我也要用- 博客(367)
- 资源 (24)
- 论坛 (5)
- 收藏
- 关注
RSS订阅
原创 【置顶帖】关于博主/关于博客/博客大事记
关于博主● 信息安全从业者● 甲方安全部负责人● 注册信息安全专家● CSDN安全博客专家● EISS-企业信息安全峰会首届优秀作者奖获得者● 国家级团体标准《智能家电云云互联互通-信息安全技术要求与评估方法》唯一撰稿人核心技能树:安全架构、web渗透、移动安全、代码审计、隐私合规、安全开发、安全运营
2020-04-23 19:23:08
2000
4
原创 安全架构--8--甲方数据安全体系建设总结
前述数据安全体系是以数据为中心而展开一系列安全措施,它也是企业信息安全体系架构中重要的一部分,对于企业信息安全体系架构图谱,请阅读:安全架构–5–我设计的企业安全体系架构一、数据安全体系介绍数据安全是实现隐私保护的最重要手段之一,广义上的数据安全体系是指所有与数据相关的安全措施的总和,但为了避免内容的臃肿与冗余,这里的数据安全体系采用狭义概念,仅仅只设计了数据安全独有的一些要素,因此,它并不是一个独立的板块,而是需要与其他安全体系协同才能达到数据安全的效果。对于跟数据安全弱相关的其他要素,在其他安全体
2021-05-05 22:40:55
26
1
原创 安全架构--7--甲方安全防御体系建设总结
前述安全防御体系也是企业信息安全体系架构中重要的一部分,对于企业信息安全体系架构图谱,请阅读:安全架构–5–我设计的企业安全体系架构一、安全防御体系介绍这里的安全防御体系是指各种防御能力的总和,即我们常说的纵深防御概念。需要注意的是,并不是什么防护都可以叫纵深防御,如果防护模式单一的话,是算不上纵深的。安全防御体系旨在快速识别攻击并进行拦截,让企业能够抵御外部或内部入侵,从而拥有更安全的发展环境。在实践中,我将安全防御体系分为云安全防护能力、IT安全防护能力、基础安全防护能力等三个方面。由于我所在的
2021-04-28 14:06:58
47
原创 安全架构--6--甲方安全开发体系建设总结
前述安全开发体系即安全开发生命周期或应用安全,是企业信息安全体系架构中重要的一部分,对于企业信息安全体系架构图谱,请阅读:安全架构–5--我设计的企业安全体系架构一、安全开发体系介绍这里的安全开发体系即指安全开发生命周期(SDL),它是一个帮助开发人员构建更安全的软件、解决安全合规要求的同时降低开发成本的过程。 安全开发生命周期是侧重于软件开发过程的安全保证,旨在开发出安全的软件应用。在实践中,我将安全开发体系分为安全评审和方案设计、安全编码、自动风险识别、人工渗透测试、工程化管理SDL等五个方面,
2021-04-14 23:32:07
131
原创 安全架构--5--我设计的企业安全体系架构
经过一年的不懈努力,我带领我的团队基本完成了公司信息安全体系的初步建设,虽然这其中还有些许不足,同时也还有很多更高级的东西需要安全团队未来有实力之后才能去做,但作为一个小团队,我相信我们是一支优秀的安全团队!在公司信息安全体系初步建设完成的背景下,我决定将它分享出来与大家共同探讨学习,欢迎大家提出宝贵建议!我设计的安全体系架构分为六大块:安全开发体系、安全防御体系、数据安全体系、隐私合规体系、资产管理体系、安全管理体系,六大体系共同构成了完整的信息安全体系。在之后的篇章中,我将对这六大安全体系的建设之路
2021-04-11 16:48:52
199
1
原创 安全架构--4--一个优秀的团队管理者所应具备的能力
作为团队管理者,工作中所考虑的就不再是自己的那一亩三分地了,除了制定团队目标规划、协调团队工作资源,也要承担团队重点工作、解决团队各种问题,还要激励团队工作热情、帮助下属发展成长……太多太多了。但收获也是很多的,更高的视野和全局观、更全面思考问题的能力、更大的工作圈子积淀、以及管理团队的经验等等……都是我作为团队管理者所收获的宝贵财富。
2021-03-29 21:21:25
57
原创 Suricata+ELK集群监控办公网流量
背景需要利用Suricata作为IDS来监控办公网出口流量,同时利用ELK(Elasticsearch+Logstash+Kibana)集群进行数据存储与展示。准备工作:在办公网出口核心交换机上做端口流量镜像,将流量镜像端口连接到一台服务器上,以下的内容都是在这台服务器上开展的。
2021-03-25 19:51:36
123
原创 安全合规--50--基于国内法律法规的企业隐私合规体系建设经验总结(九)
本篇介绍:数据安全事件预案及应对本篇为第9篇/共9篇上一篇:基于国内法律法规的企业隐私合规体系建设经验总结(八)引子在离开前公司之后(2020.06),我来到新的公司担任安全部负责人,负责新公司的安全架构设计与安全体系建设,由于新公司的业务都是面向国内的,因此在建设隐私合规体系时,参照的都是国内的法律法规标准。
