- 综合排序
- 最热优先
- 最新优先
- 来自专栏安恒信息
从移动安全看企业信息安全发展
从观望正在向选型和部署阶段迈进之时,也有不少企业和用户将2 0 1 3年视为移动信息化大爆发之年。来自快消、保险、医疗、金融行业的CIO们都阐述了自己的观点以及自己在实践过程中遇到的诸多问题。 从用户的角度来说,移动软件安全中的反病毒、软件漏洞和软件版权这三个方面并不能很好的区别开;甚至安全企业、安全组织和机构、安全研究人员在移动领域也经常滥用“移动安全”这个词,将其狭义地定义为移动应用中是否存在恶意行为 ;最关键的是,软件开发者并不太关心自身软件是否存在安全漏洞, 在此方面是所谓的attack surface相比于传统web系统或服务器而言太窄,另一方面则有商业竞争和快速迭代特性开发的因素。 但是从企业角度来看功能性大于安全性,因此安全性急需提升,从我们测试经验来看,即使是网银这样对安全性要求很高的程序,也存在恶意转账,个人隐私泄漏,程序自身漏洞等等问题。 未来的移动app可能直接涉及到个人资金交易或者个人生活隐私方面的功能,因此app安全性不容忽视。
1K50发布于 2018-04-11 - 来自专栏FreeBuf
2018年企业信息安全状况概观
首席信息官(CIO)官网都会发起名为“State of the CIO”的CIO现状调查,今年的调查报告已经出炉,这些调查数据将帮助你窥悉CIO角色在今天商业环境中的演变趋势,有助于你了解2018下半年的企业信息化发展态势并确定自身企业相关议程 那么在企业信息化发展中,到底谁来负责信息安全?负责信息安全的人主要向谁汇报对谁负责?还有一个实质的问题是,信息安全负责人手中多少预算才合理? 针对这些安全相关问题,我们也围绕企业信息安全职位的发展定位,作了一个名为-The state of IT security 2018 的调查,希望结合State of the CIO的调查报告,厘清企业信息安全规划和发展思路 首席安全官(CSO)负责整个机构的安全运行状态,既包括物理安全又包括数字信息安全。 信息安全负责人如何来规划企业信息安全发展道路? 为了实现效率最大化原则,安全需要从一开始就要融入集成到企业的规划战略中去。对于大多数公司的IT高管来说,这是公司信息化发展中最根本的事。
65770发布于 2019-05-09 探秘YashanDB的数据安全机制,保障企业信息安全
在当今信息化高度发达的社会,企业面临的数据库安全问题愈发复杂,例如如何保障数据的安全性、完整性与可用性。YashanDB作为一款高性能数据库,如何在这个安全挑战中脱颖而出,成为用户关注的焦点。 YashanDB通过一系列精细化的数据安全机制来保障企业的信息安全,值得深入探讨。YashanDB的安全机制概述用户管理与权限控制用户管理是保障数据安全的重要环节。 审计机制为了保障数据的完整性与安全,YashanDB提供了详细的审计功能,能够及时记录对数据的所有访问与修改操作。通过审计日志,系统管理员可以追踪并分析数据访问行为,快速识别潜在的安全威胁。 ,维护数据的一致性和完整性.结论YashanDB通过一系列成熟的数据安全机制,有效保障企业信息的安全。 用户应结合自身的业务场景,灵活运用这些安全功能,为企业的信息安全筑牢防线。在实施具体技术方案时,可以充分考虑文中提出的建议,从而提升数据管理水平,确保企业数据在日常运作中的安全性与可靠性。
22910编辑于 2025-08-13- 来自专栏Ms08067安全实验室
Web安全班作业 | 企业信息收集之道
1.2.10.1 通过搜索引擎 通过google语法 site:网站主域名 1.2.10.2 通过工具脚本 通过Layer子域名挖掘机 通过SubDomainsBrute脚本 通过Sublist3r 脚本 通过OneForALL脚本 下载地址:shmilylty/OneForAll: OneForAll是一款功能强大的子域收集工具(github.com) 安装依赖: pip3 install -- 协助甲方安全团队或者渗透测试人员有效侦察和检索资产,发现存在的薄弱点和攻击面。 下载地址:https://github.com/TophantTechnology/ARL 2.2 工具启动 1. -o get-pip.py python3 get-pip.py pip3 install -i https://pypi.tuna.tsinghua.edu.cn/simple docker-compose 3.
