- 综合排序
- 最热优先
- 最新优先
- 来自专栏网络安全文章
信息安全技术 云计算服务安全指南
声明本文是学习GB-T 31167-2014 信息安全技术 云计算服务安全指南. 本章通过描述云计算带来的信息安全风险,提出了客户采用云计算服务应遵守的基本要求,从规划准备、选择云服务商及部署、运行监管、退出服务等四个阶段简要描述了客户采购和使用云计算服务的生命周期安全管理。 从已通过安全审查的云服务商中选择适合的云服务商。客户需承担部署或迁移到云计算平台上的数据和业务的最终安全责任;客户应开展云计算服务的运行监管活动,根据相关规定开展信息安全检查。 第三方评估机构。 信息安全管理责任不应随服务外包而转移,无论客户数据和业务是位于内部信息系统还是云服务商的云计算平台上,客户都是信息安全的最终责任人。 资源的所有权不变。 承载客户数据和业务的云计算平台应按照政府信息系统安全管理要求进行管理,为客户提供云计算服务的云服务商应遵守政府信息系统安全管理政策及标准。 坚持先审后用原则。
2.9K51编辑于 2023-01-08 - 来自专栏FreeBuf
浅谈GBT 30283《信息安全技术 信息安全服务 分类与代码》
原标准按照服务活动性质将信息安全服务分为“信息安全咨询服务”、“信息安全实施服务”、“信息安全培训服务”以及“其他信息安全服务”。 各类信息安全服务根据“服务类别—服务组件”的层次结构和编码方法又划分了若干服务组件,如下: 原标准还给出了“信息安全服务”、“信息安全服务需求方”、“信息安全服务提供方”、“服务协议”以及三大类信息安全服务的术语定义 、信息安全实施服务、信息安全培训服务等。 、呼叫中心服务、其他信息技术服务 | 参考以上分类维度,结合信息安全服务特性,本次修订将信息安全服务分为:主要包括信息安全咨询类、信息安全设计与开发类、信息安全集成类、信息安全运营类、信息的安全处理和存储类 | Z | 其他信息安全服务 | 新增内容 | 信息安全服务的其他分类形式 据YD/T 1621-2007《网络与信息安全服务资质评估准则》,信息安全服务还可分为信息安全咨询服务、信息安全工程服务、信息安全培训服务和信息安全运行服务
2.7K30发布于 2021-08-24 - 来自专栏CSDN技术头条
《速度与激情8》中的信息安全技术
前言:本文中的技术仅供交流,如有疏漏还请大家批评指正 今天跟女票下班之后直接去电影院看速8,当然看完速8之后并没有去速八而是直接回了家。 社交网络信息:这种广泛分布于挖矿、刷票、DDoS这种肉鸡类型的,可以想办法截获起botnet样本进行逆向分析,获取其c&c服务器地址,然后对服务器进行反连查询。 外部日志:一些常用服务的日志,比如说邮件、DNS等日常服务的日志,这些日志可以帮我们确定攻击者是否是一种APT攻击,或者是是否是来种植Botnet的。同样可以确定攻击者的动机。 当然不差钱的各位可以选择去买威胁情报服务,更专业。 其实《速度与激情8》里面的黑客技术就现在看来是可以完全实现的,只是实现的成本有高有低,但是搞攻防的话,一定要站在攻击成本的角度上去考虑,安全无绝对,所以大家也没有必要为这些事情担心,安全研究院和厂商之间的互动越来越多也从侧面证明了现在大家对安全的重视
1.3K70发布于 2018-02-12 - 来自专栏【Android开发基础】
互联网信息服务安全评估报告
其他的都好说,这个《互联网信息服务安全评估》是什么鬼啊。然后和腾讯平台客服 (腾讯社区开放平台 qq:800013811)一番沟通。 得知需要去这个网站申请http://www.beian.gov.cn/ 1、安全管理负责人、信息审核人员及安全管理机构设立情况。 2、用户真实身份核验及注册信息留存措施。 4、对用户账号和通讯群组名称、昵称、简介、备注、标识,信息发布、转发、评论和通讯群组等服务功能中违法有害信息的防范处置和有关记录保存措施。 3、通过日志留存设备记录用户账号、操作时间、操作类型、网络源地址和目标地址、网络源端口、客户端硬件特征等日志信息;同时日志留存设备提供基于时间、应用服务类型、IP地址、端口、账号为查询条件的查询功能;可以通过日志留存设备的查询模块 (备注:1-6取自互联网信息服务安全评估报告 - 简书,我补充了7)
1.9K10编辑于 2023-02-10 - 来自专栏全栈程序员必看
Web安全 信息收集 (收集 Web服务器 的重要信息.)
