- 综合排序
- 最热优先
- 最新优先
- 来自专栏FreeBuf
观众报名 | 6月6日FreeBuf企业安全俱乐部·深圳站
如今,切磋交流的舞台已在路上——2023年6月6日,FreeBuf企业安全俱乐部·深圳站将重磅来袭,观众报名通道已正式开启! 观众报名入口 参会观众可扫描下方二维码免费报名: 报名时间:即日起至 6 月 5 日 大会地点:深圳益田威斯汀酒店 3 楼威斯汀宴会厅 大会时间:2023 年 6 月 6 日 09:00-18: 大会以“数据安全与安全运营”为主题,邀请来自腾讯安全、易方达安全、清华大学等在内的相关网络安全负责人、资深专家参与,就企业数据安全和安全运营展开深度碰撞。 FreeBuf企业安全俱乐部致力于为企业信息安全体系建设,企业信息安全管理提供交流平台。 通过FreeBuf线上媒体平台、FreeBuf企业精品公开课、FreeBuf企业安全俱乐部品牌沙龙、培训会等形式,推动信息安全生态圈建设。
35320编辑于 2023-05-12 - 来自专栏互联网-小阿宇
Linux服务器企业级安全加固
Linux服务器企业级安全加固 前言 账-号、密-码安全 1 锁定不必要的用户 2 修改密.码过期时间 3 设置密.码复杂度 4 限制登陆超时 5 限制错误登陆次数 6 禁止root用户远程登陆 6.1 mkpasswd-pbkdf2 加密密.码 3.修/boot/grub2/grub.cfg 4.执行命令grub2-mkconfig -o /boot/grub2/grub.cfg 及时更新漏.洞补丁及使用稳定安全版的服务器应用软件 #允许地址段 vi /etc/hosts.deny sshd:ALL #除了上面允许的其他都拒绝 使用密钥登陆 安全级别:★★★★★ 使用xshell等工具自带的公钥向导生成公钥,然后将公钥内容复制到服务器的 E0F 4.执行命令grub2-mkconfig -o /boot/grub2/grub.cfg 重新编译生成grub.cfg文件 及时更新漏.洞补丁及使用稳定安全版的服务器应用软件 安全级别:★★★ ★★ 有条件使用堡垒机登陆服务器 安全级别:★★★★ 将生产服务器和办公网物理隔离 安全级别:★★★★★
1.8K40编辑于 2022-11-21 - 来自专栏云鼎实验室的专栏
2025年6月企业必修安全漏洞清单
腾讯云安全定期发布安全漏洞必修清单,以此指引企业安全运维人员修复漏洞,从而避免重大损失。 以下是2025年6月份必修安全漏洞清单: 一、Apache Kafka Client任意文件读取漏洞(CVE-2025-27817) 二、Gogs 远程代码执行漏洞(CVE-2024-56731) 三、 在安全性上,它有复杂隐私保护、防止暴力登录攻击等措施,还支持PGP加密等。此外,它采用插件API,可灵活扩展功能,能在多种操作系统和主流浏览器上运行,可在本地或企业环境部署,也可由服务提供商托管。 NetScaler ADC是一款企业级应用交付控制器,专注于优化、加速和保障应用程序的交付,提供负载均衡、应用加速、安全防护以及流量管理等功能,确保应用程序的高性能、高可用性和安全性,适用于本地、云或混合环境的多类部署形态 其模块化设计涵盖数据预处理、模型训练、性能评估及部署全流程,并集成TensorBoard/Wandb等监控工具,适用于学术研究与企业级应用场景。
11910编辑于 2026-04-09 - 来自专栏我的安全视界观
【企业安全】企业安全威胁简述
企业面临的威胁可以说是来自四面八方,既有恶意的外部攻击者,也不排除来自内部的安全隐患。往往在不经意间,又可能引入新的安全因素,也有可能在输出产品时给其他企业带来安全风险。 大而言之,企业的威胁从个人理解的角度出发,大致可以分为以下几点: 输入威胁 内部威胁 外部威胁 输出威胁 ? **** 内部威胁浅析 **** 企业内部威胁主要来自于人,如果细分的话可以从安全意识、相关制度、内网管控等方面进行考量,比如: &内鬼泄露内部机密信息资产&内部人员主动攻击外部其他系统&内部系统沦为肉鸡被动攻击外部其他系统 、复杂的多、隐蔽的多,但在面对诸多威胁的时候,应该具备发现问题的眼光并深入下去,找到企业欠缺之处的根源,从源头进行修补。 ,不如主动求变”,企业的安全建设只有主动将救火阶段慢慢的转到安全建设,才能在遭受外部攻击时稍微淡定一点。
2.3K40发布于 2018-06-12 - 来自专栏我的安全视界观
【企业安全】企业安全建设需求
## 前言 ## 近来“企业安全”这个话题比较火热,一个人的安全部、甲方安全建设相关文章倍受大家欢迎。 ## 企业安全需求 ## 除了没有被外部黑客攻击造成财产损失外,影响企业难以花费成本在安全建设方面的因素还有很多,比如企业业务还没有到达一定规模、没有相关部门的监管、没有第三方的合作监督等。 1) 安全事件 公司主页被纂改造成不良声誉影响,业务场景存在安全缺陷导致被恶意攻击造成财产损失,内网服务器被远程植入挖矿脚本占用大量系统资源,...各种安全事件层出不穷。 一次企业安全能力提升”的实质效果。 6) 网络安全法实施 从”企业出安全事故,请领导喝茶“的结果去推动安全项目也是十分有效的途径,从法律的角度出发,业务产品、开发会信服,领导也会听取。《网络安全法》条目较多,引用下面一条表明立场。
1.8K60发布于 2018-06-12 - 来自专栏用户5745643的专栏
企业怎么做好服务器安全防护?