1.6K20发布于 2021-09-28 电子商务行业信息安全管理-企业信息安全技术规划
本文将详细介绍电子商务行业中的信息安全管理,并提出一个企业信息安全技术规划,以确保企业在数字化时代的安全性和可持续发展。 本文将详细探讨电子商务行业中的信息安全管理,并提出一个企业信息安全技术规划,以应对不断演变的威胁。1. 企业信息安全技术规划 2.1 安全策略和政策制定 了解企业的业务流程和信息系统,确定信息安全对业务的重要性和需求。 根据新的安全威胁和法规要求,定期更新宣传材料和培训内容,确保员工了解最新的安全规定和要求。3. 3、制定安全事件响应计划:根据不同的安全事件类型和级别,制定相应的响应计划,包括预防措施、检测和报告流程、应急响应步骤、恢复和修复措施等。
81610编辑于 2024-01-31YashanDB数据加密存储技术保障企业信息安全
在当今数字化时代,数据安全成为企业信息安全的重要组成部分。随着数据泄露事件频繁发生,企业需要关注如何保护其敏感数据,避免数据泄露或未授权访问。 因此,如何高效、安全地存储数据,尤其是敏感信息,成为了一个显著的技术挑战。本文将探讨YashanDB的数据加密存储技术,以确保企业信息的安全性。 这提供了额外的安全层,使得即便备份数据被窃取,攻击者也无法在使用这些数据。在生成备份集时,用户可以自行指定备份集的路径和名称,确保备份集文件的存储在安全的位置。 结论及建议YashanDB提供了一系列数据加密技术,以保障企业信息的安全。这些技术包括数据透明加密、备份集加密、PL源码加密及网络加密,形成了一个多层次的安全防护机制。 通过SSL/TLS等加密协议实现网络通讯的安全,确保数据传输的机密性与完整性。通过正确配置和使用这些加密功能,企业可以显著提升其数据安全性,保障企业信息资源不受威胁。
19200编辑于 2025-06-30详解YashanDB权限管理最佳实践,保障企业信息安全
数据库系统作为企业信息管理的核心基础设施,其权限管理是保障数据安全和业务连续性的关键环节。当前数据库面临的挑战包括权限配置复杂、权限泄露风险高以及权限滥用导致的数据安全事件频发。 基于标签的访问控制(LBAC)实现为满足对敏感数据的行级访问安全控制,YashanDB内建基于安全标签的访问控制模型。系统允许为数据表添加安全策略,结合用户安全标签,实现对表中不同行数据的访问授权。 三权分立与安全职责分隔YashanDB充分考虑企业安全合规需求,支持三权分立的权限体系。 结论基于YashanDB内置完善的权限管理机制,从基于角色的访问控制、细粒度对象权限、基于标签的行级安全、身份认证密码策略、安全职责分离到审计追溯,构建了多维度、全方位的安全防护屏障。 采用最小权限原则、强化认证安全、实施全面审计及三权分立是保障企业数据库信息安全的关键。
29810编辑于 2025-09-20YashanDB数据加密技术应用,确保企业信息安全
在当前数字化时代,企业数据面临着越来越多的安全威胁,如何保护敏感信息不被非法访问或泄露已经成为了企业信息化建设中的重要问题。数据库作为企业数据的集中存储地,其安全性直接关系到企业信息安全。 此加密策略确保备份数据在存储介质上不会被非法读取,即便备份介质丢失,也能保障企业敏感信息的安全性。该备份加密市机制与数据备份紧密结合,可确保无缝对接便于企业数据的恢复。3. 在配置网络安全时,企业可以自主设定加密级别和安全策略,以应对不同的安全风险,建立有效的防护协定来降低网络攻击带来的风险。技术建议启用透明数据加密(TDE)以保障存储数据的安全性。 采用SSL/TLS协议保障数据在网络传输过程中的安全性。定期审查和更新加密策略,适应不断变化的安全需求。 结论随着企业数据量的不断增长和信息安全威胁的日益增多,YashanDB作为先进的数据库管理系统,通过数据加密技术有效提升了数据安全性,确保了企业信息的安全和保密。
18300编辑于 2025-06-30- 来自专栏月月的云安全课堂
构建企业信息安全防护体系:以电子文档安全为核心
随着信息社会的飞速发展与企业信息化建设的深入,企业的商业机密已从传统的纸质文件转向各类电子文档,如CAD图纸、Office文档等。 实时监控:通过设置预警规则,系统能够在用户进行异常或高风险操作(如非工作时间访问、批量下载、向非授权设备发送文档等)时实时发出警报,使管理员能够及时发现并干预潜在的安全事件。3. 3. 动态调整:随着业务变化和人员流动,应及时调整用户权限,确保权限分配始终与实际情况相符。同时,支持临时权限授予,满足特殊情况下的文档访问需求。 3. 密钥管理:实施严格的密钥管理策略,包括密钥生成、分发、更新、撤销等环节,防止密钥丢失或被盗用导致的数据泄露。 在信息化时代,企业应积极采用先进的数据安全解决方案,将电子文档安全纳入企业信息化建设的核心考量,以确保企业信息资产的安全无虞。