2021-03-16 22:31:34
164
原创 安全合规--49--基于国内法律法规的企业隐私合规体系建设经验总结(八)
本篇介绍:爬虫使用合规本篇为第8篇/共9篇上一篇:基于国内法律法规的企业隐私合规体系建设经验总结(七)下一篇:基于国内法律法规的企业隐私合规体系建设经验总结(九)引子在离开前公司之后(2020.06),我来到新的公司担任安全部负责人,负责新公司的安全架构设计与安全体系建设,由于新公司的业务都是面向国内的,因此在建设隐私合规体系时,参照的都是国内的法律法规标准。
2021-03-15 22:29:06
165
原创 安全合规--48--基于国内法律法规的企业隐私合规体系建设经验总结(七)
本篇介绍:个人信息保护组织管理要求本篇为第7篇/共9篇上一篇:基于国内法律法规的企业隐私合规体系建设经验总结(六)下一篇:基于国内法律法规的企业隐私合规体系建设经验总结(八)引子在离开前公司之后(2020.06),我来到新的公司担任安全部负责人,负责新公司的安全架构设计与安全体系建设,由于新公司的业务都是面向国内的,因此在建设隐私合规体系时,参照的都是国内的法律法规标准。
2021-03-14 21:27:48
118
原创 安全合规--47--基于国内法律法规的企业隐私合规体系建设经验总结(六)
本篇介绍:儿童个人信息保护的额外要求本篇为第6篇/共9篇上一篇:基于国内法律法规的企业隐私合规体系建设经验总结(五)下一篇:基于国内法律法规的企业隐私合规体系建设经验总结(七)引子在离开前公司之后(2020.06),我来到新的公司担任安全部负责人,负责新公司的安全架构设计与安全体系建设,由于新公司的业务都是面向国内的,因此在建设隐私合规体系时,参照的都是国内的法律法规标准。
2021-03-12 22:43:30
117
1
原创 安全合规--46--基于国内法律法规的企业隐私合规体系建设经验总结(五)
本篇介绍:个人信息主体权利保护本篇为第5篇/共9篇上一篇:基于国内法律法规的企业隐私合规体系建设经验总结(四)下一篇:基于国内法律法规的企业隐私合规体系建设经验总结(六)引子在离开前公司之后(2020.06),我来到新的公司担任安全部负责人,负责新公司的安全架构设计与安全体系建设,由于新公司的业务都是面向国内的,因此在建设隐私合规体系时,参照的都是国内的法律法规标准。
2021-03-11 22:37:27
115
原创 安全合规--45--基于国内法律法规的企业隐私合规体系建设经验总结(四)
本篇介绍:个人信息委托处理、共享、转让和公开披露本篇为第4篇/共9篇上一篇:基于国内法律法规的企业隐私合规体系建设经验总结(三)下一篇:基于国内法律法规的企业隐私合规体系建设经验总结(五)引子在离开前公司之后(2020.06),我来到新的公司担任安全部负责人,负责新公司的安全架构设计与安全体系建设,由于新公司的业务都是面向国内的,因此在建设隐私合规体系时,参照的都是国内的法律法规标准。
2021-03-10 22:13:14
143
原创 安全合规--44--基于国内法律法规的企业隐私合规体系建设经验总结(三)
本篇介绍:个人信息访问、使用与出境本篇为第3篇/共9篇上一篇:基于国内法律法规的企业隐私合规体系建设经验总结(二)下一篇:基于国内法律法规的企业隐私合规体系建设经验总结(四)引子在离开前公司之后(2020.06),我来到新的公司担任安全部负责人,负责新公司的安全架构设计与安全体系建设,由于新公司的业务都是面向国内的,因此在建设隐私合规体系时,参照的都是国内的法律法规标准。
2021-03-01 21:14:06
326
原创 安全合规--43--基于国内法律法规的企业隐私合规体系建设经验总结(二)
本篇介绍:个人信息存储本篇为第2篇/共9篇上一篇:基于国内法律法规的企业隐私合规体系建设经验总结(一)下一篇:基于国内法律法规的企业隐私合规体系建设经验总结(三)引子在离开前公司之后(2020.06),我来到新的公司担任安全部负责人,负责新公司的安全架构设计与安全体系建设,由于新公司的业务都是面向国内的,因此在建设隐私合规体系时,参照的都是国内的法律法规标准。
2021-02-24 22:42:20
290
原创 安全合规--42--基于国内法律法规的企业隐私合规体系建设经验总结(一)
本篇介绍:个人信息收集本篇为第1篇/共9篇下一篇:基于国内法律法规的企业隐私合规体系建设经验总结(二)引子在离开前公司之后(2020.06),我来到新的公司担任安全部负责人,负责新公司的安全架构设计与安全体系建设,由于新公司的业务都是面向国内的,因此在建设隐私合规体系时,参照的都是国内的法律法规标准。
2021-02-21 20:37:38
5874
7
