- 博客(51)
- 资源 (14)
- 收藏
- 关注
RSS订阅转载 你是AI安全相关技能人才嘛?新岗位新机会,CSA人工智能安全认证专家Q3上线
云安全联盟(CSA)大中华区响应全球趋势,基于在AI安全方向的研究基础、全球的AI安全生态以及专业的AI安全专家团队推出了人工智能安全认证专家(Certified Artificial Intelligence Security Professional,CAISP)培训课程,将在Q3全面上线。该课程旨在为从事AI(含AI安全)的研究、管理、运营、开发以及网络安全等从业人员提供一套全面覆盖AI安全领域、跨领域综合能力培养、实践导向与案例分析、结合全球视野与法规治理的AI安全课程。
2024-06-27 17:11:42
178
原创 【解读】工信部数据安全能力提升实施方案
工业和信息化部研究起草了《工业领域数据安全能力提升实施方案(2024-2026年)》于2024年2月26日正式发布,分步骤、有重点地指导各方扎实推进工业领域数据安全工作。
2024-02-28 18:39:21
1608
原创 如何使用Sora?Sora 介绍和注册使用教程
OpenAI的Sora开启了视频创作的新纪元,无论是专业人士还是爱好者,都可以轻松创作出高质量的视频内容。尽管仍有一些限制,但随着技术的不断进步,相信这些问题将会逐渐被解决。立即尝试Sora,开启您的AI视频创作之旅吧
2024-02-27 19:00:00
7038
6
原创 Sora - 真正单兵作战时代来临了
超级个体户模式赋予了个人前所未有的力量和自由,但同时也带来了责任和挑战。通过不断学习、技术应用、个人品牌建设、建立网络,以及保持敏捷和遵循伦理标准,个体可以在这个复杂多变的世界中找到自己的位置,实现个人和职业的成长。未来属于那些准备好抓住机遇、勇于面对挑战的超级个体。Sora的推出不仅是技术进步的标志,也是对创意产业、社会伦理和个人创造力的一次深刻考验。随着这项技术的发展和应用,我们将需要不断地评估和适应其带来的变化,确保技术进步能够惠及社会的各个方面。同时,这也提醒了我们作为技术使用者、创造者和监管者的责
2024-02-27 08:00:00
2659
1
原创 数据安全治理实践路线(下)
数据安全运营阶段通过不断适配业务环境和风险管理需求,持续优化安全策略措施,强化整个数据安全治理体系的有效运转。数据安全评估优化阶段主要是通过内部评估与第三方评估相结合的方式,对组织的数据安全治理能力进行评估分析,总结不足并动态纠偏,实现数据安全治理的持续优化及闭环工作机制的建立。
2024-02-26 21:17:23
1040
原创 数据安全治理实践路线(中)
数据安全建设阶段主要对数据安全规划进行落地实施,建成与组织相适应的数据安全治理能力,包括组织架构的建设、制度体系的完善、技术工具的建立和人员能力的培养等。
2024-02-26 21:01:04
1195
原创 数据安全治理实践路线(上)
可以按照自顶向下和自底向上相结合的思路推进实践过程。一方面,组织自顶向下,以数据安全战略规划为指导,以规划、建设、运营、优化为主线,围绕构建数据安全治理体系这一核心,从组织架构、制度流程、技术工具和人员能力四个维度构建全局建设思路。另一方面,组织自底向上,针对各业务场景敏捷落地相关数据安全能力点,以快速满足业务场景的数据安全需求,降低数据安全治理的长期性对业务开展的影响。通过各个场景的建设与完善,最终全面覆盖组织的所有数据处理活动。
2024-02-22 23:52:53
1043
原创 构建企业数据安全的根基:深入解析数据安全治理能力评估与实践框架
随着数据安全挑战的日益增加,企业必须认识到构建和维护一个强大的数据安全治理框架的重要性。腾讯安全和信通院发布的《数据安全治理与实践自皮书》中提出了以风险为核心的数据安全治理体系框架,整个框架由实践模板可细化为组织内可分步落地实践的各个模块:法律合规体组织保障体系、流程体系、技术体系、安全基础设施。
2024-02-21 21:43:10
1449
2
原创 数据安全治理:构建与实施的关键要素及总体架构