大家都知道,服务器对于所有企业都必不可少,服务器的安全关系着公司整个网络以及所有数据的安全。所以,服务器的安全管理是企业必须重点关注的。 4、定期安全检测 定期进行安全检测,确保服务器安全,在非默认端口上设置标准和关键服务、保证防火墙处于最佳设置等,定期进行安全扫描,防止病毒入侵。 5. 定期检测更新系统和软件补丁 定期安装最新的操作系统和软件更新/补丁,减少系统漏洞,提高服务器的安全性。 6. 安装防病毒软件扫描程序 安装商业级反恶意软件和反病毒引擎,对服务器进行实时保护。此外,每周一次 “全系统扫描”,以确保服务器系统的安全。 8. 大家一定要注重服务器安全防护,保障企业服务器的安全哦!
3.7K30发布于 2019-12-20 - 来自专栏服务器安全
企业如何做好云服务器的安全
在云计算技术迅速发展的今天,云服务器被广泛使用,云服务器已经成为企业、组织和个人不可或缺的重要基础设施。然而,云服务器的普及也伴随着日益严峻的安全挑战。 今天德迅云安全就和大家了解云服务器安全的重要性,并分享一些常见的云服务器的安全保护措施,帮助我们构建更加稳固、全面的云服务器安全防线,提高云服务器的安全防护能力。 因此,云服务器安全不仅关乎企业的运营和发展,更关乎用户的隐私和数据安全。 6、界面和API的入侵IT团队使用界面和API来管理和与云服务器互动,包括云的管理、监测等。如果云服务器的管理界面或API存在漏洞,攻击者可能会利用这些漏洞进行未经授权的访问和操作。 7、系统脆弱性企业和其他企业之间共享经验、数据库和其他一些资源,形成了新的攻击对象。容易被攻击的目标包括可开发的bug和系统脆弱性。攻击者可能会利用这些脆弱性,对云服务器进行攻击。
1.3K10编辑于 2024-05-14 - 来自专栏腾讯安全
DDG僵尸网络“变种”来袭,腾讯安全提醒企业警惕服务器安全
近日,腾讯安全检测发现DDG僵尸网络在近一个月内更新了9个版本,并通过攻击Linux系统进行挖矿,对服务器性能造成极大影响。 腾讯安全专家提醒企业进一步加强对服务器的安全管理,同时建议部署腾讯T-Sec高级威胁检测系统等专业安全产品进行防御,防患未然。 image.png 鉴于病毒的挖矿行为对服务器性能产生的巨大影响,腾讯安全专家提醒企业管理员加强对Linux服务器的安全管理:管理员应避免使用弱口令,为Redis添加强密码验证;定期对服务器进行加固,尽早修复企业服务器相关组件的安全漏洞 与此同时,基于腾讯反病毒实验室的安全能力、依托腾讯在云和端的海量数据研发出的独特威胁情报和恶意检测模型系统——腾讯T-Sec高级威胁检测系统,能有效检测黑客攻击和挖矿行为,专家建议企业予以部署,及时发现企业面临的潜在威胁 此外,企业也可在终端或服务器上部署腾讯T-Sec终端安全管理系统(御点),及时拦截恶意软件等安全风险,或将Web服务器部署在腾讯云等具备专业安全防护能力的云服务上,获取专业安全厂商提供的防护。
99030发布于 2020-04-14 - 来自专栏我的安全视界观
【企业安全】企业安全架构建设
1 安全组织架构 在甲方的安全工作中,重点自然是在企业的安全建设上,但是为了能持续不断的输出,安全队伍的建设变成了不可或缺的一环。 成员的能力决定着企业安全的高度,合理的安全队伍配置是整个建设之路上的引擎。 很多甲方公司或许并没有专职的安全人员,或许仅有临时工,此类场景常常出现在传统企业、非互联网过渡到互联网的企业中,所以在准备跳槽时对企业的选择需要谨慎。 相比专业的安全人员,这无疑在一定程度上限制了企业安全的发展。此外,由于对安全领域的不熟悉,在与上级领导沟通、对安全项目上的投入等方面表现不足,往往也会成为制约企业安全建设的因素。 3 安全工作推动 3.1 领导支持 安全工作的推动是一个自上而下的过程,在建设的伊始便是与上层领导沟通,并争取获得必要的支持,具体理由可参照【企业安全:企业安全建设需求】进行分析与汇报。
