- 综合排序
- 最热优先
- 最新优先
- 来自专栏云鼎实验室的专栏
2025年9月企业必修安全漏洞清单
腾讯云安全定期发布安全漏洞必修清单,以此指引企业安全运维人员修复漏洞,从而避免重大损失。 以下是2025年9月份必修安全漏洞清单: 一、h2o-3 JDBC 反序列化漏洞 (CVE-2025-6507) 二、 MCP inspector 远程命令执行漏洞 (CVE-2025-58444) 三 h2o-3是H2O.ai开发的企业级开源机器学习平台,采用Java/Scala编写底层核心,通过分布式内存计算框架实现高性能数据处理。 MCP Inspector是用于测试和调试MCP(Model Context Protocol)服务器的开发人员工具,采用模块化架构设计,支持远程MCP服务器连接和调试。 临时缓解方案: - 仅连接可信MCP服务器 三、 Spring Cloud Gateway Server WebFlux 存在表达式注入漏洞 漏洞概述 腾讯云安全近期监测到关于Spring Cloud
12210编辑于 2026-04-09 - 来自专栏人工智能机器学习
企业运维安全管理实践的9大领域
运维安全作为企业安全保障的基石,特别是互联网企业,它不同于Web安全、移动安全、或者业务安全,因为运维安全位于最底层,或涉及到服务器、网络设备。 基础应用等,一旦出现安全问题,会直接威胁到服务器的安全。 而在企业日常运营中,运维安全事件的出现通常预示着这个企业的安全规范、流程有问题,这种情况下就会不止一台机器有同样的漏洞,会是一大片,甚至波及整个公司的核心业务。 提权的提权,内网的内网 神器而已之奇虎360某站GETSHELL内网漫游到webscan了 网站备份文件放在WEB根目录下,并且能被用户下载 网站代码存在漏洞 Shell之后漫游内网 运维管理实践一般包含以下9个内容 、数据泄露防护(DLP)脆弱性扫描与测试 9.运营安全参考标准与制度:包含ISO27001、行政性安全管理制度示例等内容 安全是一个整体,保证安全不在于地方有多强大,而是要找到自己薄弱的地方。
1.3K00发布于 2019-07-22 - 来自专栏互联网-小阿宇
Linux服务器企业级安全加固
Linux服务器企业级安全加固 前言 账-号、密-码安全 1 锁定不必要的用户 2 修改密.码过期时间 3 设置密.码复杂度 4 限制登陆超时 5 限制错误登陆次数 6 禁止root用户远程登陆 6.1 mkpasswd-pbkdf2 加密密.码 3.修/boot/grub2/grub.cfg 4.执行命令grub2-mkconfig -o /boot/grub2/grub.cfg 及时更新漏.洞补丁及使用稳定安全版的服务器应用软件 #允许地址段 vi /etc/hosts.deny sshd:ALL #除了上面允许的其他都拒绝 使用密钥登陆 安全级别:★★★★★ 使用xshell等工具自带的公钥向导生成公钥,然后将公钥内容复制到服务器的 E0F 4.执行命令grub2-mkconfig -o /boot/grub2/grub.cfg 重新编译生成grub.cfg文件 及时更新漏.洞补丁及使用稳定安全版的服务器应用软件 安全级别:★★★ ★★ 有条件使用堡垒机登陆服务器 安全级别:★★★★ 将生产服务器和办公网物理隔离 安全级别:★★★★★
1.8K40编辑于 2022-11-21 - 来自专栏我的安全视界观
【企业安全】企业安全威胁简述
企业面临的威胁可以说是来自四面八方,既有恶意的外部攻击者,也不排除来自内部的安全隐患。往往在不经意间,又可能引入新的安全因素,也有可能在输出产品时给其他企业带来安全风险。 大而言之,企业的威胁从个人理解的角度出发,大致可以分为以下几点: 输入威胁 内部威胁 外部威胁 输出威胁 ? **** 内部威胁浅析 **** 企业内部威胁主要来自于人,如果细分的话可以从安全意识、相关制度、内网管控等方面进行考量,比如: &内鬼泄露内部机密信息资产&内部人员主动攻击外部其他系统&内部系统沦为肉鸡被动攻击外部其他系统 、复杂的多、隐蔽的多,但在面对诸多威胁的时候,应该具备发现问题的眼光并深入下去,找到企业欠缺之处的根源,从源头进行修补。 ,不如主动求变”,企业的安全建设只有主动将救火阶段慢慢的转到安全建设,才能在遭受外部攻击时稍微淡定一点。