信息收集的总结: ---- 信息收集的概括: ” 信息收集 ” 是指利用计算机软件技术,针对定制的目标数据源,实时进行信息采集、抽取、挖掘、处理,从而为各种信息服务系统提供数据输入,并按业务所需,进行数据发布 ,子网和网页相关的 site:网站 “你要的信息” site:zhihu.com“web安全” filetype功能:搜索指定的文件类型 filetype:pdf “你要的信息” 在渗透测试的过程中,对端口信息的收集是一个很重要的过程,通过扫描服务器开放的端口以及从该端口判断服务器上存在的服务,就可以对症下药,便于我们渗透目标服务器. 这样我们就可以对这些信息进行时时漏洞扫描,漏洞发现等操作。然后进行漏洞利用,拿到服务器的权力. 参考链接:渗透测试——信息收集_凌晨三点-的博客-CSDN博客_渗透测试信息收集的作用 学习链接:Ms08067安全实验室 – Powered By EduSoho 发布者:全栈程序员栈长,转载请注明出处
3.4K20编辑于 2022-09-07 - 来自专栏Java技术
信息安全
数据的安全性在Java的网络传输过程中需要通过信息的加密和解密。数据的加密过程有相应的数据编码标准。JavaEE的默认数据编码标准是IOS8859-1。 用户的请求服务器端对数据的接收方式进一步对数据的请求进行校验和验证。请求权限的设计是有多种方式的应用体现。请求令牌token是前端的唯一性请求校验逻辑。 数据的安全保证在数据服务器的后端的解析过程进行顺畅。数据在后端处理之后持久化到数据库的时候,数据库的数据正确性并不是绝对的。 数据服务器有的时候会遭受到的大量的请求,用户响应过来的数据有的时候是服务器的一种容错应答机制。代码注入的风险随时存在,网络安全需要有专业的服务器网络选择和代理方式。 数据服务器的集群搭建是对数据信息安全的一种安全的解决方案。数据库和微服务以及在数据查询性能方面都有分布式的实现框架。Restf api的安全性和容错性有专业的开发维护团队。
37410编辑于 2024-09-05 - 来自专栏安恒信息
重点关注 | 中国信息安全测评中心推出云和大数据等新信息安全服务资质
中国信息安全测评中心是代表国家具体实施信息安全测评认证的实体机构。 信息安全服务资质是对信息系统安全服务的提供者的技术、资源、法律、管理等方面的资质和能力,以及其稳定性、可靠性进行评估,并依据公开的标准和程序,对其安全服务保障能力进行认定的过程。 为适应新的网络空间发展态势,规范新技术服务能力,中心遵循相关国际国内标准,特推出云计算安全服务资质、大数据安全服务资质及信息系统审计服务资质。
82470发布于 2018-04-10 - 来自专栏数据派THU
《信息安全技术 云计算服务安全指南》国家标准意见稿
《信息安全技术 云计算服务安全指南》国家标准意见稿,本文件给出了本标准提出了党政机关及关键信息基础设施运营者采用云计算服务的安全管理基本要求,明确了采用云计算服务的生命周期各阶段的安全管理和技术措施。 本标准为党政机关及关键信息基础设施运营者采用云计算服务,特别是采用社会化的云计算服务提供全生命周期的安全指导,适用于党政机关及关键信息基础设施运营者采购和使用云计算服务,也可供其他企事业单位参考。 特别是党政机关及关键信息基础设施运营者采用云计算服务,尤其是社会化的云计算服务时,应特别关注安全问题。 本标准指导党政机关及关键信息基础设施运营者在云计算服务的生命周期采取相应的安全技术和管理措施,保障数据和业务的安全,安全地使用云计算服务。 与本标准紧密配合的GB/T 31168-XXXX 面向云服务商,提出了为党政机关及关键信息基础设施运营者提供服务时应该具备的信息安全能力要求。
1.6K50编辑于 2022-04-19 - 来自专栏HT
数字孪生智慧服务器:信息安全监控平台
图扑软件利用自主研发的 HT for Web 产品,打造的服务器信息安全演示系统,实现了服务器数字化智能化的监测场景。 每个公告牌可以携带不同的数据信息,可操作性更强。 资产防御策略 借助信息化手段,实现对资产防御策略监测跟踪,提升资产名称、策略名称以及当前状态的透明度。 总结 计算机网络服务在提供便利的同时,也带来了各类安全隐患,包括信息泄露,系统瘫痪等,不仅威胁个体安全,也阻碍计算机网络技术的良性发展。 对此,Hightopo 提出的服务器可视化监管系统,使其能在提高自身服务能力的情况下,预防各类安全隐患的出现,为更好地为网络服务器的安全运行创造条件。
1.5K30编辑于 2022-05-10 - 来自专栏糖果的实验室
安全信息系统如何保护你的服务
而我们现在谈一下信息安全系统,其实信息安全系统也是信息系统的一种,同样具有着信息系统的一些特征。对于我们今天常说的这种安全管理系统是对整个安全事件发生过程中的全周期信息管理。 监听服务在工作当中是否有异常?对于整个系统的输入进行检查是一种必要的。检查。业务系统也是信息系统。而一个正常的信息系统一定会出现这样或者那样的问题,一个正常的信息系统一定会有对应的输入数据和输出数据。 就要进入信息系统的沦陷后安全信息管理。。 我们如何发现攻击者留下的痕迹呢? 所以被攻击的主机可以理解成是黑客强加的一种系统服务升级和代码变更和新服务的开启。如果我们的安全检查手段可以检查到这种变更存在。就相当于可以发现危险。 说明我们前期的安全监控系统遗漏了威胁攻击行为,没有准确定位到攻击的发生。 安全信息系统是用于保护业务信息系统的信息系统。有各种的子系统构成。系统在威胁发生时,威胁入侵成功后面。