3K51发布于 2018-06-12 - 来自专栏我的安全视界观
【企业安全】企业安全项目-短信验证码安全
然而,短信验证码安全算是企业安全建设中能马上“止血见效”的突出代表,无论是从企业开销,又或实际有效性,还是用户体验来说,保护好我们的短信相关接口、完善校验逻辑是十分有必要的。 2、风险描述 短信任性发,慢性恶意消耗企业费用 在做验证码安全改造项目过程中,深刻的领悟到“水滴石穿”的道理,每条短信大约0.03元,目测单价很便宜但整个公司的业务短信量却很庞大,一年下来正常的总花销也是一大笔费用 短信验证码失效,又或是业务逻辑背锅 短信验证码在对企业造成不良影响的同时,还可能违背设计者的初衷,并未到达预期验证、放刷等功能。其原因主要为:验证码本身与业务逻辑。 安全组:发现安全隐患与安全规则的制定者、验证人员以及推广。参与基础服务(短信服务)相关规则的安全测试、制定、验证,与中间件同学推广改造后的相关接口到各业务。 通过对底层短信相关接口的改造,足以解决短信验证码中的大多数问题,但在具体的一些业务场景中,可能仍然存在安全漏洞,由此需要安全人员深入各业务线,对短信验证码可能出现的场景进行安全测试,尽可能的完善安全业务逻辑
4K80发布于 2018-06-12 - 来自专栏云计算D1net
可能破坏企业运营环境的6个云计算安全问题
业务用户、部门和其他实体必须遵守业务的既定标准,以消除漏洞并保持整个组织的安全。 云计算环境中与安全性有关的弱点或缺陷可能会给企业带来沉重打击。在网络攻击者进行攻击之前,企业需要找出其薄弱环节。 在深入研究这些云安全挑战以及如何防范安全风险之前,企业必须了解三种主要危险类型之间的差异:威胁、漏洞、风险。这些术语通常可以互换使用,但是对于IT安全专业人员来说它们具有不同的含义。 以下是六个最常见的云计算的安全问题: 1.配置错误 用户自己负责配置,因此企业的IT团队需要优先掌握各种设置和选项。 但是那些不精通安全标准的人常常会误解安全选项——留下可利用的云漏洞。在许多情况下,这种“影子IT”部署甚至可能永远不会识别或报告漏洞。这使得企业在损失发生很久之后才有机会缓解问题。 6.中断 云计算基础设施非常庞大,但确实会发生故障——通常会导致影响广泛的云中断。这种中断是由硬件问题和配置疏忽造成的,正是影响传统数据中心的问题。
1.1K20发布于 2021-03-12 - 来自专栏我的安全视界观
【企业安全】企业安全项目-Github信息泄露专项
1、专项预览 在这个安全专项中,主要分为两大块--项目背景(为什么要做?)和防范措施(怎么去做好?),可以通过下面这张图来简要的进行整体预览。 2、总体概况 源代码对于企业而言,无疑是最宝贵、密级较高的信息资产之一,其泄露途径有很多种可能: 然而github源代码泄露却是企业敏感信息泄露的典型代表,一般而言主要是开发大神们缺乏安全意识所致。 在企业的安全建设项目中,防止github信息泄露主要可以从:制定相关制度-->安全意识培训-->技术手段监测-->相关问题处置角度出发,持续进行维护并形成一个完整的闭环。 往大处讲,企业的核心产品信息可能遭到竞争对手复制,企业相关系统可能遭受外部攻击;从小处说,企业一些细微之处的敏感信息可能被有心人搜集为后续的攻击准备,比如企业员工邮箱、企业SMTP服务器旧用户名与密码、 制度内容可参照百度文库中的一篇文章--《源代码安全管理办法》https://wenku.baidu.com/view/6bbd5ce9a6c30c2258019e8e.html 2)意识培训 涉及开发与运维人员
2.3K110发布于 2018-06-12 - 来自专栏我的安全视界观
【企业安全】企业安全项目-前端绕过专项整改