59610编辑于 2024-04-23 使用YashanDB进行数据加密保障企业信息安全
本文将深入解析YashanDB数据库系统中的数据加密机制,探讨其技术原理和产品架构优势,帮助DBA和开发人员理解并应用YashanDB的加密功能,实现企业信息安全保障。 维护审计和安全监控:结合加密机制启用完善的审计策略,跟踪访问和操作日志,及时发现异常行为,保障加密数据安全。 定期安全检测与漏洞管理:开展安全评估与漏洞扫描,及时应用数据库安全补丁,不断提升加密体系的防护能力。培训运维人员和开发者:提高相关人员的安全意识和加密技术应用能力,确保加密措施被正确实施和维护。 结合先进的多版本并发控制、访问约束及角色基访问控制,YashanDB为企业架构了安全可靠、高性能且灵活的数据库安全体系。 我们鼓励数据库管理员和开发人员充分掌握YashanDB的加密能力,积极将其应用到实际项目中,保障企业信息资产安全。
22310编辑于 2025-09-19- 来自专栏FreeBuf
浅谈甲方企业信息安全建设的方法论
从目前了解的情况来看,甲方安全团队规模在一个企业内部的人员占比还是非常低的,在企业安全建设中,大部分安全措施的落地都是由系统、业务和开发团队来实施。 这时候,对于安全团队来说,就非常需要注意安全工作的方式方法了,以便将企业的信息安全建设逐步走向正轨。本文就是我对企业信息安全建设的方法论的一些思考。 ? 当然这两年情况好多了,在网络安全法颁发、中央网信委成立后,CEO级别的管理层公开支持网络安全工作必然是政治上正确的事,但这也不一定能成为你开展信息安全工作坚强后盾。 笔者以为,信息安全工作最坚强的后盾应该是数据中心老大或CTO类的人员,因为信息安全事件最大的受害者可能是他们,出现重大信息安全事件最可能履责者也较大可能是他们。 因此,对于企业安全建设来说,最重要的工作是做调查研究,了解企业IT建设与安全管理现状,识别影响组织和企业最大的风险,然后再根据风险找出安全管理的牛鼻子方法,抓住安全风险的主要矛盾,这也是ROI平衡的一个具体方面
1.2K20发布于 2020-03-06 - 来自专栏释然IT杂谈
【共读】企业信息安全建设与运维指南(一)
一、从零开始建设企业信息安全系统: 企业信息安全体系分为:信息安全技术体系和信息安全管理体系 信息安全技术体系: 两个层面: 1.需建设安全相关基础设施和系统,以具备解决相关安全问题的能力 安全运营体系建设:持续运营,让安全基础设施和系统发挥作用 1)安全设备和系统运行维护 2)定期开展例行化安全工作 3)产品安全生命周期 第3种:权限和级别较高,内容不限于技术安全,还可做安全管理等。 企业安全工作岗位: 1)安全运维工程师 2)渗透测试工程师 3)安全开发工程师 4)安全管理岗 1.4企业安全工作开展思路 从安全风险评估、安全工作机制的建立和安全工作规划三个层面来说: 1.4.1 3.技术评估:通过技术评估获取安全风险情况,安全渗透、安全基线检查、数据流分析等。 4.输出安全风险列表:对风险进行等级划分,为后续工作做好基础。
2.8K33编辑于 2022-10-27 - 来自专栏释然IT杂谈
【共读】企业信息安全建设与运维指南(二)
接上篇继续往下:【共读】企业信息安全建设与运维指南(一) 三、IDC基础安全体系建设: IDC(Internet Data Center)即互联网数据中心,为企业用户或客户提供服务,如网站应用服务 、App应用后台服务等等,IDC中存储着各类敏感信息和数据资产,所以IDC安全是企业信息安全的重中之重,需重点投入进行建设和运营。 网络和安全管理区:主要部署网络管理系统、运维自动化系统等 3)灾备区 为了保障业务连续性,需要有灾备机房,当生产网发生严重故障或灾难时,可以将业务切换灾备机房。 3.4.1系统运维面临 的挑战 运维操作安全风险: 1)账号认证是否安全 2)授权是否合理 3)违规操作是否可控 4)操作是否可以审计 3)操作控制:降低操作风险,对风险命令阻断或审核。
1.4K30编辑于 2022-10-27 - 来自专栏IDaaS 身份认证管理云平台
疫情防控对企业信息安全管理有何启示?
