- 综合排序
- 最热优先
- 最新优先
- 来自专栏安恒信息
从移动安全看企业信息安全发展
从用户的角度来说,移动软件安全中的反病毒、软件漏洞和软件版权这三个方面并不能很好的区别开;甚至安全企业、安全组织和机构、安全研究人员在移动领域也经常滥用“移动安全”这个词,将其狭义地定义为移动应用中是否存在恶意行为 ;最关键的是,软件开发者并不太关心自身软件是否存在安全漏洞, 在此方面是所谓的attack surface相比于传统web系统或服务器而言太窄,另一方面则有商业竞争和快速迭代特性开发的因素。 但是从企业角度来看功能性大于安全性,因此安全性急需提升,从我们测试经验来看,即使是网银这样对安全性要求很高的程序,也存在恶意转账,个人隐私泄漏,程序自身漏洞等等问题。 未来的移动app可能直接涉及到个人资金交易或者个人生活隐私方面的功能,因此app安全性不容忽视。
1K50发布于 2018-04-11 - 来自专栏FreeBuf
2018年企业信息安全状况概观
首席信息官(CIO)官网都会发起名为“State of the CIO”的CIO现状调查,今年的调查报告已经出炉,这些调查数据将帮助你窥悉CIO角色在今天商业环境中的演变趋势,有助于你了解2018下半年的企业信息化发展态势并确定自身企业相关议程 那么在企业信息化发展中,到底谁来负责信息安全?负责信息安全的人主要向谁汇报对谁负责?还有一个实质的问题是,信息安全负责人手中多少预算才合理? 针对这些安全相关问题,我们也围绕企业信息安全职位的发展定位,作了一个名为-The state of IT security 2018 的调查,希望结合State of the CIO的调查报告,厘清企业信息安全规划和发展思路 首席安全官(CSO)负责整个机构的安全运行状态,既包括物理安全又包括数字信息安全。 信息安全负责人如何来规划企业信息安全发展道路? 为了实现效率最大化原则,安全需要从一开始就要融入集成到企业的规划战略中去。对于大多数公司的IT高管来说,这是公司信息化发展中最根本的事。
65770发布于 2019-05-09 探秘YashanDB的数据安全机制,保障企业信息安全
在当今信息化高度发达的社会,企业面临的数据库安全问题愈发复杂,例如如何保障数据的安全性、完整性与可用性。YashanDB作为一款高性能数据库,如何在这个安全挑战中脱颖而出,成为用户关注的焦点。 YashanDB通过一系列精细化的数据安全机制来保障企业的信息安全,值得深入探讨。YashanDB的安全机制概述用户管理与权限控制用户管理是保障数据安全的重要环节。 审计机制为了保障数据的完整性与安全,YashanDB提供了详细的审计功能,能够及时记录对数据的所有访问与修改操作。通过审计日志,系统管理员可以追踪并分析数据访问行为,快速识别潜在的安全威胁。 ,维护数据的一致性和完整性.结论YashanDB通过一系列成熟的数据安全机制,有效保障企业信息的安全。 用户应结合自身的业务场景,灵活运用这些安全功能,为企业的信息安全筑牢防线。在实施具体技术方案时,可以充分考虑文中提出的建议,从而提升数据管理水平,确保企业数据在日常运作中的安全性与可靠性。
22910编辑于 2025-08-13- 来自专栏Ms08067安全实验室
Web安全班作业 | 企业信息收集之道
协助甲方安全团队或者渗透测试人员有效侦察和检索资产,发现存在的薄弱点和攻击面。 下载地址:https://github.com/TophantTechnology/ARL 2.2 工具启动 1. /v2.4/docker.zip cd docker_arl unzip docker2.4.zip docker volume create arl_db docker-compose up -d 4.