2.3K40发布于 2018-06-12 - 来自专栏我的安全视界观
【企业安全】企业安全建设需求
## 前言 ## 近来“企业安全”这个话题比较火热,一个人的安全部、甲方安全建设相关文章倍受大家欢迎。 ## 企业安全需求 ## 除了没有被外部黑客攻击造成财产损失外,影响企业难以花费成本在安全建设方面的因素还有很多,比如企业业务还没有到达一定规模、没有相关部门的监管、没有第三方的合作监督等。 1) 安全事件 公司主页被纂改造成不良声誉影响,业务场景存在安全缺陷导致被恶意攻击造成财产损失,内网服务器被远程植入挖矿脚本占用大量系统资源,...各种安全事件层出不穷。 一次企业安全能力提升”的实质效果。 企业的安全能力与相关负责人、安全团队息息相关,究竟是务实还是专心搞政治分心做安全,往往取决于人。
1.8K60发布于 2018-06-12 - 来自专栏HaC的技术专栏
【教你搭建服务器系列】(9)让你的服务器更安全
上一篇文章介绍了使用秘钥对登录服务器的好处。 本文使用服务器为Centos 7.6 除了使用密钥对之外,只能确保我们的服务器是安全的,但是并不能确保我们的应用是安全的。 为什么这么说? 可以查看一下本地的/var/log/secure 文件,记录了外界尝试登录你服务器的IP、用户名、端口: 如果你的密码过于简单,服务器就很容易被黑了。 以下介绍几种方法让你的服务更安全。 一、后台配置安全组规则 安全组规则是云厂商提供的访问规则。 安全组可以设置允许登录服务器的IP和端口,还有暴露到公网的允许端口。 安全组一共有两个: 入站规则 表示登入服务器的允许,如果我常用的IP是 192.168.0.12,协议端口为 22,那么我设置了这个入站规则,就只能允许这个IP和端口登录服务器。 但并不是所有的云厂商提供的服务器都有安全组的概念,如果没有,就需要我们自行配置服务器的防火墙了。
1.7K22编辑于 2021-12-07 - 来自专栏用户5745643的专栏
企业怎么做好服务器安全防护?
大家都知道,服务器对于所有企业都必不可少,服务器的安全关系着公司整个网络以及所有数据的安全。所以,服务器的安全管理是企业必须重点关注的。 那么,我们应该怎么做,来做好服务器安全防护,来抵御网络攻击等风险呢?小墨在这里给大家分享几点经验: 1. 4、定期安全检测 定期进行安全检测,确保服务器安全,在非默认端口上设置标准和关键服务、保证防火墙处于最佳设置等,定期进行安全扫描,防止病毒入侵。 5. 安装防病毒软件扫描程序 安装商业级反恶意软件和反病毒引擎,对服务器进行实时保护。此外,每周一次 “全系统扫描”,以确保服务器系统的安全。 8. 大家一定要注重服务器安全防护,保障企业服务器的安全哦!
3.7K30发布于 2019-12-20 - 来自专栏服务器安全
企业如何做好云服务器的安全
在云计算技术迅速发展的今天,云服务器被广泛使用,云服务器已经成为企业、组织和个人不可或缺的重要基础设施。然而,云服务器的普及也伴随着日益严峻的安全挑战。 今天德迅云安全就和大家了解云服务器安全的重要性,并分享一些常见的云服务器的安全保护措施,帮助我们构建更加稳固、全面的云服务器安全防线,提高云服务器的安全防护能力。 因此,云服务器安全不仅关乎企业的运营和发展,更关乎用户的隐私和数据安全。 7、系统脆弱性企业和其他企业之间共享经验、数据库和其他一些资源,形成了新的攻击对象。容易被攻击的目标包括可开发的bug和系统脆弱性。攻击者可能会利用这些脆弱性,对云服务器进行攻击。 那么可以采用哪些云服务器安全技术措施来保护好我们的云服务器,德迅云安全给大家介绍一些云服务器的保护措施:1、加密技术与数据传输安全加密技术是保护云服务器数据安全的重要手段。
1.3K10编辑于 2024-05-14 - 来自专栏腾讯安全
DDG僵尸网络“变种”来袭,腾讯安全提醒企业警惕服务器安全