本文深入探讨了数据安全治理的关键要点和总体架构,强调了以数据为中心的治理体系、多元化主体的协同合作以及发展与安全的平衡三大核心原则。以及细致勾勒了数据安全治理的四大组成部分:治理目标、治理体系、治理维度和实践路线,为组织提供了一套可行的实施框架。后续文章将继续探索更多具体的实施策略和技术解决方案,帮助您应对日益复杂的数据安全挑战。
2024-02-21 21:15:26
1607
原创 数据安全治理【概述】
数据安全治理是指在组织数据安全战略的指导下,为确保组织数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力,内外部相关方协作实施的一系列活动集合。包括建立组织数据安全治理组织架构,制定数据安全制度规范,构建数据安全技术体系,建设数据安全人才梯队等。
2024-02-19 18:30:00
895
原创 智能未来之路:《NIST AI RMF 1.0》与负责任的AI发展
NIST AI RMF 1.0》框架是一份全面指南,旨在指导人工智能的负责任、可信赖和可持续发展。该框架强调了AI系统在设计和实施过程中应遵循的核心原则,包括确保技术的安全性、透明性和公平性。此外,框架还着重于风险管理策略,以及如何在符合伦理、法律和社会价值观的基础上部署和管理AI技术。总体而言,《NIST AI RMF 1.0》提供了一个结构化的方法来评估和缓解AI技术带来的潜在风险,确保其正面影响最大化。
2024-02-19 14:00:00
1142
原创 在零信任架构下的API安全与滥用防护(下)
随着API的普及和重要性的增加,对API的保护也必须跟上其发展的步伐。这套体系不仅要求技术层面的精确和先进,还要求安全策略与企业的业务流程和API的使用模式紧密结合,以确保在不影响业务连续性的同时最大限度地减少API滥用的风险。通过上述措施,API安全成为零信任架构的一个有机组成部分,不仅加强了对API层面的安全防护,也为整个企业的数字资产和服务提供了更全面的保护。策略的制定应基于对API攻击深层次的理解,以及对大量API相关数据的分析和利用,这些都是识别和预防API滥用的重要手段。
2023-12-01 07:45:00
1487
5
原创 在零信任架构下的API安全与滥用防护(上)
在当今数字化的浪潮中,应用程序编程接口(API)的战略重要性愈发凸显。API不仅仅是现代软件和互联网服务之间沟通的桥梁,更是企业价值创造的核心。随着API的快速发展和广泛应用,安全问题随之而来,其中API滥用尤为引人注目,它已经成为数字安全领域亟待解决的关键挑战。传统的网络安全模型,以其定义的安全边界为基础,但在如今混合云和移动办公的背景下,这一概念正被重新定义。
2023-11-30 07:30:00
1287
原创 VT驱动开发
VT技术是Intel提供的虚拟化技术,全称为Intel Virtualization Technology。它是一套硬件和软件的解决方案,旨在增强虚拟化环境的性能、可靠性和安全性。VT技术允许在一台物理计算机上同时运行多个虚拟机,每个虚拟机都可以运行不同的操作系统和应用程序。
2023-11-29 19:00:00
1474
原创 将人工智能与数据治理结合的挑战与应对策略
通过将AI集成到数据治理框架中,组织可以解锁无尽的可能性。从简化流程到获得有价值的洞察,好处是无穷的。有了AI,决策变得更加明智和高效,从而实现更大的生产力和成功。
2023-09-18 07:45:00
711
转载 【证券行业应用零信任思想的探索(下)】
辩证性的看待当前零信任方案,让零信任不局限在SDP替代VPN上,而是根据不同的场景使用不同的零信任方案来满足用户需求;将零信任从传统网络层SDP方案扩展到了应用层零信任方案,从网络边界防护到以应用为角度的防护上;探索了不以网络位置是内网还是外网来决定安全,而是以业务重要性来使用不同策略,以零信任的动态策略为主的防护模式上;
2023-08-18 07:30:00
321
转载 【证券行业应用零信任思想的探索(上)】
通过对不同场景下的应用探索,寻求零信任技术在券商环境下的综合解决方案,尝试整合SDP、统一身份管理、微隔离、零信任应用代理网关、零信任决策引擎等多种技术,尝试通过统一调度和控制平面,实现多场景下持续有效、细颗粒度的访问控制,为同行探索一条可行的零信任实践道路。