1.6K20发布于 2021-09-28 电子商务行业信息安全管理-企业信息安全技术规划
本文将详细介绍电子商务行业中的信息安全管理,并提出一个企业信息安全技术规划,以确保企业在数字化时代的安全性和可持续发展。 本文将详细探讨电子商务行业中的信息安全管理,并提出一个企业信息安全技术规划,以应对不断演变的威胁。1. 企业信息安全技术规划 2.1 安全策略和政策制定 了解企业的业务流程和信息系统,确定信息安全对业务的重要性和需求。 4、确定紧急联系人和沟通渠道:指定紧急联系人,包括内部和外部的联系人,以便在安全事件发生时能够及时通知和协调。同时,建立有效的沟通渠道,确保信息能够及时传达和共享。 持续监控系统的安全状态,及时发现异常情况,并进行安全审计,确保补丁和更新的有效性和系统的安全性。4.
81610编辑于 2024-01-31YashanDB数据加密存储技术保障企业信息安全
在当今数字化时代,数据安全成为企业信息安全的重要组成部分。随着数据泄露事件频繁发生,企业需要关注如何保护其敏感数据,避免数据泄露或未授权访问。 因此,如何高效、安全地存储数据,尤其是敏感信息,成为了一个显著的技术挑战。本文将探讨YashanDB的数据加密存储技术,以确保企业信息的安全性。 此技术确保了数据在存储到磁介质时被加密,而在读取时自动解密,从而确保了在物理存储层面数据的安全。在表空间透明加密中,用户在创建表空间时可以选择启用加密,使用AES128或SM4加密算法进行加密。 用户可以选择不同的加密算法进行备份,包含AES128、AES192、AES256和国密SM4四种加密算法。这提供了额外的安全层,使得即便备份数据被窃取,攻击者也无法在使用这些数据。 通过SSL/TLS等加密协议实现网络通讯的安全,确保数据传输的机密性与完整性。通过正确配置和使用这些加密功能,企业可以显著提升其数据安全性,保障企业信息资源不受威胁。
19200编辑于 2025-06-30详解YashanDB权限管理最佳实践,保障企业信息安全
数据库系统作为企业信息管理的核心基础设施,其权限管理是保障数据安全和业务连续性的关键环节。当前数据库面临的挑战包括权限配置复杂、权限泄露风险高以及权限滥用导致的数据安全事件频发。 基于标签的访问控制(LBAC)实现为满足对敏感数据的行级访问安全控制,YashanDB内建基于安全标签的访问控制模型。系统允许为数据表添加安全策略,结合用户安全标签,实现对表中不同行数据的访问授权。 三权分立与安全职责分隔YashanDB充分考虑企业安全合规需求,支持三权分立的权限体系。 结论基于YashanDB内置完善的权限管理机制,从基于角色的访问控制、细粒度对象权限、基于标签的行级安全、身份认证密码策略、安全职责分离到审计追溯,构建了多维度、全方位的安全防护屏障。 采用最小权限原则、强化认证安全、实施全面审计及三权分立是保障企业数据库信息安全的关键。
29810编辑于 2025-09-20YashanDB数据加密技术应用,确保企业信息安全
在当前数字化时代,企业数据面临着越来越多的安全威胁,如何保护敏感信息不被非法访问或泄露已经成为了企业信息化建设中的重要问题。数据库作为企业数据的集中存储地,其安全性直接关系到企业信息安全。 YashanDB通过在表空间级和表级对数据进行加密,保证数据存储的高度安全。用户可以选择支持AES128或SM4等多种加密算法满足企业的加密需求。 使用此功能不仅增强了数据的安全性,还能够通过保护企业知识产权来提升竞争力,确保核心算法和业务逻辑得到应有的安全保护。4. 在配置网络安全时,企业可以自主设定加密级别和安全策略,以应对不同的安全风险,建立有效的防护协定来降低网络攻击带来的风险。技术建议启用透明数据加密(TDE)以保障存储数据的安全性。 结论随着企业数据量的不断增长和信息安全威胁的日益增多,YashanDB作为先进的数据库管理系统,通过数据加密技术有效提升了数据安全性,确保了企业信息的安全和保密。