近日,腾讯安全检测发现DDG僵尸网络在近一个月内更新了9个版本,并通过攻击Linux系统进行挖矿,对服务器性能造成极大影响。 腾讯安全专家提醒企业进一步加强对服务器的安全管理,同时建议部署腾讯T-Sec高级威胁检测系统等专业安全产品进行防御,防患未然。 image.png 鉴于病毒的挖矿行为对服务器性能产生的巨大影响,腾讯安全专家提醒企业管理员加强对Linux服务器的安全管理:管理员应避免使用弱口令,为Redis添加强密码验证;定期对服务器进行加固,尽早修复企业服务器相关组件的安全漏洞 与此同时,基于腾讯反病毒实验室的安全能力、依托腾讯在云和端的海量数据研发出的独特威胁情报和恶意检测模型系统——腾讯T-Sec高级威胁检测系统,能有效检测黑客攻击和挖矿行为,专家建议企业予以部署,及时发现企业面临的潜在威胁 此外,企业也可在终端或服务器上部署腾讯T-Sec终端安全管理系统(御点),及时拦截恶意软件等安全风险,或将Web服务器部署在腾讯云等具备专业安全防护能力的云服务上,获取专业安全厂商提供的防护。
99030发布于 2020-04-14 - 来自专栏FreeBuf
本周三9点 | FreeBuf企业安全俱乐部·北京站来啦
还有2天(3月22日),FreeBuf 企业安全俱乐部·北京站就要和大家见面啦。来自全国网安行业的技术大拿、安全专家、企业安全负责人将共聚北京希尔顿逸林酒店,一起聊聊网安行业的热门话题。 北京大成律师事务所合伙人 2、圆桌:企业安全运营实践的“功”与“坑” 安全运营是企业安全建设中至关重要的一环,能大幅提升安全效率和效果,但在企业安全运营建设过程中,往往会遭遇无数的危机和深坑。 主持人:杨海青 航天开元技术专家 参与嘉宾:林鹏 猎豹移动安全总监 石天浩 知其安创始人 宋良杰 自如安全负责人 9+1直播进行时 因故无法到现场参加大会的小伙伴们也无需遗憾,为方便网安人更好地“云参会 ”,FreeBuf联合“安全419、数世咨询、安在、斗象科技、君哥的体历、天威诚信、持安科技、安势信息、媛媛说智能”9大视频号,共同搭建9+1直播矩阵平台(9大直播+现场探会),为大家呈现360度无死角的现场直播 FreeBuf企业安全俱乐部致力于为企业信息安全体系建设,企业信息安全管理提供交流平台。
50520编辑于 2023-03-29 - 来自专栏我的安全视界观
【企业安全】企业安全架构建设
1 安全组织架构 在甲方的安全工作中,重点自然是在企业的安全建设上,但是为了能持续不断的输出,安全队伍的建设变成了不可或缺的一环。 成员的能力决定着企业安全的高度,合理的安全队伍配置是整个建设之路上的引擎。 很多甲方公司或许并没有专职的安全人员,或许仅有临时工,此类场景常常出现在传统企业、非互联网过渡到互联网的企业中,所以在准备跳槽时对企业的选择需要谨慎。 相比专业的安全人员,这无疑在一定程度上限制了企业安全的发展。此外,由于对安全领域的不熟悉,在与上级领导沟通、对安全项目上的投入等方面表现不足,往往也会成为制约企业安全建设的因素。 3 安全工作推动 3.1 领导支持 安全工作的推动是一个自上而下的过程,在建设的伊始便是与上层领导沟通,并争取获得必要的支持,具体理由可参照【企业安全:企业安全建设需求】进行分析与汇报。
3K51发布于 2018-06-12 - 来自专栏我的安全视界观
【企业安全】企业安全项目-短信验证码安全
然而,短信验证码安全算是企业安全建设中能马上“止血见效”的突出代表,无论是从企业开销,又或实际有效性,还是用户体验来说,保护好我们的短信相关接口、完善校验逻辑是十分有必要的。 2、风险描述 短信任性发,慢性恶意消耗企业费用 在做验证码安全改造项目过程中,深刻的领悟到“水滴石穿”的道理,每条短信大约0.03元,目测单价很便宜但整个公司的业务短信量却很庞大,一年下来正常的总花销也是一大笔费用 短信验证码失效,又或是业务逻辑背锅 短信验证码在对企业造成不良影响的同时,还可能违背设计者的初衷,并未到达预期验证、放刷等功能。其原因主要为:验证码本身与业务逻辑。 安全组:发现安全隐患与安全规则的制定者、验证人员以及推广。参与基础服务(短信服务)相关规则的安全测试、制定、验证,与中间件同学推广改造后的相关接口到各业务。 通过对底层短信相关接口的改造,足以解决短信验证码中的大多数问题,但在具体的一些业务场景中,可能仍然存在安全漏洞,由此需要安全人员深入各业务线,对短信验证码可能出现的场景进行安全测试,尽可能的完善安全业务逻辑
4K80发布于 2018-06-12 - 来自专栏技术杂记