73510发布于 2019-11-20 - 来自专栏网络安全攻防
【K8s安全】集群信息收集一篇通
,同时也为安全人员在做集群安全时的信息收集提供一种参考 外部信息 集群信息 kubectl cluster-info 集群列表 kubectl config get-clusters 用户列表 kubectl > -o yaml #获取所有pod信息 kubectl get pods --all-namespaces -o wide 服务信息 kubectl get service kubectl describe API-Server服务器并访问高权限接口,如果执行成功意味着该账号拥有高权限,可以直接利用Service Account管理K8s集群 cat /var/run/secrets/kuberenetes.io 端口服务 内部网络 Flannel默认使用10.244.0.0/16网络 Calico默认使用192.168.0.0/16网络 文末小结 总的来说,Kubernetes集群信息收集是保证企业应用部署和运行环境安全性和稳定性的关键一环 4、收集安全信息:使用工具(如Kube-Bench)来检测Kubernetes集群是否符合最佳实践和安全标准,并发现潜在的安全漏洞和风险。
24910编辑于 2024-12-27 - 来自专栏网络安全攻防
【K8s安全】集群信息收集一篇通
,同时也为安全人员在做集群安全时的信息收集提供一种参考 外部信息 集群信息 kubectl cluster-info 集群列表 kubectl config get-clusters 用户列表 kubectl pod-name> -o yaml #获取所有pod信息 kubectl get pods --all-namespaces -o wide 服务信息 kubectl get service kubectl API-Server服务器并访问高权限接口,如果执行成功意味着该账号拥有高权限,可以直接利用Service Account管理K8s集群 cat /var/run/secrets/kuberenetes.io 端口服务 内部网络 Flannel默认使用10.244.0.0/16网络 Calico默认使用192.168.0.0/16网络 文末小结 总的来说,Kubernetes集群信息收集是保证企业应用部署和运行环境安全性和稳定性的关键一环 4、收集安全信息:使用工具(如Kube-Bench)来检测Kubernetes集群是否符合最佳实践和安全标准,并发现潜在的安全漏洞和风险。
78320编辑于 2023-05-12 - 来自专栏企鹅号快讯
博览安全圈:印度10亿公民信息仅售8美元
2、印度公民信息数据外泄,8美元可购10亿公民信息! 数据泄露在网络安全领域已经不算是什么新鲜事,但当我们面临一些大规模的数据泄露时也不免要唏嘘一番。 根据印度媒体报道,数据库信息被窃取后,网民在网上已经可以购买到这些信息,而10亿印度公民的个人信息只需要不到8美元就能够轻松获得,价格之低廉令人咋舌。 而在相关媒体对事件进行报道后,印度身份证管理局(UIDAI)相关人员表示称Aadhaar数据,包括生物特征信息在内是完全安全的。 3、西部数据My Cloud私有云半年前漏洞仍未修复 NAS存储设备相信 很多人都不陌生,而随着云服务的发展,很多硬盘厂商推出了私有云产品,西部数据My Cloud就是代表之一。 安全厂商安华金和建议用户,在西部数据推送安全补丁前,最好将设备彻底断网,以保证数据的安全。 网络安全需要全民共建,奔着这个目标我们会一直努力,希望大家能够关注我们的每一次更新,关注网络安全。
805100发布于 2018-02-07 - 来自专栏架构进阶
容器 & 服务:Helm Charts(三)K8s 集群信息
Jenkins 构建 (二) 容器 & 服务:K8s 与 Docker 应用集群 (一) 容器 & 服务:K8s 与 Docker 应用集群 (二) 容器 & 服务:Kubernetes 构件及 Deployment 操作 容器 & 服务: ClickHouse 与 k8s 架构 容器 & 服务: 扩容 容器 & 服务:metrics-server 探索 容器 & 服务:Helm Charts(一) 容器 & 服务 :Helm Charts(二)安装与使用 容器 & 服务:Helm Charts(三)K8s 集群信息 一 回顾 回到容器系列,前面我们在本地环境搭建了Kubernetes集群,但访问api server \"", "reason": "Forbidden", "details": { }, "code": 403 } 如上所示,status 为 Failure,说明访问失败;错误信息为 错误信息如下: curl -o kubernetes-dashboard.yaml https://raw.githubusercontent.com/kubernetes/dashboard/master