这对于现代企业的信息安全防控与管理而言,有何启发? 一、零信任与身份管理 零信任是一个安全概念,自 2010 年提出后,近年来逐渐由理论走向实践。 零信任出现的一个关键背景是,传统基于网络边界构建的“防火墙”式安全防护机制短板凸显,对云计算时代的内外部恶意攻击无力应对,因而需要引导安全体系架构从「网络中心化」走向「身份中心化」。 而围绕「身份」构建的零信任安全体系,基于权限最小化原则进行设计,根据访问的风险等级进行动态身份认证和授权,可以有效减少企业内外部安全隐患。 3. 严格执行动态的用户身份认证。 企业可以配备自动化的账号生命周期系统来对用户资源访问授权进行管理,并通过配备多因素认证(MFA)能力来增加安全认证防护。 零信任作为一套全新的网络安全防御概念,提倡将企业内外的所有用户、设备、系统、网络等 IT 资源均纳入安全体系中,进而保护企业总体业务和核心数据资产的安全。
1.1K43发布于 2020-08-25 - 来自专栏FreeBuf
以“威胁应对”为中心,看企业信息安全能力建设
笔者将以威胁为中心的信息安全能力建设问题总结为以下四句话,并进行详细阐述。 1. 全面感知是基础 2. 异常行为是线索 3. 分析能力是关键 4. 目前业内很热的网站安全监控系统其实就是类似的一种方式,包括网站的可用性测试、漏洞测试、页面篡改、非法内容测试等都是这种方式。 3. 3.异常行为是线索 3.1异常行为表达模型 用户的异常业务行为复杂多样,以下列举了常见的几种: 用户的业务违规行为:包括恶意业务订购、业务只查询不办理、高频业务访问、业务绕行等等都是需要关注的点。 3) 异常情境:敏感数据异常访问 大多数用户的日常行为是可预测的,每天的日常活动都差不多。恶意的内部人员在偷盗数据或搞破坏前一定有异常的行为。对于可疑的员工连接关键资产一定要引起足够重视。 4.2安全分析平台 一个好的安全分析师,需要依托一个良好的安全分析平台才能事半功倍,好的安全你分析平台需要具备以下因素: 分析能力引擎化:国际著名的splunk分析平台,其自身也有一款安全产品,名字叫做
1.2K80发布于 2018-03-22 - 来自专栏FreeBuf
卡巴斯基2017年企业信息系统的安全评估报告
引言 卡巴斯基实验室的安全服务部门每年都会为全球的企业开展数十个网络安全评估项目。在本文中,我们提供了卡巴斯基实验室2017年开展的企业信息系统网络安全评估的总体概述和统计数据。 本文的主要目的是为现代企业信息系统的漏洞和攻击向量领域的IT安全专家提供信息支持。 我们已经为多个行业的企业开展了数十个项目,包括政府机构、金融机构、电信和IT公司以及制造业和能源业公司。 完整的技术细节请参考https://kas.pr/3whh** | 最常见漏洞和安全缺陷的统计信息 最常见的漏洞和安全缺陷 针对内部入侵者的安全评估 我们将企业的安全等级划分为以下评级 在每一个项目中,平均有2-3个可以获得最高权限的攻击向量。这里只统计了在内部渗透测试期间实践过的那些攻击向量。 平均而言,在每个企业中获取域管理员权限需要3个步骤。
1.7K30发布于 2018-09-21 - 来自专栏释然IT杂谈
基线检查与安全加固:提升企业信息安全防护的最佳实践(文末附表格和脚本)
