安全
文章平均质量分 92
绝不原创的飞龙
这个作者很懒,什么都没留下…
展开
-
网络安全威胁、恶意软件趋势和策略(全)
想象你在一艘潜艇里,被黑暗冰冷的水包围,淹没在水下数英里。潜艇的船体始终承受着来自四面八方的巨大压力。潜艇的设计、建造或操作中的一个小小的错误都会给它和它的全体船员带来灾难。这类似于首席信息安全官(ciso)和他们的团队今天面临的挑战。他们的组织在互联网上被攻击者包围,这些攻击者不断寻找渗透和危害组织 IT 基础架构的方法。组织中的人员会收到一波又一波的社会工程攻击,这些攻击旨在欺骗他们做出不可信的决策,从而破坏他们的安全团队已经实现的控制。原创 2024-05-17 13:55:10 · 680 阅读 · 0 评论 -
社会工程学习手册(一)
原文:Learn Social Engineering协议:CC BY-NC-SA 4.0零、前言这本书将为你提供对社会工程的整体理解。通过让您详细了解社会工程师如何运作,它将帮助您避免和打击社会工程攻击。学习社会工程从给你不同类型的社会工程攻击及其造成的损害的基础开始。然后,它设置实验室环境以使用不同的工具,然后执行社会工程步骤,如信息收集。这本书涵盖的主题从诱饵,网络钓鱼,鱼叉式网络钓鱼,到伪装和恐吓软件。 到本书结束时,你将有能力保护自己和你的系统免受社会工程的威胁和攻击。总而言之,这原创 2024-05-17 13:54:13 · 1332 阅读 · 0 评论 -
社会工程学习手册(二)
伴随着快速技术发展的全球化新时代,使得信息、思想和创新能够在全球范围内快速传递。这个相互联系的世界允许我们更多地参与全球经济,为我们的日常生活带来无数好处,但也使我们越来越容易受到新型网络犯罪的威胁。在这个新的领域中,每个人都可能成为网络罪犯的受害者,甚至常常没有意识到。网络攻击成功的原因可能是技术性的,也可能是人为的。如果我们严格遵循所有可用于确保网络空间安全的说明,我们可以显著减少我们系统和网络的攻击面。然而,更难管理的是人的行为,这是为什么人类总是被描述为安全链中最薄弱的一环的主要原因。原创 2024-05-17 13:52:38 · 1698 阅读 · 0 评论 -
CEH 备考指南(全)
在本章中,您了解了道德黑客、黑客行动主义以及不同类型的黑客和黑客攻击。现在,您已经知道了攻击的五个阶段,并对漏洞研究和相关工具有了基本的了解。您可以描述道德黑客测试目标网络的不同方式。最后,您了解犯罪的各种类别,以及了解该领域的法律对于保持合规性的重要性。有许多工具可以帮助您保护组织的网络。该过程涉及足迹,或通过使用侦察在网络上查找信息,侦察是用于查找信息的检测方法。您了解了攻击者如何使用网络扫描来获取目标的信息。枚举是测试过程中需要组织许可的部分。原创 2024-05-17 13:44:19 · 925 阅读 · 0 评论 -
渗透测试快速启动指南(全)
漏洞评估和渗透测试变得越来越重要,尤其是在最近几年。组织通常拥有存储敏感数据的复杂资产网络。这些资产暴露在来自组织内部和外部的潜在威胁之下。为了全面了解组织的安全状况,进行漏洞评估是必不可少的。理解漏洞评估和渗透测试之间的明显区别很重要。为了理解这种差异,让我们考虑一个真实的场景。你注意到邻居的门没有锁好,而且邻居不在家。这是一个漏洞评估。现在,如果你真的打开邻居的门,进入房子,那么这是一个渗透测试。在信息安全环境中,您可能会注意到 SSH 服务正在使用弱凭证运行;这是漏洞评估的一部分。原创 2024-05-17 13:43:16 · 632 阅读 · 0 评论 -
渗透测试基础(全)
