重于风险管理策略,以及如何在符合伦理、法律和社会价值观的基础上部署和管理AI技术。总体而言,《NIST AI RMF 1.0》提供了一个结构化的方法来评估和缓解AI技术带来的潜在风险,确保其正面影响最大化。
2024-02-19 14:00:00
1330
原创 在零信任架构下的API安全与滥用防护(下)
随着API的普及和重要性的增加,对API的保护也必须跟上其发展的步伐。这套体系不仅要求技术层面的精确和先进,还要求安全策略与企业的业务流程和API的使用模式紧密结合,以确保在不影响业务连续性的同时最大限度地减少API滥用的风险。通过上述措施,API安全成为零信任架构的一个有机组成部分,不仅加强了对API层面的安全防护,也为整个企业的数字资产和服务提供了更全面的保护。策略的制定应基于对API攻击深层次的理解,以及对大量API相关数据的分析和利用,这些都是识别和预防API滥用的重要手段。
2023-12-01 07:45:00
1590
5
原创 在零信任架构下的API安全与滥用防护(上)
在当今数字化的浪潮中,应用程序编程接口(API)的战略重要性愈发凸显。API不仅仅是现代软件和互联网服务之间沟通的桥梁,更是企业价值创造的核心。随着API的快速发展和广泛应用,安全问题随之而来,其中API滥用尤为引人注目,它已经成为数字安全领域亟待解决的关键挑战。传统的网络安全模型,以其定义的安全边界为基础,但在如今混合云和移动办公的背景下,这一概念正被重新定义。
2023-11-30 07:30:00
1401
原创 VT驱动开发
VT技术是Intel提供的虚拟化技术,全称为Intel Virtualization Technology。它是一套硬件和软件的解决方案,旨在增强虚拟化环境的性能、可靠性和安全性。VT技术允许在一台物理计算机上同时运行多个虚拟机,每个虚拟机都可以运行不同的操作系统和应用程序。
2023-11-29 19:00:00
1984
原创 将人工智能与数据治理结合的挑战与应对策略
通过将AI集成到数据治理框架中,组织可以解锁无尽的可能性。从简化流程到获得有价值的洞察,好处是无穷的。有了AI,决策变得更加明智和高效,从而实现更大的生产力和成功。
2023-09-18 07:45:00
1260
转载 【证券行业应用零信任思想的探索(下)】
辩证性的看待当前零信任方案,让零信任不局限在SDP替代VPN上,而是根据不同的场景使用不同的零信任方案来满足用户需求;将零信任从传统网络层SDP方案扩展到了应用层零信任方案,从网络边界防护到以应用为角度的防护上;探索了不以网络位置是内网还是外网来决定安全,而是以业务重要性来使用不同策略,以零信任的动态策略为主的防护模式上;
2023-08-18 07:30:00
888
转载 【证券行业应用零信任思想的探索(上)】
通过对不同场景下的应用探索,寻求零信任技术在券商环境下的综合解决方案,尝试整合SDP、统一身份管理、微隔离、零信任应用代理网关、零信任决策引擎等多种技术,尝试通过统一调度和控制平面,实现多场景下持续有效、细颗粒度的访问控制,为同行探索一条可行的零信任实践道路。
2023-08-16 09:54:56
865
1
原创 横向移动-域控提权
由于Active Directory没有对域中计算机和服务器账号进行验证,经过身份验证的攻击者利用该漏洞绕过完全限制,可将域中普通用户权限提升为域管理员权限并执行任意代码。
2023-08-14 07:30:00
513
原创 KeePass CVE-2023-32784:进程内存转储检测
CVE-2023-32784允许从内存转储中恢复明文主密码。内存转储可以是KeePass进程转储、交换文件(pagefile.sys)、休眠文件(hiberfil.sys)或整个系统的RAM转储KeePass 2.X使用自定义开发的密码输入文本框SecureTextBoxEx。在这个CVE中被利用的漏洞是,每输入一个字符,就会在内存中创建一个剩余字符串。由于.NET的工作原理,一旦它被创建出来几乎不可能摆脱它。
2023-08-12 07:30:00
716
原创 无需公网-用zerotier异地组网
在前面的文章中我们讲到利用frp进行内网穿透,但是他的局限在于你需要一台公网服务器。并且对公网服务器的带宽有一定的要求。因此这里我们推荐一款异地组网工具搭建属于自己的虚拟网络,经过授权连接成功之后彼此都在同一网段,可以像在局域网一样互相访问。异地组网和内网穿透不同在于,内网穿透服务是第三方会分配给你一个域名或者公网 IP,任何人都可以访问异地组网是需要再访问端和被访问端都安装可以异地组网的软件,比如Zerotier。来组成一个大的局域网。
2023-08-09 07:30:00
911
原创 漏洞&修复规范描述
严重不安全系统高危不安全系统中危不安全系统低危不安全系统安全系统严重漏洞高危漏洞中危漏洞低危漏洞认证应用主机APP代码web 后台系统弱口令详情由于网站用户帐号存在弱口令,导致攻击者通过弱口令可轻松登录到网站中,从而进行下一步的攻击,例如上传 webshell,获取敏感数据,另外攻击者利用弱口令登录网站管理后台,可执行任意管理员的操作。造成的危害攻击者利用此漏洞可直接进入应用系统或者管理系统,从而进行系统、网页、数据的篡改与删除,非法获取系统、用户的数据,甚至可能导致服务器沦陷。修复建议用户层面系统层面ft
2023-08-07 08:30:00
1487
原创 frp内网穿透配置教程
frp全名Fast Reverse Proxy,是用于提供内网穿透服务的工具,主要用于解决一些内网服务没有公网ip但是却需要提供外网访问的问题。使用frp你可以将内网中的TCP、UDP、HTTP、HTTPS等协议类型的服务发布到公网,并且支持Web服务根据域名进行路由转发。
2023-08-03 07:30:00
2105
信息安全技术 区块链的技术安全框架
2022-04-19
即时通信服务数据安全指南
2022-04-05
基因识别数据安全要求-参考文件
2022-04-04
电信领域大数据安全防护实现指南
2022-04-04
信息安全技术 SM9密码算法使用规范.doc
2022-04-03
ITIL管理中各流程概述
2022-04-03
55 NIST 网络安全框架入门.pdf
2021-11-04
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人