原创 安全合规/等级保护--12--等级保护2.0与等级保护1.0对比(以三级为例)
前言先来一点最明显的区别:等级保护1.0是60分及格,通过60分即可拿证。等级保护2.0是70分及格,通过70分才能拿证。网络安全等级保护基本要求通用要求技术部分与信息安全等级保护基本要求技术部分结构由原来的五个层面:物理安全、网络安全、主机安全、应用安全、数据安全,调整为五个层面:安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心。其中:1、“安全物理环境”主要对机房设施提出要求;2、“安全通信网络”主要对网络通信传输安全提出要求;3、“安全区域边界”主要对网络边界安全防护提
2021-02-10 16:04:29
610
原创 安全合规/法案--35--APP收集使用个人信息自评估指南(征求意见稿)原文及解读
前言《APP收集使用个人信息自评估指南(征求意见稿)》在其摘要部分,介绍了其系列文件的发展历程和一脉相承的关系,具体如下:时间文件名称文件制定背景适用范围2019.03.01《APP违法违规收集使用个人信息自评估指南》APP专项治理工作组结合2017年和2018年“隐私条款专项评审”等工作经验指导APP运营者自查自纠2019.12.30《APP违法违规收集使用个人信息行为认定方法》结合了一年来关于APP违法违规收集使用个人信息检测评估工作的经验和规律为监督管理部
2021-02-07 13:18:00
1677
1
原创 安全合规/法案--33--APP违法违规收集使用个人信息自评估指南原文及解读
一、隐私政策文本评估项1:隐私政策的独立性、易读性评估点 评估标准1、是否有隐私政策 在APP界面中能够找到隐私政策,包括通过弹窗、文本键接、常见问题(FAQs)等形式。【解读】隐私政策必须经过被收集者的同意,发布隐私政策是保证个人信息主体知情权的重要手段。清晰的隐私政策,才能实现《网络安全法》要求的“明示收集、使用信息的目的、方式和范围”。
2021-02-06 21:37:07
1119
1
原创 安全合规/法案--31--数据安全法(草案)原文及解读
第一章 总则第一条为了保障数据安全,促进数据开发利用,保护公民、组织的合法权益,维护国家主权、安全和发展利益,制定本法。【解读】本条规定了《数据安全法(草案)》的立法目的。第二条在中华人民共和国境内开展数据活动,适用本法。中华人民共和国境外的组织、个人开展数据活动,损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的,依法追究法律责任。
2021-02-06 21:01:32
1148
原创 安全合规/法案--30--网络安全审查办法原文及解读
第一条为了确保关键信息基础设施供应链安全,维护国家安全,依据《中华人民共和国国家安全法》《中华人民共和国网络安全法》,制定本办法。【解读】该条明确了《网络安全审查办法》的立法目的和制定依据。从立法目的看,将立法目的明确在确保关键信息基础设施供应链安全,旨在从采购环节就开始防范和控制对关键信息基础设施的风险和危害,最终目的在于维护国家安全。
2021-02-06 20:36:21
870
2
原创 安全合规/法案--32--儿童个人信息网络保护规定原文及解读
第一条为了保护儿童个人信息安全,促进儿童健康成长,根据《中华人民共和国网络安全法》《中华人民共和国未成年人保护法》等法律法规,制定本规定。【解读】本条明确了《儿童个人信息网络保护规定》的立法目的和制定依据。
2021-02-06 20:29:25
1261
原创 安全合规/法案--34--APP违法违规收集使用个人信息行为认定方法原文及解读
一、以下行为可被认定为“未公开收集使用规则”1.1、在APP中没有隐私政策,或者隐私政策中没有收集使用个人信息规则。【解读】该条主要明确应有隐私政策和收集使用个人信息规则。从建议的角度,可以在用户协议中设置收集使用个人信息版块加以简单介绍,并通过链接或突出提示的方式,提醒用户阅读《隐私政策》。1.2、在APP首次运行时未通过弹窗等明显方式提示用户阅读隐私政策等收集使用规则。
2021-02-06 20:18:17
1258
原创 安全合规/法案--28--数据保护相关法律法规汇总与介绍
一、数据保护相关的重要法律、法规、规章及规范性文件序号文件名称发布机构生效时间1《消费者权益保护法》第14条、第29条、第50条、第56条全国人大常委会2014年3月15日2《刑法修正案(七)》全国人大常委2009年2月28日3《刑法修正案(九)》第17条、第28条全国人大常委会2015年11月1日4《网络安全法》全国人大常委会2017年6月1日5《民法典》第111条、第1032-1039条全国人大2021年1月1日5《
2021-02-03 21:58:26
632