渗透测试是一门艺术。你可以学习很多技术,了解所有的工具,但现实是软件是复杂的,尤其是当你开始把很多软件系统放在一起的时候。正是这种复杂性意味着,在寻找进入系统的方法时,不存在放之四海而皆准的解决方案。对一台 Web 服务器有效的攻击可能对运行在不同系统上的同一台 Web 服务器无效。有时,在某个特定的攻击突然开始起作用之前,你可以尝试多次而不成功,然后你就找到了侵入系统的方法。一个熟练且成功的渗透测试人员不仅拥有运行工具和理解正在发生的事情所必需的技术技能,还拥有尝试不同方法所必需的创造力。原创 2024-05-17 13:42:12 · 1280 阅读 · 0 评论 -
OpenDocCN 近期翻译汇总 202405
FreeLearning 深度学习译文集(二)Zapier 与生成式 AI 的自动化ChatGPT 网络安全秘籍GPT3 探索指南生成式 AI 与 LangCHainPython 与 TensorFlow2 生成式 AIGPT3 终极指南ChatGPT 与 OpenAI 的现代生成式 AI精通 TransformersPython 深度学习Transformers 自然语言处理布客深度学习译文集(二)AI 辅助测试(MEAP)AI 驱动的开发者(MEAP)AI 驱动的 Wo原创 2024-05-12 10:43:37 · 469 阅读 · 2 评论 -
ChatGPT 网络安全秘籍(一)
在不断发展的网络安全领域中,由 OpenAI 推出的 ChatGPT 所代表的生成式人工智能和大型语言模型LLMs)的出现,标志着一个重大的飞跃。本书致力于探索 ChatGPT 在网络安全领域的应用,从这个工具作为基本聊天界面的萌芽阶段开始,一直到它如今作为重塑网络安全方法论的先进平台的地位。最初构想为通过分析用户交互来辅助 AI 研究,ChatGPT 从其于 2022 年底的首次发布到如今的形态,仅一年多的时间就经历了一次非凡的演变。原创 2024-04-30 11:55:42 · 1117 阅读 · 0 评论 -
ChatGPT 网络安全秘籍(四)
原文:zh.annas-archive.org/md5/6b2705e0d6d24d8c113752f67b42d7d8译者:飞龙协议:CC BY-NC-SA 4.0第八章:事故响应事故响应是任何网络安全策略的关键组成部分,涉及确定、分析和缓解安全漏洞或攻击。 及时和有效地响应事故对于最小化损害和防止未来攻击至关重要。 在本章中,我们将深入探讨如何利用 ChatGPT 和 OpenAI 的 API 来增强事故响应过程的各个方面。我们将首先探讨 ChatGPT 如何协助进行事故分析和分类,提供快原创 2024-04-30 11:54:52 · 4894 阅读 · 0 评论 -
ChatGPT 网络安全秘籍(三)
原文:zh.annas-archive.org/md5/6b2705e0d6d24d8c113752f67b42d7d8译者:飞龙协议:CC BY-NC-SA 4.0第五章:安全意识和培训在这一章中,我们将深入探讨网络安全培训和教育的迷人领域,强调了 OpenAI 的大型语言模型(LLMs)在增强和丰富这一关键过程中可以发挥的重要作用。我们将踏上一段旅程,发现 ChatGPT 如何作为一个交互式工具,促进网络安全意识的各个方面,从创建全面的员工培训材料到开发交互式网络安全评估,甚至将学习过程本身原创 2024-04-30 11:53:29 · 1103 阅读 · 0 评论 -
ChatGPT 网络安全秘籍(二)
本方法中概述的原则和结构可以针对各种项目和编程语言进行定制。例如,如果您正在使用 JavaScript 开发电子商务平台,您可以调整提示中的上下文以适应该场景。原创 2024-04-30 11:52:50 · 951 阅读 · 1 评论 -