2023-08-16 09:54:56
354
原创 横向移动-域控提权
由于Active Directory没有对域中计算机和服务器账号进行验证,经过身份验证的攻击者利用该漏洞绕过完全限制,可将域中普通用户权限提升为域管理员权限并执行任意代码。
2023-08-14 07:30:00
295
原创 KeePass CVE-2023-32784:进程内存转储检测
CVE-2023-32784允许从内存转储中恢复明文主密码。内存转储可以是KeePass进程转储、交换文件(pagefile.sys)、休眠文件(hiberfil.sys)或整个系统的RAM转储KeePass 2.X使用自定义开发的密码输入文本框SecureTextBoxEx。在这个CVE中被利用的漏洞是,每输入一个字符,就会在内存中创建一个剩余字符串。由于.NET的工作原理,一旦它被创建出来几乎不可能摆脱它。
2023-08-12 07:30:00
533
原创 无需公网-用zerotier异地组网
在前面的文章中我们讲到利用frp进行内网穿透,但是他的局限在于你需要一台公网服务器。并且对公网服务器的带宽有一定的要求。因此这里我们推荐一款异地组网工具搭建属于自己的虚拟网络,经过授权连接成功之后彼此都在同一网段,可以像在局域网一样互相访问。异地组网和内网穿透不同在于,内网穿透服务是第三方会分配给你一个域名或者公网 IP,任何人都可以访问异地组网是需要再访问端和被访问端都安装可以异地组网的软件,比如Zerotier。来组成一个大的局域网。
2023-08-09 07:30:00
666
原创 漏洞&修复规范描述
严重不安全系统高危不安全系统中危不安全系统低危不安全系统安全系统严重漏洞高危漏洞中危漏洞低危漏洞认证应用主机APP代码web 后台系统弱口令详情由于网站用户帐号存在弱口令,导致攻击者通过弱口令可轻松登录到网站中,从而进行下一步的攻击,例如上传 webshell,获取敏感数据,另外攻击者利用弱口令登录网站管理后台,可执行任意管理员的操作。造成的危害攻击者利用此漏洞可直接进入应用系统或者管理系统,从而进行系统、网页、数据的篡改与删除,非法获取系统、用户的数据,甚至可能导致服务器沦陷。修复建议用户层面系统层面ft
2023-08-07 08:30:00
1063
原创 frp内网穿透配置教程
frp全名Fast Reverse Proxy,是用于提供内网穿透服务的工具,主要用于解决一些内网服务没有公网ip但是却需要提供外网访问的问题。使用frp你可以将内网中的TCP、UDP、HTTP、HTTPS等协议类型的服务发布到公网,并且支持Web服务根据域名进行路由转发。
2023-08-03 07:30:00
1862
翻译 【好文翻译】生成式人工智能:提出的共担责任模型
由于OpenAI发布了面向消费者的聊天机器人ChatGPT,该机器人利用生成式人工智能技术,大型语言模型(LLMs)引起了广泛关注。ChatGPT对企业和公司产生了巨大影响,开源人工智能生态系统也同样如此云服务提供商一直处于领先地位,微软Azure通过其平台和认知服务提供OpenAI API,并在其平台内集成其他OpenAI平台。谷歌创建了一个名为Bard的类似ChatGPT的聊天机器人,并通过其Vertex AI平台提供生成式人工智能功能。亚马逊也与其SageMaker平台合作。
2023-08-02 16:43:10
166
转载 CSA发布|《企业数据安全风险管理指南》指导企业数据安全落地实践
《企业数据安全风险管理指南》构建了以数据为中心的风险管理框架,在充分分析各类数据处理活动场景所面临的数据安全风险的基础上,从数据安全风险管理规划、数据处理活动管理、数据安全风险评估、数据安全风险处置、数据安全风险监督改进、数据安全风险沟通与评审等六大方面给出了切实可行的管理方法,以及通过20套附录工具提供了详尽的实践思路,期望能够为各企业数据安全从业者提供参考和帮助。
2023-04-24 14:00:00
386
原创 《信息安全技术 网络安全从业人员能力基本要求》国家标准正式发布!