2
原创 web渗透--67--OpenRasp-IAST二次开发说明
IAST的二次开发,开发环境基于MACOS操作系统一、安装基础环境同https://security.blog.csdn.net/article/details/112670554,基础操作不再过多介绍二、编译并运行管理后台编译环境为CentOS-7,为什么要编译后台?因为二次开发要修改部分内容!2.1、基础环境安装1、安装最新版的golang,并配置环境变量2、安装最新版的nodejs,并配置环境变量3、安装最新版的npm,并配置环境变量
2021-01-15 21:08:00
279
原创 web渗透--66--基于Springboot的Docker部署OpenRASP-IAST
线上部署,部署在测试环境前话1、rasp新版本(1.3.0之后)因为官方将IAST控制台与cloud控制台合并,从而导致新控制台下无法实现自动开启扫描(官方放弃该功能就是因为新控制台下无法实现)。2、rasp新版本(1.3.0之后)新增的功能类库信息扫描是一个非常有价值的功能,这个功能在老版本中没有。
2021-01-15 16:56:30
214
原创 Python3开发--35--Django项目的后台管理系统
如果直接阅读本文,您可能有些不知所云,这是因为我用很多篇幅讲了一个事情,如果想知道上下文,那么建议您从本专栏第21章看起:Python3开发–21–了解Django框架一、配置项目应用与模型因为Admin后台系统是对项目的数据表进行维护和管理,而项目应用commodity和shopper定义了数据模型,因此必须将它们配置到Admin后台系统。1、修改代码:commodity/__init__.pyfrom .apps import CommodityConfigdefault_app_confi
2021-01-03 15:11:46
318
1
原创 Python3开发--34--Django商城项目的购物车
如果直接阅读本文,您可能有些不知所云,这是因为我用很多篇幅讲了一个事情,如果想知道上下文,那么建议您从本专栏第21章看起:Python3开发–21–了解Django框架一、购物车功能购物车页面主要实现的功能是商品购买费用核算,该功能包括:加入商品到购物车、费用结算、删除购物车中的商品、支付(本功能涉及对接支付宝,我们不讲解)。1、修改代码:shopper/views.pyfrom django.shortcuts import render, redirectfrom commodity.mode
2021-01-03 14:08:49
900
1
原创 Python3开发--33--Django项目的个人中心页
如果直接阅读本文,您可能有些不知所云,这是因为我用很多篇幅讲了一个事情,如果想知道上下文,那么建议您从本专栏第21章看起:Python3开发–21–了解Django框架一、个人中心页在我们的Django项目登录成功之后,网站会自动跳转到个人中心页面,个人中心页我们设计了4个功能区:商品搜索功能、网站导航、用户基本信息、订单信息。1、修改代码:shopper/views.pyfrom django.shortcuts import render, redirectfrom .models impor
2021-01-02 15:54:25
182
1
原创 Python3开发--32--Django使用Form类实现注册与登录
如果直接阅读本文,您可能有些不知所云,这是因为我用很多篇幅讲了一个事情,如果想知道上下文,那么建议您从本专栏第21章看起:Python3开发–21–了解Django框架一、前言在模板文件中,通过HTML语言编写表单是一种较为简单的实现方式,但如果表单元素较多或一个网页里使用了多个表单,就会在无形之中增加模板的代码量,对日后的维护和更新造成极大的不便。于是为了简化表单的实现过程和提高表单的灵活性,Django使用了Form类实现表单功能。Form类主要分为两种:django.forms.Form和dja
2021-01-02 15:15:21
131
1
原创 Python3开发--31--Django内置User实现用户注册与登录
如果直接阅读本文,您可能有些不知所云,这是因为我用很多篇幅讲了一个事情,如果想知道上下文,那么建议您从本专栏第21章看起:Python3开发–21–了解Django框架一、内置User实现注册登录在本项目中,我们将用户注册和登录放在同一个界面中,如果用户不存在,则执行注册操作,反之则执行登录操作。由于Django已经内置了用户管理功能,即Auth认证系统,而且具有灵活的扩展性,Auth认证系统内置模型User,它对应数据表auth_user,该模型一共定义了11个字段,各字段的含义说明如下:
2021-01-01 21:26:24
354
原创 Python3开发--30--Django商城项目的商品详细和收藏
如果直接阅读本文,您可能有些不知所云,这是因为我用很多篇幅讲了一个事情,如果想知道上下文,那么建议您从本专栏第21章看起:Python3开发–21–了解Django框架一、商品详细的业务逻辑所有网页展示的商品信息都设置了商品详细页的地址链接,商品详细页用于展示某一商品的主图、名称、规格、数量、详细介绍、购买按钮、收藏按钮等,并在商品详细介绍的左侧设置了热销商品列表。商品详细页分为5个功能区,分别是:商品搜索功能、网站导航、商品基本信息、商品详细介绍、热销推荐。修改代码:commodity/views
2021-01-01 18:06:56
254
原创 Python3开发--29--Django商城项目的商品列表
如果直接阅读本文,您可能有些不知所云,这是因为我用很多篇幅讲了一个事情,如果想知道上下文,那么建议您从本专栏第21章看起:Python3开发–21–了解Django框架一、商品列表的业务逻辑商品列表页将所有产品以一定的规则排序展示,用户可以从销量、价格、上架时间、收藏数量设置商品的排序方式,并且在页面的左侧设置分类列表,选择某一分类可以筛选出相应的商品信息。
2021-01-01 15:05:59
313
2
原创 Python3开发--28--Django模板详解
一、内置标签详解标签的作用是对模板上下文进行控制输出,它是以{% tag %}表示的,其中tag是标签的名称,Django内置了许多模板标签,常用的有:标签 描述{% for %} 遍历输出上下文的内容{% if %} 对上下文进行条件判断{% csrf_token %} 生成csrf_token的标签,用于防护跨站请求伪造攻击{% url %} 引用路由配置的地址,生成相应的路由地址{% with %} 将上下文名重命名
2020-12-30 23:07:11
279
1
原创 Python3开发--27--Django项目的数据渲染与展示
如果直接阅读本文,您可能有些不知所云,这是因为我用很多篇幅讲了一个事情,如果想知道上下文,那么建议您从本专栏第21章看起:Python3开发–21–了解Django框架一、模版介绍Django模板语言是Django内置的功能之一,它包含了模板上下文(模板变量)、标签和过滤器,各个功能说明如下:1、模板上下文是以变量的形式写入模板文件里面,变量值由视图函数或视图类传递所得。
2020-12-30 20:44:33
358
2
原创 Python3开发--26--Django项目的业务数据处理
如果直接阅读本文,您可能有些不知所云,这是因为我用很多篇幅讲了一个事情,如果想知道上下文,那么建议您从本专栏第21章看起:Python3开发–21–了解Django框架一、处理首页视图函数视图(Views)是Django的MTV架构模式下的V部分,主要负责处理用户请求和生成响应的响应业务,然后在页面或其他类型文档中显示。也可以理解为视图是MVC架构里面的C部分(控制器),主要处理功能和业务上的逻辑。我们习惯使用视图函数处理HTTP请求,即在视图里面定义def函数,这种方式称为FBV。
2020-12-27 20:13:35
324
2
21天学通Java.第7版-中文版-良心积分价
2018-01-14
python核心编程第三版及第三版源代码-绝对清晰-良心积分价
2018-01-14
OWASP测试指南(Owasp Testing Guide v4)中文高清-第4版-良心积分价
2018-05-23
Android编程权威指南第3版-绝对清晰-良心积分价
2018-01-14
iOS应用逆向工程第2版-高清完整-大字幕-可复制-良心积分价
2018-07-29
ZjDroid+Cydiacustrate安装包
2018-04-12
Tomcat运行时出错:org.apache.catalina.LifecycleException: 无法启动组件[StandardEngine[Catali
发表于 2020-07-13 最后回复 2020-08-24
一夜间好多博文突然消失!
发表于 2020-01-08 最后回复 2020-01-08
【bug求解】修改博文产生的一个bug,求解决
发表于 2019-10-22 最后回复 2019-10-22
【建议】博客内容修改后,列表上的内容没有更新,还是最原始的内容
发表于 2019-10-17 最后回复 2019-10-22
你们服务器出现严重bug了,快来修复吧
发表于 2019-03-31 最后回复 2019-03-31
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人 TA的粉丝