FreeLearning 安全译文集翻译完毕
高级基础设施渗透测试高度安全环境下的高级渗透测试AWS 渗透测试为高级渗透测试构建虚拟渗透实验室Python 高效渗透测试BurpSuite 秘籍Python 渗透测试实用指南渗透测试即时入门IOT 渗透测试秘籍渗透测试学习指南Python 渗透测试学习指南Python Web 渗透测试学习手册精通机器学习渗透测试精通高度安全环境下的无线渗透测试BashShell 渗透测试树莓派渗透测试渗透测试 ShellcodePython 渗透测试秘籍Python 渗透测试基础知识原创 2024-04-27 23:32:54 · 209 阅读 · 1 评论 -
Python 全栈安全(一)
多年前,我在亚马逊搜索了一本基于 Python 的应用程序安全书。我以为会有多本书可供选择。已经有了很多其他主题的 Python 书籍,如性能、机器学习和 Web 开发。令我惊讶的是,我搜索的那本书并不存在。我找不到一本关于我和我的同事们正在解决的日常问题的书。我们如何确保所有网络流量都是加密的?我们应该使用哪些框架来保护 Web 应用程序?我们应该用什么算法来对数据进行哈希或签名?在接下来的几年里,我和我的同事们在确定一套标准的开源工具和最佳实践的同时,找到了这些问题的答案。原创 2024-04-21 19:29:23 · 1555 阅读 · 0 评论 -
Python 全栈安全(四)
策略由指令组成;指令由源组成。每个额外的源都会扩大攻击面。源由 URL 的协议、主机和端口定义。一次性源在none和之间取得平衡。CSP 是你可以投资的最廉价的防御层之一。报告指令会在其他防御层失败时通知您。假设 Alice 部署了 admin.alice.com,作为她在线银行的管理对应物。像其他管理系统一样,admin.alice.com 允许像 Alice 这样的管理员管理其他用户的组成员资格。原创 2024-04-21 19:28:53 · 1154 阅读 · 0 评论 -
Python 全栈安全(三)
你可以在不分享密码的情况下分享你的数据。授权码流是目前最常用的 OAuth 授权类型。授权码被交换为访问令牌。通过限制访问令牌的时间和范围来降低风险。范围由 OAuth 客户端请求,由授权服务器定义,并由资源服务器强制执行。优先选择高级授权工具而不是低级方法。根据具体情况选择 EAFP 和 LBYL 编码风格。想要调用外部可执行程序与需要调用外部可执行程序是不同的。在 Python 和 PyPI 之间,通常有你想要的命令的替代方案。原创 2024-04-21 19:28:22 · 783 阅读 · 0 评论 -
Python 全栈安全(二)
HTTP会话对于除了最简单的 Web 应用程序之外的所有应用程序都是必需的。Web 应用程序使用 HTTP 会话来隔离每个用户的流量、上下文和状态。这是每种在线交易的基础。如果你在亚马逊购物,Facebook 上与某人通信,或者从银行转账,服务器必须能够在多个请求中识别你。假设 Alice 第一次访问维基百科。Alice 的浏览器对维基百科不熟悉,因此它创建了一个会话。维基百科生成并存储了此会话的 ID。该 ID 在 HTTP 响应中发送给 Alice 的浏览器。原创 2024-04-21 19:27:51 · 1490 阅读 · 0 评论 -
真实世界的密码学(一)