GB/T 42446-2023《信息安全技术 网络安全从业人员能力基本要求》标准中给出了工作任务、工作类别、知识和技能之间关系,规定了网络安全从业人员应具备的通用知识和技能以及针对网络安全管理、网络安全建设、网络安全运营、网络安全审计和评估、网络安全科研教育五大类人员的专业知识和技能要求。该标准适用于党政机关、网络运营者、网络安全教育和科研机构等各类组织对网络安全从业人员的选拔、培养、评价、管理等。
2023-04-17 10:29:32
988
2
原创 零信任落地实践【新世界】
轻舟已过万重山,始终不忘初心。在网络安全领域,我们需要始终保持警觉,不断学习和探索新的安全技术和策略。零信任架构作为一种新兴技术,具有突破传统网络安全边界的优势,值得我们深入研究和探索。
2023-03-07 20:13:55
391
3
原创 如何成为一名专业的云渗透测试工程师
越来越多朋友寻找新的职业发展机会,开始将目光聚焦到了网络安全产业,作为业内人员,在这里推荐一个网络安全众多岗位中最具发展前景的岗位:云渗透测试工程师。不论是甲方用户,还是网络安全厂商,对专业的云安全人员都有强需求。
2023-03-01 09:52:19
1545
原创 云环境渗透测试的重要性
云渗透测试是保障云环境安全的重要手段,可以帮助企业发现并修复安全问题,提高云环境的安全性和稳定性。企业应该定期进行云渗透测试,并采取其他安全措施,以保护核心数据和业务的安全。
2023-02-18 18:14:48
1219
原创 零信任的三种主流技术【远航】
从技术视角划分,零信任的主流技术分为三种:即 SIM:S 为 SDP(Software Defined Perimeter, 软件定义边界)、I 为 IAM(Identity and Access Management,身份识别与访问管理系统),M 为 MSG(Micro-Segmentation,微隔离)。
2022-09-18 07:30:00
8357
32
原创 零信任架构分析【扬帆】
以身份为中心:零信任对访问控制进行了范式上的颠覆,引导安全体系架构从「网络中心化」走向「身份中心化」,其本质诉求是以身份为中心进行访问控制。零信任架构通常执行三项主要原则-永不信任,始终验证、多因素身份验证(MFA)是必须的,而微隔离对于执行限制至关重要。为了实现零信任安全,组织需要采用信息安全扩展端点可见性并实现对访问和特权的控制的实践和工具。......
2022-07-31 23:51:38
3023
27
原创 零信任的基本概念【新航海】
「零信任」既不是技术也不是产品,而是一种安全理念。任何访问业务、数据、网络、代码的“源”都需要做验证,以此证时这个“源”是安全的后,再将其接入到需要访问的某个特定应用、数据、网络、代码上;在访问特定应用、数据、网络、代码的过程中,零信任会持续验证身份,直到停止使用或被中断。...