日志服务器(9)
安装 LogAnalyzer LogAnalyzer 的下载地址可以参考 下载 ,安装过程可以参考 安装 ---- 下载 LogAnalyzer [root@h105 src]# wget http://download.adiscon.com/loganalyzer/loganalyzer-3.6.6.tar.gz --2016-05-10 22:15:18-- http://download.adiscon.com/loganalyzer/loganalyzer-3.6.6.tar.gz Resolv
1.2K30发布于 2021-10-20 - 来自专栏我的安全视界观
【企业安全】企业安全项目-Github信息泄露专项
1、专项预览 在这个安全专项中,主要分为两大块--项目背景(为什么要做?)和防范措施(怎么去做好?),可以通过下面这张图来简要的进行整体预览。 2、总体概况 源代码对于企业而言,无疑是最宝贵、密级较高的信息资产之一,其泄露途径有很多种可能: 然而github源代码泄露却是企业敏感信息泄露的典型代表,一般而言主要是开发大神们缺乏安全意识所致。 在企业的安全建设项目中,防止github信息泄露主要可以从:制定相关制度-->安全意识培训-->技术手段监测-->相关问题处置角度出发,持续进行维护并形成一个完整的闭环。 往大处讲,企业的核心产品信息可能遭到竞争对手复制,企业相关系统可能遭受外部攻击;从小处说,企业一些细微之处的敏感信息可能被有心人搜集为后续的攻击准备,比如企业员工邮箱、企业SMTP服务器旧用户名与密码、 制度内容可参照百度文库中的一篇文章--《源代码安全管理办法》https://wenku.baidu.com/view/6bbd5ce9a6c30c2258019e8e.html 2)意识培训 涉及开发与运维人员
2.3K110发布于 2018-06-12 - 来自专栏我的安全视界观
【企业安全】企业安全项目-前端绕过专项整改
整个项目大致经过了以下9个阶段: ? ,可以绕过手机验证码设置密码 【安全】【高危】忘记密码实现逻辑有问题,当前所有忘记密码操作可以绕过 【安全】【高危】APP通过修改服务器响应结果返回到前端,可以绕过验证码 【安全】【高危】忘记密码操作绕过图片验证码能获取到敏感信息 【安全】【高危】忘记密码流程中敏感信息泄露 【安全】【高危】验证码绕过 【安全】【中危】忘记密码业务逻辑存在漏洞,导致遍历用户名、email等信息 【安全】【中危】注册场景应在验证码校验以后再判断手机号是否被使用 【安全】【中危】余额变动短信关闭时可以绕过支付密码校验 【安全】【中危】短信验证码及图片验证码绕过漏洞 【安全】【中危】绑定手机号可以前端绕过 【安全】【中危】签入无防暴力破解机制 经过梳理总结出以下存在安全隐患的业务场景 5、总结反思 这应该算是一个大家不太愿意推动,但是企业安全建设必经之路的项目。因为它涉及业务底层逻辑,牵一发而动全身,几乎所有业务均需要跟着变动,项目难度较大。
1.1K50发布于 2018-06-12 企业服务器安全如何选?2025年腾讯云主机安全系统深度测评
在数字化转型加速背景下,服务器安全成为企业刚需。 本文通过对比主流云服务商的主机安全产品,结合腾讯云主机安全(Cloud Workload Protection,CWP)功能与价格策略,为企业提供决策参考。 (年费)阿里云云盾服务器安全(安骑士)500节点 8类 2000+CVE ¥1,200起 华为云CCE安全组 无限制 6类 ,选择一款可靠的主机安全系统不仅是技术需求,更是企业数字化生存的刚需。 这正是腾讯云CWP价值的最佳注解——它不仅是技术的堆砌,更是经过数万家企业实战检验的安全范式。
47510编辑于 2025-10-15- 来自专栏我的安全视界观
【企业安全】企业安全项目-测试环境内网化