当你拿起这本书时,你可能会想,为什么又一本关于密码学的书?甚至,为什么我要读这本书?要回答这个问题,你必须了解它是什么时候开始的。密码学的一个基本概念是对称加密。它在本书中的大多数密码算法中使用,因此非常重要。我通过我们的第一个协议在这里介绍这个新概念。让我们想象一下,女王爱丽丝需要给住在几个城堡之外的鲍勃勋爵发送一封信。她请求她忠诚的信使骑着他可靠的坐骑,冒着前方危险的土地,为了将珍贵的消息送到鲍勃勋爵手中。然而,她心存疑虑;原创 2024-04-21 19:27:21 · 2384 阅读 · 1 评论 -
真实世界的密码学(四)
真实世界的密码学在应用方面往往失败。我们已经知道在大多数用例中使用的好原语和好协议,这使得它们的误用成为大多数错误的根源。大多数典型用例已经通过加密原语和协议解决。大多数情况下,您只需找到一个受人尊敬的实现来解决您的问题。确保阅读手册并了解在什么情况下可以使用原语或协议。真实世界的协议是通过像乐高积木一样组合加密原语构建的。当没有受人尊敬的协议解决您的问题时,您将不得不自己组装这些部件。这是极其危险的,因为加密原语有时在特定情况下使用或与其他原语或协议组合时会出现问题。原创 2024-04-21 19:26:50 · 1197 阅读 · 0 评论 -
真实世界的密码学(三)
用户身份验证协议(机器验证人类的协议)通常在安全连接上进行,只有机器(服务器)已经通过验证。在这个意义上,它将单向验证连接升级为双向验证连接。用户认证协议大量使用密码。密码已被证明是一种相对实用的解决方案,并被用户广泛接受。但由于密码卫生不佳、熵值低和密码数据库泄露等问题,密码也导致了许多问题。有两种方法可以避免用户携带多个密码(并可能重复使用密码):密码管理器—用户可以使用的工具,用于为他们使用的每个应用程序生成和管理强密码。单点登录。原创 2024-04-21 19:26:19 · 1512 阅读 · 0 评论 -
真实世界的密码学(二)
了解如何加密消息的第一步是理解非对称加密(也称为公钥加密在本节中,您将了解此加密原语及其属性。让我们看一个以下真实场景:加密电子邮件。您可能知道,您发送的所有电子邮件都是“明文”发送的,任何坐在您和您收件人的电子邮件提供商之间的人都可以阅读。这不太好。你该怎么解决这个问题?您可以使用像 AES-GCM 这样的加密原语,这是您在第四章学到的。为此,您需要为想要给您发消息的每个人设置一个不同的共享对称密钥。练习使用相同的共享密钥与所有人将非常糟糕;您能理解为什么吗?原创 2024-04-21 19:25:48 · 1145 阅读 · 0 评论 -
密钥密码学(一)
从秘密解码环到政府政策声明,隐藏和发现信息的挑战长期以来一直吸引着智慧。密码学是一个引人入胜的主题,几乎每个学童都有一些实践经验。然而,出于良好的原因,它是一个被深度保密包裹的学科,并被政府用来保护其最敏感的武器。密码学在军事和外交事务中的作用一直非常严肃。毫不夸张地说,密码学的成功和失败塑造了战争的结局和历史的进程;而且毫不夸张地说,密码学的成功和失败正在制定我们当前的历史进程。原创 2024-04-21 19:25:13 · 1565 阅读 · 0 评论 -
密钥密码学(三)
这本书介绍了大约 140 种不同的密码,以及无数的变体。这可能会使一些读者困惑。他们可能只想知道一件事:“对我来说什么是最好的密码?”这个问题很复杂,因为这本书是为如此广泛的读者群体而设计的。在这个结语中,我希望提供一些有用的答案。儿童:这里有几种儿童可以理解和使用的密码。他们可以使用简单的替换密码,尤其是凯撒密码。儿童特别喜欢字母被图片或符号替换的密码,比如🙂☽♡⚇⚓🎾🧙☼◈☆。儿童也喜欢路径置换。青少年可能会喜欢列置换和贝拉索密码。爱好者:爱好者可能会喜欢与朋友交换密码,挑战彼此解密。原创 2024-04-21 19:24:42 · 1169 阅读 · 0 评论 -
密钥密码学(二)