18300编辑于 2025-06-30- 来自专栏月月的云安全课堂
构建企业信息安全防护体系:以电子文档安全为核心
随着信息社会的飞速发展与企业信息化建设的深入,企业的商业机密已从传统的纸质文件转向各类电子文档,如CAD图纸、Office文档等。 三、透明加密:确保数据安全传输与存储透明加密技术能在不影响用户正常使用的前提下,对电子文档进行实时加密,确保数据在生成、存储、传输、使用等全生命周期内的安全性:1. 四、总结:构建无懈可击的信息安全防护体系通过详尽细致的操作审计、全面严格的操作授权和安全可靠的透明加密三重保护,企业能够构建起一套完善的信息安全防护体系,实现“事前防御—事中控制—事后审计”的完整信息防泄露流程 这种体系化的防护方式不仅有助于预防和应对各种内部与外部的安全威胁,更能促进企业形成良好的信息安全文化,提升整体信息安全水平,为企业的稳健运营与持续发展保驾护航。 在信息化时代,企业应积极采用先进的数据安全解决方案,将电子文档安全纳入企业信息化建设的核心考量,以确保企业信息资产的安全无虞。
59610编辑于 2024-04-23 使用YashanDB进行数据加密保障企业信息安全
本文将深入解析YashanDB数据库系统中的数据加密机制,探讨其技术原理和产品架构优势,帮助DBA和开发人员理解并应用YashanDB的加密功能,实现企业信息安全保障。 具体表现为:支持AES128及国密SM4算法,满足国内外不同安全合规需求。加密设置在表空间创建时确定,之后不可更改,保证加密策略的稳定性。 表级加密对数据在存储时加密,查询时解密,实现数据安全与灵活访问平衡。主要特点包括:支持的加密算法同样涵盖AES128及SM4,适配行业安全规范。表级加密指定后不可变更,保证密钥管理和加密策略的统一。 实现方案包括:支持多种算法(AES128、AES192、AES256、SM4)增强加密灵活性。密钥来源同用户口令密码策略,采用密码保护机制,避免明文密钥泄漏。 我们鼓励数据库管理员和开发人员充分掌握YashanDB的加密能力,积极将其应用到实际项目中,保障企业信息资产安全。
22310编辑于 2025-09-19- 来自专栏FreeBuf
浅谈甲方企业信息安全建设的方法论
从目前了解的情况来看,甲方安全团队规模在一个企业内部的人员占比还是非常低的,在企业安全建设中,大部分安全措施的落地都是由系统、业务和开发团队来实施。 这时候,对于安全团队来说,就非常需要注意安全工作的方式方法了,以便将企业的信息安全建设逐步走向正轨。本文就是我对企业信息安全建设的方法论的一些思考。 ? 当然这两年情况好多了,在网络安全法颁发、中央网信委成立后,CEO级别的管理层公开支持网络安全工作必然是政治上正确的事,但这也不一定能成为你开展信息安全工作坚强后盾。 笔者以为,信息安全工作最坚强的后盾应该是数据中心老大或CTO类的人员,因为信息安全事件最大的受害者可能是他们,出现重大信息安全事件最可能履责者也较大可能是他们。 因此,对于企业安全建设来说,最重要的工作是做调查研究,了解企业IT建设与安全管理现状,识别影响组织和企业最大的风险,然后再根据风险找出安全管理的牛鼻子方法,抓住安全风险的主要矛盾,这也是ROI平衡的一个具体方面
1.2K20发布于 2020-03-06 - 来自专栏释然IT杂谈
【共读】企业信息安全建设与运维指南(一)
一、从零开始建设企业信息安全系统: 企业信息安全体系分为:信息安全技术体系和信息安全管理体系 信息安全技术体系: 两个层面: 1.需建设安全相关基础设施和系统,以具备解决相关安全问题的能力 4)安全事件处置 5)安全自动化能力 安全管理体系建设:安全制度建设、信息安全流程建设、安全培训、安全考核等等。 企业安全工作岗位: 1)安全运维工程师 2)渗透测试工程师 3)安全开发工程师 4)安全管理岗 1.4企业安全工作开展思路 从安全风险评估、安全工作机制的建立和安全工作规划三个层面来说: 1.4.1 3.技术评估:通过技术评估获取安全风险情况,安全渗透、安全基线检查、数据流分析等。 4.输出安全风险列表:对风险进行等级划分,为后续工作做好基础。 2)最大并发连接数 3)V**隧道数 4)网络接口数 5)模块冗余和高可用 6)集中管理 7)功能授权和升级