这里所指的前端安全,听上去像是关于JS、HTML5等方面的安全,但其实不然,实则是一些关于会员体系方面业务逻辑漏洞的整改。 ,可以绕过手机验证码设置密码 【安全】【高危】忘记密码实现逻辑有问题,当前所有忘记密码操作可以绕过 【安全】【高危】APP通过修改服务器响应结果返回到前端,可以绕过验证码 【安全】【高危】忘记密码操作绕过图片验证码能获取到敏感信息 【安全】【高危】忘记密码流程中敏感信息泄露 【安全】【高危】验证码绕过 【安全】【中危】忘记密码业务逻辑存在漏洞,导致遍历用户名、email等信息 【安全】【中危】注册场景应在验证码校验以后再判断手机号是否被使用 【安全】【中危】余额变动短信关闭时可以绕过支付密码校验 【安全】【中危】短信验证码及图片验证码绕过漏洞 【安全】【中危】绑定手机号可以前端绕过 【安全】【中危】签入无防暴力破解机制 经过梳理总结出以下存在安全隐患的业务场景 5、总结反思 这应该算是一个大家不太愿意推动,但是企业安全建设必经之路的项目。因为它涉及业务底层逻辑,牵一发而动全身,几乎所有业务均需要跟着变动,项目难度较大。
1.1K50发布于 2018-06-12 企业服务器安全如何选?2025年腾讯云主机安全系统深度测评
在数字化转型加速背景下,服务器安全成为企业刚需。 本文通过对比主流云服务商的主机安全产品,结合腾讯云主机安全(Cloud Workload Protection,CWP)功能与价格策略,为企业提供决策参考。 (年费)阿里云云盾服务器安全(安骑士)500节点 8类 2000+CVE ¥1,200起 华为云CCE安全组 无限制 6类 ,选择一款可靠的主机安全系统不仅是技术需求,更是企业数字化生存的刚需。 这正是腾讯云CWP价值的最佳注解——它不仅是技术的堆砌,更是经过数万家企业实战检验的安全范式。
47510编辑于 2025-10-15- 来自专栏linux教程
6 个提升 Linux 服务器安全的开源工具和技巧
在我的整个旅程中,我利用开源工具来加速我的学习过程,并熟悉了与提升 Linux 服务器安全有关的更高层次的概念。 1、运行更新 开发者们不断地寻找方法,通过修补已知的漏洞,使服务器更加稳定、快速、安全。定期运行更新是一个好习惯,可以最大限度地提高安全性。 5、检查监听端口 开放的端口可能会带来安全风险,所以检查服务器上的监听端口很重要。 6、扫描恶意软件 杀毒扫描软件可以有用的防止病毒进入你的系统。使用它们是一种简单的方法,可以让你的服务器免受恶意软件的侵害。我首选的工具是开源软件 ClamAV。 保证你的服务器安全 我们不能把保护服务器安全的责任只交给一个人或一个组织。随着威胁环境的不断迅速扩大,我们每个人都应该意识到服务器安全的重要性,并采用一些简单、有效的安全最佳实践。
79510编辑于 2023-04-26 - 来自专栏我的安全视界观
【企业安全】企业安全项目-测试环境内网化
经过长时间的风险发掘与分析,企业面临的安全风险已逐渐清晰并有了比较全面的视野。从投入与产出比的角度出发,结合当前正在承受的危害和实施难易程度考虑,可以将前期所规划的安全项目排入实施计划周期并进行推动。 1 总体概况 为了减少企业对外资产暴露面,减少外部恶意攻击,首先应将不必要开放到互联网的测试环境进行内网化。在项目推动的过程中,再次证明安全工作的开展离不开各部门的协作支持。 <1>外部白帽子提交漏洞 当前公司没有成立SRC,但也鼓励外部白帽子提交相关漏洞,因此在漏洞盒子和补天(注:目前为止漏洞盒子上白帽子更加活跃一点)注册了企业账号,开始从外部接收漏洞。 <3>组织安全接口人召开会议 正好以外部白帽提交漏洞为驱动力,召集安全接口人(一般由安全组成员、各业务部门leader组成)开会进行商议并立项。 ? <6>QQ群沟通(效果欠佳) 邮件沟通效率太慢,因此建立专门的qq群“测试环境内网化”,专项沟通测试环境内网化相关事宜。针对邮件中的内容及进展,及时到群里进行反馈与公布。 ?