总共有 12 种可能的链接模式。链接向量可以来自三个来源之一:明文、内部阶段或当前块的密文。链接向量可以与四个目标之一结合使用:密钥、明文、内部阶段或下一个块的密文。除了这些选择之外,链向量可以每次都新生成,也可以与前一个分组的链向量合并。链向量可以原样使用,也可以在与目标合并之前加密。链接可以作用于连续的分组,也可以滞后。有很多很多选择。如果一个块密码遵循所有这些规则,实际上是无法破解的:它具有足够大的块大小。当前标准为 16 个字符或 128 位。它具有足够大的密钥。原创 2024-04-21 19:21:50 · 1695 阅读 · 0 评论 -
无技术黑客(一)
每年,我都会参加世界各地的安全会议。我绝不会错过的一个演讲者就是约翰尼·朗。约翰尼不仅是安全领域中最有趣的演讲者之一,他的演讲中还充满了有趣的想法,这些想法都基于一个基石,那就是安全减缓中应该是第一道防线的常识。约翰尼不仅挑战你不要忽视显而易见的事实并更加警觉周围环境,他的无技术黑客手法采用了麦克盖弗式的方法,绕过昂贵的安全技术,有时这些技术完全依赖于保护数据和场所。每天,各大公司花费数千美元投入高科技安全防御,却忽略了无技术含量的简单漏洞,这些漏洞正是无技术黑客可以利用的。原创 2024-04-21 16:15:51 · 2107 阅读 · 0 评论 -
无技术黑客(二)
如果你负责防御像我这样的无技术黑客的恶意行为,你需要培养一些相同的意识。一个无技术黑客会注意到那份敏感文件在公开场合摆放,除非你比他先发现。一个无技术黑客会注意到“待销毁”箱上无效的锁,除非你比他先发现。即使你从未听到哨声响起,游戏已经开始。你准备好与一个恶意、极具动机的敌人匹敌了吗?如果没有,继续阅读 - 在“游戏结束”之前离开替补席。现在我们清楚了坏人能够做到什么,让我们回顾一下如何防止他们的方法。按照没有特定顺序呈现,以下是关闭无技术黑客的十种最佳方法。原创 2024-04-21 16:14:29 · 1484 阅读 · 0 评论 -
社会工程渗透测试教程(一)
我依然清晰地记得当我坐下来开始在写框架时的情景。我在互联网上搜索我想要涵盖的主题的有用提示。然而,社会工程当时并不是一个热门话题。我可以找到关于从驶入式快餐店获得免费食物或者追求女孩的视频……但没有关于安全的。在我写框架的同时,我努力尝试在我所做的任何安全工作中包含社会工程。大多数时候,公司会说:“为什么要尝试呢?我们知道我们会失败。”或者“像那样的事情绝不可能对我起作用!我甚至曾经不惜免费提供服务,只是为了证明社会工程是多么危险。现在几年过去了,人们每天都在通过电子邮件和电话询价社会工程工作。原创 2024-04-21 16:13:52 · 1189 阅读 · 0 评论 -
社会工程渗透测试教程(四)
对于许多客户来说,这可能是他们首次进行的社会工程参与。此外,报告的当前读者可能不是客户内的发起人,因此有必要包含一些文本页面,概述社会工程是什么,测试的需求是什么以及这种测试如何有益于正在接受测试的公司。本介绍为读者设置了舞台,以便他们理解自己即将阅读的内容。可以认为这是多余的信息和报告填充,因此仅建议对社会工程参与历史不强的客户。如果客户完全了解社会工程环境或以前进行过评估,则应删除此部分。本节介绍了社会工程的简要概述以及常见的攻击类型,以及如何防御社会工程攻击的基本信息。原创 2024-04-21 16:12:08 · 644 阅读 · 0 评论 -
社会工程渗透测试教程(三)