2.8K33编辑于 2022-10-27 - 来自专栏释然IT杂谈
【共读】企业信息安全建设与运维指南(二)
接上篇继续往下:【共读】企业信息安全建设与运维指南(一) 三、IDC基础安全体系建设: IDC(Internet Data Center)即互联网数据中心,为企业用户或客户提供服务,如网站应用服务 、App应用后台服务等等,IDC中存储着各类敏感信息和数据资产,所以IDC安全是企业信息安全的重中之重,需重点投入进行建设和运营。 3.1.2安全域划分方案 IATF安全区域划分: 比较典型的划分方案,IATF提出4个典型的安全域:本地计算环境、区域边界、网络和基础设施和支撑性设施。 4)支撑性设施:为网络、区域边界和本地计算环境提供基础服务。 3.4.1系统运维面临 的挑战 运维操作安全风险: 1)账号认证是否安全 2)授权是否合理 3)违规操作是否可控 4)操作是否可以审计
1.4K30编辑于 2022-10-27 - 来自专栏IDaaS 身份认证管理云平台
疫情防控对企业信息安全管理有何启示?
这对于现代企业的信息安全防控与管理而言,有何启发? 一、零信任与身份管理 零信任是一个安全概念,自 2010 年提出后,近年来逐渐由理论走向实践。 零信任出现的一个关键背景是,传统基于网络边界构建的“防火墙”式安全防护机制短板凸显,对云计算时代的内外部恶意攻击无力应对,因而需要引导安全体系架构从「网络中心化」走向「身份中心化」。 而围绕「身份」构建的零信任安全体系,基于权限最小化原则进行设计,根据访问的风险等级进行动态身份认证和授权,可以有效减少企业内外部安全隐患。 首先,要把所有的数据资源和计算服务都当做「资源」来对待,比如小内存设备、员工自携设备等,其次,要确保任意网络之间的连接是安全可信的,来自任意网络的访问请求都应该满足相同的安全性要求,并通过加密或是认证的方式进行可信认证 零信任作为一套全新的网络安全防御概念,提倡将企业内外的所有用户、设备、系统、网络等 IT 资源均纳入安全体系中,进而保护企业总体业务和核心数据资产的安全。
1.1K43发布于 2020-08-25 - 来自专栏FreeBuf
以“威胁应对”为中心,看企业信息安全能力建设
笔者将以威胁为中心的信息安全能力建设问题总结为以下四句话,并进行详细阐述。 1. 全面感知是基础 2. 异常行为是线索 3. 分析能力是关键 4. 4) 异常情境:木马C&C隐蔽通道检测 针对新型木马不断出现,基于特征检测的方法无法有效检测特征库之外的木马的缺点,我们可以采用基于木马流量行为特征的木马检测方法。 4.分析能力是关键 安全分析员需要的是线索,线索只能代表相关性,而不是确定性,异常行为就是信息安全的一条重要线索。 如图4个组成元素(User成员、Activity事件、File资产/文件、Method方法)说明例子中的行为风险是如何分析的, 详细解释如下: User成员:斯诺登 组织中的每个成员(人、设备)都有一个风险评分 根据这4个得分最终计算出总风险。 ? interset主要基于终端的信息收集,通过数据分析引擎提供违规行为的安全告警。同时为常见的SOC、SIEM平台提供了API接口。
1.2K80发布于 2018-03-22 - 来自专栏FreeBuf
卡巴斯基2017年企业信息系统的安全评估报告