经过长时间的风险发掘与分析,企业面临的安全风险已逐渐清晰并有了比较全面的视野。从投入与产出比的角度出发,结合当前正在承受的危害和实施难易程度考虑,可以将前期所规划的安全项目排入实施计划周期并进行推动。 1 总体概况 为了减少企业对外资产暴露面,减少外部恶意攻击,首先应将不必要开放到互联网的测试环境进行内网化。在项目推动的过程中,再次证明安全工作的开展离不开各部门的协作支持。 <1>外部白帽子提交漏洞 当前公司没有成立SRC,但也鼓励外部白帽子提交相关漏洞,因此在漏洞盒子和补天(注:目前为止漏洞盒子上白帽子更加活跃一点)注册了企业账号,开始从外部接收漏洞。 <3>组织安全接口人召开会议 正好以外部白帽提交漏洞为驱动力,召集安全接口人(一般由安全组成员、各业务部门leader组成)开会进行商议并立项。 ? <9>持续优化测试环境管控 此部分主要是针对必须要外网开放的环境(比如与银行调试的接口、提供给用户的展示系统等)。
86050发布于 2018-06-12 - 来自专栏超级架构师
【企业安全】企业安全系列第 1 部分 — 数据治理
随着各个企业对云的适应程度不断提高,安全性在实施中占据了前列,安全架构团队开始在架构审查委员会中发挥关键作用。不同种类的云——公共云、混合云需要围绕应用程序及其处理的数据制定更严格的规则。 那么,安全团队最关心的是什么?是的,数据!那么我们能做些什么让他们不担心呢?实施数据治理。 数据治理是企业在整个数据生命周期(收集、存储、处理和删除)中保护数据的一种宗教方法。 根据 SABSA —Sherwood 应用业务安全架构,任何企业的数据治理都应广泛解决以下类别: Data Governance categories according to SABSA 对于任何给定的应用程序或实施 微信小号 【ca_cea】50000人社区,讨论:企业架构,云计算,大数据,数据科学,物联网,人工智能,安全,全栈开发,DevOps,数字化. QQ群 【792862318】深度交流企业架构,业务架构,应用架构,数据架构,技术架构,集成架构,安全架构。以及大数据,云计算,物联网,人工智能等各种新兴技术。
1.8K10编辑于 2022-09-26 - 来自专栏安全攻防
企业安全落地思考
企业安全落地 技术岗里,开发、运维,都没有落地这个说法,唯独安全有落地这个说法。这是因为,开发及运维工作的落地,不需要其他部门配合,自己部门本身具备一切落地的要素。 而体系化的企业安全建设里,落地建设就离不开其他部门的配合。单应用安全里的SDL,其落地就折磨了数不清的安全从业者。 安全工作的落地,跟安全在公司内部的战略位置,是息息相关的。 大型的集团公司,不一定自建安全团队,可能就外包就够了。没有盈利的小公司,也不一定不会招聘安全人员。 安全的战略位置一般为三种状态,挂件安全、一般安全、核心安全。 核心安全里,可能会存在安全委员会这种虚拟组织,企业安全是全体部门的分内职责。安全团队规模会很大,可能每个业务,每个分公司都有一定规模的团队。安全在公司具备话语权。 安全的人员职级,会普遍较高,网络安全各方面的内容都能够进行落地,会采用自研的方式来对自身企业进行安全防护,甚至有能力将安全能力做成安全产品对外提供。有人员专门从事安全研究工作,引领网络安全攻防的发展。
44130编辑于 2023-08-25 - 来自专栏安全攻防
企业业务安全思考
企业业务安全业务安全的目的在于,让业务正常开展,持续提供预期的服务。业务安全工作,是围绕着业务构建一系列安全风控的制度、工作流、系统、工具、风控规则、运营体系。 业务安全模型:图片其中,业务安全问题应该是薅羊毛问题、爬虫问题、黑灰产问题、坏账问题、水军问题、刷单问题等。比如电商平台的刷单,在电商平台之前,刷单不会成为业务安全问题,刷单这个行为也不会出现。 企业业务安全案例私服魔兽世界因源代码泄露,导致魔兽私服的产生。其根源是数据信息安全方面的问题。但是魔兽私服,直接导致玩家流失,直接造成业务安全问题,修复数据安全问题无法解决这个业务安全问题。 然后分析出来的具体问题及实现措施,可能落到其他安全方面,也可能落到非安全领域。应用安全等方面出现问题,都会对业务造成影响。业务出现问题了,其根源可能不是业务安全问题。 存在业务安全问题,其他安全方面都很好,业务一定会出现问题。总结1、业务安全是新的词,不是新的需求。2、业务安全问题的根源,在业务设计产品设计。3、业务安全没有通用方法论,是紧密围绕业务的。
60741编辑于 2023-08-25
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号