在第八章中,讨论了利用开源情报来增强我们的评估的主题。其中包括收集公司电子邮件地址以在我们的攻击中使用。在本章中,我们将介绍如何利用这些情报以及如何执行一些常见的电子邮件攻击。首先,将讨论钓鱼攻击的使用,分析它们为何如此有效的原因。着眼于“钓鱼式攻击”和“拖网式攻击”,以及它们如何在任何持续的参与中都有一席之地,并查看一些真实世界的示例以巩固观点。下一个要讨论的话题是使用电子邮件进行主动信息收集的行为。这一活动将增强先前获得的情报,从而实现更有教育意义和有针对性的攻击。原创 2024-04-21 16:11:31 · 1049 阅读 · 0 评论 -
社会工程渗透测试教程(二)
第五章讨论了实际社会工程参与的工作方式,涉及的人员以及如何确保顺利交付。本章将介绍确保有效威胁建模应用于参与的过程。本章将涵盖业务关键资产的示例以及这些资产的潜在攻击向量。例如,为什么要试图进入高度安全的数据中心,当接待员的计算机也可以访问相同的数据?此外,它将审视客户需要提供的信息类型,以建立关键资产。这可能包括网络图表、流量流向、组织层次结构、主机信息等。所有这些都假定测试并非完全是黑盒性质,也就是说工程师在测试之前没有获取任何信息。原创 2024-04-21 16:10:54 · 3180 阅读 · 0 评论 -
社会工程:心理战、人类黑客、说服和欺骗的艺术(一)
社会工程是通过利用人类心理学来获取系统、数据或建筑物的访问权限的一种方法。社会工程不是使用技术手段或者闯入,而是利用攻击者采用的非技术方案。例如,攻击者可以打电话给目标或员工,并冒充 IT 支持人员,而不是找到目标公司的软件漏洞。然后,攻击者会欺骗目标交出他/她的密码。社会工程师的主要目标是在某家公司获得尽可能多的目标的信任。在上世纪九十年代,著名黑客凯文·米特尼克(Kevin Mitnick)推广了术语“社会工程”,尽管欺骗个人透露敏感信息的概念已经存在了很多年。原创 2024-04-21 16:10:21 · 1197 阅读 · 0 评论 -
社会工程:人性攻击的科学(一)
1976 年,我与史蒂夫·乔布斯创办苹果电脑时,我没有想象到那项发明将带给世界什么。我想做一些前所未有的事情:创造一台个人电脑。一台任何人都可以使用、享受和受益的个人电脑。跳到短短的 40 年左右,那个愿景已经成为现实。全球有数十亿台个人电脑,智能手机、智能设备和技术嵌入到我们生活的方方面面,重要的是要退一步,看看我们如何在创新和成长的同时保持安全和安全,并与下一代合作。我喜欢与今天的年轻人一起工作,激励他们创新和成长。我喜欢看到他们从中涌现的想法,因为他们找到了使用技术的新颖和创造性方式。原创 2024-04-21 16:09:45 · 2158 阅读 · 0 评论 -
社会工程:人性攻击的科学(三)
原文:annas-archive.org/md5/080e6cf7d941c1582f221ecaba09509a。原创 2024-04-21 16:09:00 · 1040 阅读 · 0 评论 -
社会工程:人性攻击的科学(二)
原文:annas-archive.org/md5/080e6cf7d941c1582f221ecaba09509a。原创 2024-04-21 16:08:20 · 723 阅读 · 0 评论 -
社会工程:攻击系统、国家和社会(一)
个人可识别信息(PII)的一个视角是指可以用来区分或追踪个人身份的信息,无论是单独使用还是与其他个人或标识信息结合使用,这些信息与特定个人相关联或可关联。PII 的定义并不一定与任何单一信息类别或技术相关联。相反,它需要对能够从信息中识别个体的具体风险进行逐案评估。在进行此评估时,对于机构来说,重要的是要认识到,只要在任何媒介和任何来源公开提供的附加信息与其他可用信息结合时可以用于识别个人,那么非 PII 就可以变成 PII。¹。原创 2024-04-21 16:06:36 · 1294 阅读 · 0 评论 -