在数字化时代,信息安全已成为企业发展和稳定运行的核心保障。基线检查和安全加固作为信息安全的重要环节,能够帮助企业发现潜在的安全漏洞,并在此基础上采取有效的加固措施。 本文将系统讲解基线检查和安全加固的最佳实践,帮助企业全面提升信息安全防护能力,确保系统的安全性与合规性。 什么是基线检查? 安全加固指的是针对基线检查中发现的安全漏洞和弱点,采取一系列措施加强系统安全的过程。加固不仅仅是修复漏洞,还包括优化系统的整体安全性,使其在面对不断变化的安全威胁时,能够保持坚固的防线。 细节的完善将极大提高企业的整体安全防护能力。 安全意识培训安全加固不仅仅是技术人员的工作,企业管理层和普通员工的安全意识也同样重要。 通过定期的安全培训,提高全员的安全防护意识,是防止安全事件发生的关键。 结语 基线检查和安全加固是确保企业信息安全的基础性工作。
69510编辑于 2025-08-14 - 来自专栏完美Excel
企业信息化建设存在的3个问题,5点有效实践
企业信息化数字化是发展的必然趋势,这不是你想不想做的问题,而是不得不做的问题。许多企业都投入了大量的资金、人力、物力,以期能实现生产力的提升,然而很多时候都是事与愿违,效果不尽如人意。 之所以会这样,个人觉得,主要存在下面3个问题: 1.想大而全。就是想法很多,什么都想做,多点开花,面铺得很广,但投入有限,结果就是模块很多,但都是蜻蜓点水,不深入,反倒造成不方便。 2.被带偏了。 3.说得多,真正落地少。要求很多,但投入不满足这些要求的实现;推动已开发模块的应用不坚决,总在不断提要求完善却没有去用;总是在提这提那,却看不到结果,进展缓慢。 企业信息化建设不能一蹴而就,信息化技术在不断发展,企业管理也在不断完善,通过信息化技术规范管理行为、智能预警、辅助决策,提高管理效率。 3.不要老是想着要解放双手,对于一些情形要结合实际分析,如果手工输入数据更方便、效率更高,那就采取手工方式,而不要花费精力实现自动化但结果比手工输入更麻烦,毕竟有些数据相对来说并不多,不要被所谓的大数据蒙蔽了双眼
1.1K51编辑于 2023-09-15 - 来自专栏FunTester
groovy爬虫练习之——企业信息
\"").replace("amp;", EMPTY) getInfo(regex) sleep(3) } return >", EMPTY).replaceAll("(\n| )", EMPTY).split(":")[1] def sid = all.get(3).replaceAll("<.*
77510发布于 2019-10-14 - 来自专栏探索RPA
RPA:企业信息孤岛的“克星”
随着企业信息化建设突飞猛进,企业管理职能精细划分,信息系统围绕不同的管理阶段和管理职能展开,如客户管理系统、生产系统、销售系统、采购系统、订单系统、仓储系统和财务系统等,所有数据被封存在各系统中,让完整的业务链上 然而人力手工处理大量的数据从安全、效率、准确率的角度看都不是一个最好的选择。这个时候RPA就派上了用场。 作为解决企业信息化“最后一公里”的推手,RPA担任起了打通企业信息烟囱,连接企业信息断点的职能。 RPA软件机器人可以像人类员工一样使用操作系统。RPA的工作原理是基于计算机操作系统的工作桌面。 相比于人力手工操作,更为安全、高效、精准,对数据传输的质量起到了更好的保障作用。 RPA技术的出现,一定程度上解放了被困在各个系统孤岛上的人类。随着公司寻求新的业务效率,今后RPA市场将会更快地增长。
77250发布于 2019-08-29
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号