2022-07-31 15:09:05
2873
22
原创 数据脱敏的场景与价值【总结】
企业在运营过程中开展数据脱敏工作,往往面对的是大规模的数据集,信息化程度越高的企业越是如此。因此,企业需要借助技术手段来完成数据脱敏工作,不论是自研数据脱敏系统或工具,还是采购专门的数据脱敏产品,希望达到的效果是能够自动化、批量化地完成数据脱敏工作,并且能够与业务系统对接,内嵌入业务流程中,尽量减少人工干预,提升效率。......
2022-07-21 07:30:00
1739
5
原创 数据脱敏的功能与技术原理【详解】
数据脱敏最重要的一点就是能不能精准识别出敏感数据,之后才是针对性脱敏。静态脱敏可以概括为数据的“搬移并仿真替换”,动态脱敏可以概括为“边脱敏,边使用”。
2022-07-19 07:30:00
5777
38
原创 数据脱敏系统【回顾】
数据脱敏也叫数据的去隐私化,采用专门的脱敏算法对敏感数据进行屏蔽和仿真替换,将敏感数据转化为虚构数据,将个人信息匿名化,为数据的安全使用提供基础保障。同时,在不改变业务系统逻辑的前提下,保证脱敏后的数据保留原数据的特征和分布,同时保证数据的有效性和可用性,使脱敏后的数据能够安全地应用于测试、开发、分析和第三方使用环境中。............
2022-06-30 23:52:56
2211
37
原创 数据库防火墙技术展望【终章】
数据库防火墙在运维端的突出表现值得去研究,这种场景需求还是很多的,技术演变只会越来越精彩,上述提到的几点都是一些基本功能,技术实现不过多讨论,这种一体化的运维管控平台以前用的多是为了合规检查,现在注重实用,谁不想一个平台就解决数据库运维的工作呢。 技术的发展是无止境的,对安全的需求也没有尽头。只要威胁在演变,技术在革新,防御手段就需不断进化以至平衡。随着用户需求提升,也祝愿数据安全爱好者们能不断打破边界,大踏步朝技术更深处走去。...
2022-05-26 18:00:20
783
12
原创 数据库防火墙的性能和高可用性分析
数据库防火墙,作为数据库的最后一道防御工事,要想真正发挥防护效果,数据库防火墙必须串联在数据库的前端,可以是物理串联或代理连接(逻辑串联),业务系统巨大的流量将经过数据库防火墙。 按照这样的部署模式,抛开功能不谈,数据库防火墙想要接入业务需要两个基本前提:可以接受的性能和高可用性,而高可用性是最重要的,必须保障业务的安全性、可用性和连续性。...
2022-05-25 07:45:00
982
16
原创 数据库防火墙闪亮登场(好文共赏)
数据库防火墙系统,串联部署在数据库服务器之前,解决数据库应用侧和运维侧两方面的问题,是一款基于数据库协议分析与控制技术的数据库安全防护系统。DBFirewall基于主动防御机制,实现数据库的访问行为控制、危险操作阻断、可疑行为审计,实现业务系统、操作用户与数据库之间“最后一公里”防护。.........
2022-05-24 07:30:00
2224
33
原创 数据分类分级落地问题最优解
如何解决数据分类分级落地难题?数据分类分级具体项目实施步骤大概分为四点,基本上都是“人工”+“服务”的形式做,针对安全服务这一块会因为客户要求不同、业务场景不同、行业合规要求不同存在差异。...
2022-05-20 07:30:00
1807
28
信息安全技术 区块链的技术安全框架
2022-04-19
即时通信服务数据安全指南
2022-04-05
基因识别数据安全要求-参考文件
2022-04-04
电信领域大数据安全防护实现指南
2022-04-04
信息安全技术 SM9密码算法使用规范.doc
2022-04-03
ITIL管理中各流程概述
2022-04-03
55 NIST 网络安全框架入门.pdf
2021-11-04
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人