社会工程:攻击系统、国家和社会(二)
原文:annas-archive.org/md5/fbddc39f54eebd2a9cbbfa0ba9227ab7。原创 2024-04-21 16:05:56 · 1060 阅读 · 0 评论 -
面向初学者的网络安全(一)
有关爱德华·斯诺登的内容有很多。在这里,我们只关注帮助我们理解发生了什么以允许如此巨大的网络安全漏洞的事实。有关发生情况的三个潜在信息来源:来自美国国家安全局和美国政府的信息爱德华·斯诺登本人猜测者我们需要保持基于事实,因此我们将专注于来自前两个来源的呈现一致信息的报告,并将猜测排除在外。爱德华·斯诺登于 2013 年 3 月加入了一家名为博斯艾伦的公司。博斯艾伦是为美国国家安全局提供合同工作的几家公司之一。原创 2024-04-21 16:05:11 · 1265 阅读 · 0 评论 -
面向初学者的网络安全(二)
作为一个高度依赖技术的大型公司,索尼过去经常成为网络攻击的目标。为了为他们多样化的部门提供灵活性,索尼对其系统的安全采取了灵活的方法,允许每个公司组实施和管理各自所需的内容,同时还有一些跨所有部门运作的整体安全系统。这种方法的优势在于允许不同部门整合新技术,以帮助扩展和交付产品,以满足客户需求,从而增加收入。这种策略可以运作良好,但相比自上而下的安全执行,运营成本要高得多。在为每个部门单独运行安全性时,了解每个部分的责任和边界至关重要。原创 2024-04-21 16:04:10 · 1148 阅读 · 0 评论 -
构建信息安全感知程序(一)
公司每年投入数百万美元购买最新的安全产品,从防火墙到门禁系统,但他们未能投资于保护环境中最宝贵的资源——更具体地说,是他们的员工。往往情况是,安全意识培训是一年一度的事件,涉及过时且乏味的材料,很大程度上被忽视。结果是员工缺乏对现代攻击及其后果的理解。这种知识缺口为攻击者提供了无穷无尽的机会。在《构建安全意识计划》中,比尔·加德纳(Bill Gardner)和瓦莱丽·托马斯(Valerie Thomas)详细介绍了从零开始构建整个安全意识计划的步骤。原创 2024-04-21 16:03:39 · 1426 阅读 · 0 评论 -
构建信息安全感知程序(二)
许多因素影响组织的培训周期,例如预算、管理支持、监管合规性和材料数量。如果您的组织必须执行培训活动以满足监管合规性,那么利用这一点提供有意义的培训材料,而不仅仅是满足最低要求。确定或调整组织的培训周期不仅取决于安全部门,还取决于管理支持。在规划培训时与高级管理人员密切合作;他们将在预算、培训频率和方法方面提供指导。有效的信息安全程序得到了高级管理的支持,在长期来看,最好是提供一个得到高级管理支持的精简程序,然后将所有时间都花在需要支持的人身上。关键词新员工培训嵌入式培训持续培训半年一次合规性。原创 2024-04-21 16:03:05 · 777 阅读 · 0 评论 -
MIT 6.858 计算机系统安全讲义 2014 秋季(四)
TaintDroid跟踪敏感信息在系统中传播的过程。TaintDroid区分信息源和信息汇源生成敏感数据:例子:传感器、联系人、IMEI汇点暴露敏感数据:例子:网络。TaintDroid使用 32 位位向量表示污点,因此最多可以有 32 个不同的污点来源。大致上,污点从赋值的右手边流向左手边。// tainted!// taint.为了最小化存储开销,一个数组接收一个单一的污点标记,其所有元素都具有相同的污点标记。为什么将数组或 IPC 消息仅关联一个标签是安全的?原创 2024-03-10 16:34:45 · 1372 阅读 · 0 评论