86050发布于 2018-06-12 - 来自专栏超级架构师
【企业安全】企业安全系列第 1 部分 — 数据治理
随着各个企业对云的适应程度不断提高,安全性在实施中占据了前列,安全架构团队开始在架构审查委员会中发挥关键作用。不同种类的云——公共云、混合云需要围绕应用程序及其处理的数据制定更严格的规则。 那么,安全团队最关心的是什么?是的,数据!那么我们能做些什么让他们不担心呢?实施数据治理。 数据治理是企业在整个数据生命周期(收集、存储、处理和删除)中保护数据的一种宗教方法。 根据 SABSA —Sherwood 应用业务安全架构,任何企业的数据治理都应广泛解决以下类别: Data Governance categories according to SABSA 对于任何给定的应用程序或实施 微信小号 【ca_cea】50000人社区,讨论:企业架构,云计算,大数据,数据科学,物联网,人工智能,安全,全栈开发,DevOps,数字化. QQ群 【792862318】深度交流企业架构,业务架构,应用架构,数据架构,技术架构,集成架构,安全架构。以及大数据,云计算,物联网,人工智能等各种新兴技术。
1.8K10编辑于 2022-09-26 - 来自专栏腾讯安全
企业必须关注的IPv6网络安全25问
IPv6 新环境下的常见安全问题进行梳理,期望为企业客户带来实用性的参考和帮助。 Q9:是否应该为服务器设置不可预知的地址? 答:IPv6协议的安全策略应该与IPv4协议的安全策略相匹配,但因为目前缺乏针对IPv6协议的设置经验,企业在设置IPv6协议的安全策略时存在很多漏洞。 在此背景下,企业需要多维度复杂策略以提升安全能力,这对底层算力支撑提出了更苛刻的要求。 同时,具有深厚行业背景与10+年安全从业经验的腾讯安全专家还会为客户提供专业的安全服务,让客户能够更快完成IPv6网络环境下的安全建设,助力企业应对IPv6时代的安全新挑战。
5.4K51发布于 2020-06-23 - 来自专栏安全攻防
企业安全落地思考
企业安全落地 技术岗里,开发、运维,都没有落地这个说法,唯独安全有落地这个说法。这是因为,开发及运维工作的落地,不需要其他部门配合,自己部门本身具备一切落地的要素。 而体系化的企业安全建设里,落地建设就离不开其他部门的配合。单应用安全里的SDL,其落地就折磨了数不清的安全从业者。 安全工作的落地,跟安全在公司内部的战略位置,是息息相关的。 大型的集团公司,不一定自建安全团队,可能就外包就够了。没有盈利的小公司,也不一定不会招聘安全人员。 安全的战略位置一般为三种状态,挂件安全、一般安全、核心安全。 核心安全里,可能会存在安全委员会这种虚拟组织,企业安全是全体部门的分内职责。安全团队规模会很大,可能每个业务,每个分公司都有一定规模的团队。安全在公司具备话语权。 安全的人员职级,会普遍较高,网络安全各方面的内容都能够进行落地,会采用自研的方式来对自身企业进行安全防护,甚至有能力将安全能力做成安全产品对外提供。有人员专门从事安全研究工作,引领网络安全攻防的发展。
44130编辑于 2023-08-25 - 来自专栏安全攻防
企业业务安全思考
企业业务安全业务安全的目的在于,让业务正常开展,持续提供预期的服务。业务安全工作,是围绕着业务构建一系列安全风控的制度、工作流、系统、工具、风控规则、运营体系。 业务安全模型:图片其中,业务安全问题应该是薅羊毛问题、爬虫问题、黑灰产问题、坏账问题、水军问题、刷单问题等。比如电商平台的刷单,在电商平台之前,刷单不会成为业务安全问题,刷单这个行为也不会出现。 企业业务安全案例私服魔兽世界因源代码泄露,导致魔兽私服的产生。其根源是数据信息安全方面的问题。但是魔兽私服,直接导致玩家流失,直接造成业务安全问题,修复数据安全问题无法解决这个业务安全问题。 然后分析出来的具体问题及实现措施,可能落到其他安全方面,也可能落到非安全领域。应用安全等方面出现问题,都会对业务造成影响。业务出现问题了,其根源可能不是业务安全问题。 存在业务安全问题,其他安全方面都很好,业务一定会出现问题。总结1、业务安全是新的词,不是新的需求。2、业务安全问题的根源,在业务设计产品设计。3、业务安全没有通用方法论,是紧密围绕业务的。
60741编辑于 2023-08-25
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号