引言 卡巴斯基实验室的安全服务部门每年都会为全球的企业开展数十个网络安全评估项目。在本文中,我们提供了卡巴斯基实验室2017年开展的企业信息系统网络安全评估的总体概述和统计数据。 本文的主要目的是为现代企业信息系统的漏洞和攻击向量领域的IT安全专家提供信息支持。 我们已经为多个行业的企业开展了数十个项目,包括政府机构、金融机构、电信和IT公司以及制造业和能源业公司。 检测建议: 监测通过RC4加密的TGS服务票证的请求(Windows安全日志的记录是事件4769,类型为0x17)。短期内大量的针对不同SPN的TGS票证请求是攻击正在发生的指标。 其它类型的漏洞都差不多,几乎每一种都占4%: 用户使用字典中的凭据。通过密码猜测攻击,攻击者可以访问易受攻击的系统。 实施安全软件开发生命周期(SSDL)。 定期检查以评估IT基础设施的网络安全性,包括Web应用的网络安全性。
1.7K30发布于 2018-09-21 - 来自专栏释然IT杂谈
基线检查与安全加固:提升企业信息安全防护的最佳实践(文末附表格和脚本)
在数字化时代,信息安全已成为企业发展和稳定运行的核心保障。基线检查和安全加固作为信息安全的重要环节,能够帮助企业发现潜在的安全漏洞,并在此基础上采取有效的加固措施。 本文将系统讲解基线检查和安全加固的最佳实践,帮助企业全面提升信息安全防护能力,确保系统的安全性与合规性。 什么是基线检查? 安全加固指的是针对基线检查中发现的安全漏洞和弱点,采取一系列措施加强系统安全的过程。加固不仅仅是修复漏洞,还包括优化系统的整体安全性,使其在面对不断变化的安全威胁时,能够保持坚固的防线。 细节的完善将极大提高企业的整体安全防护能力。 安全意识培训安全加固不仅仅是技术人员的工作,企业管理层和普通员工的安全意识也同样重要。 通过定期的安全培训,提高全员的安全防护意识,是防止安全事件发生的关键。 结语 基线检查和安全加固是确保企业信息安全的基础性工作。
69610编辑于 2025-08-14 - 来自专栏FunTester
groovy爬虫练习之——企业信息
>", EMPTY).replaceAll("(\n| )", EMPTY).split(":")[1] def type = all.get(4).replaceAll("<.
77510发布于 2019-10-14 - 来自专栏探索RPA
RPA:企业信息孤岛的“克星”
随着企业信息化建设突飞猛进,企业管理职能精细划分,信息系统围绕不同的管理阶段和管理职能展开,如客户管理系统、生产系统、销售系统、采购系统、订单系统、仓储系统和财务系统等,所有数据被封存在各系统中,让完整的业务链上 然而人力手工处理大量的数据从安全、效率、准确率的角度看都不是一个最好的选择。这个时候RPA就派上了用场。 作为解决企业信息化“最后一公里”的推手,RPA担任起了打通企业信息烟囱,连接企业信息断点的职能。 RPA软件机器人可以像人类员工一样使用操作系统。RPA的工作原理是基于计算机操作系统的工作桌面。 相比于人力手工操作,更为安全、高效、精准,对数据传输的质量起到了更好的保障作用。 RPA技术的出现,一定程度上解放了被困在各个系统孤岛上的人类。随着公司寻求新的业务效率,今后RPA市场将会更快地增长。
77250发布于 2019-08-29 - 来自专栏用户7036245的专栏
企业信息管理系统是什么?
3归类 4核心技术 5每日任务 简述构造编写视频语音 从不一样的视角来观察信息系统.信息系统有不一样的定义构造。 4)信息内容管理人员就是指部门管理信息系统开发设计和运作的工作人员,她们在系统执行全过程中承担信息系统各一部分的机构和融洽。 [2] 內容编写视频语音 企业信息化管理內容包含:企业信息化规划、企业信息内容对外开放与维护、企业信息内容开发设计与运用。 企业信息化规划,是企业完成信息化管理的必备条件。 4)按企业內部设定方式上去区划,企业信息系统可分成职责型,综合性,系统型和ERP型。 4.创建企业同盟 为了更好地能够更好地完成供应链(SCM),共享资源别的企业的优点和聪慧.许多企业创建了跨机构系统(IOS)。
1.6K30发布于 2021-07-21
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号