81710发布于 2021-11-04 - 来自专栏码匠的流水账
使用k8s的api获取服务endpoint信息
序 本文主要研究一下如何使用k8s的api来获取服务endpoint信息 mac m2安装k8s 安装multipass 访问https://multipass.run/install,下载安装 创建实例 check --microk8s pullk8s pull registry.k8s.io/pause:3.7 --microk8s microk8s stop microk8s start 示例 创建 80,10.1.226.135:80 64s pod中使用api查看 kubectl get pods kubectl exec -it nginx-77b4fdf86c-xbd6s sh # 指向内部 API 服务器的主机名 APISERVER=https://kubernetes.default.svc # 服务账号令牌的路径 SERVICEACCOUNT=/var/run/secrets/kubernetes.io/ serviceaccount # 读取 Pod 的名字空间 NAMESPACE=$(cat ${SERVICEACCOUNT}/namespace) # 读取服务账号的持有者令牌 TOKEN=$(cat
83320编辑于 2023-07-22 - 来自专栏信安之路
信息安全基础
网络由众多长时间不间断运行的硬件设备和软件组成,硬件设备像路由器、交换机、DNS服务器、DHCP服务器、代理和防火墙等,而软件则包含操作系统、应用程序和反病毒软件等。 威胁机密性的方式包括攻击者通过网络监控、肩窥(越过别人肩膀浏览未授权的信息)、盗取密码以及社会工程(欺骗他人共享敏感信息以获取敏感信息的访问)等方法获取敏感数据。 网络由众多长时间不间断运行的硬件设备和软件组成,硬件设备像路由器、交换机、DNS服务器、DHCP服务器、代理和防火墙等,而软件则包含操作系统、应用程序和反病毒软件等。 受限区域、授权方法和控制 探测器、传感器和警报 入侵检测 火灾的探测、预防与灭火 围墙、防护措施和安全证件的类型 总结 本文的主要目的是介绍信息安全涉及的基础知识,也是CISSP认证所涉及的所有安全方面 ,是学习信息安全知识的指路灯,也是学习的最终目标,供大家参考,对我来说一个备份。
1.1K00发布于 2018-08-08 - 来自专栏码匠的流水账
使用k8s的api获取服务endpoint信息
序 本文主要研究一下如何使用k8s的api来获取服务endpoint信息 mac m2安装k8s 安装multipass 访问https://multipass.run/install,下载安装 创建实例 check --microk8s pullk8s pull registry.k8s.io/pause:3.7 --microk8s microk8s stop microk8s start 示例 80,10.1.226.135:80 64s pod中使用api查看 kubectl get pods kubectl exec -it nginx-77b4fdf86c-xbd6s sh # 指向内部 API 服务器的主机名 APISERVER=https://kubernetes.default.svc # 服务账号令牌的路径 SERVICEACCOUNT=/var/run/secrets/kubernetes.io/ serviceaccount # 读取 Pod 的名字空间 NAMESPACE=$(cat ${SERVICEACCOUNT}/namespace) # 读取服务账号的持有者令牌 TOKEN=$(cat
82540编辑于 2023-08-31 - 来自专栏云计算D1net
8家云计算及安全巨头联合成立云安全服务联盟
在昨天举行的互联网安全责任论坛云安全分论坛上,腾讯云、绿盟科技、启明星辰、亚信安全、IBM、赛门铁克、天融信、深信服等8家知名企业联合成立云安全服务联盟。 腾讯云副总裁 杨勇、绿盟科技CTO 赵粮、启明星辰高级副总裁 吴海民、赛门铁克公司大中华区总经理 王冰峰、IBM大中国区信息安全技术总监 张红卫、亚信安全副总裁 刘东红、天融信公司高级副总裁 李雪莹、深信服 殷浩,共同启动了云安全服务联盟的发启仪式。 对于未来腾讯云以及云安全服务联盟上的所有用户来说,都能有更多安全方面的选择; 2. 对于联盟的伙伴来说,大家一起携手共建,取得成功; 3. IBM大中国区信息安全技术总监 张红卫 女士表示,希望云安全联盟能够成为一个旗帜,吸引国内外云计算厂商加入联盟。大家一起交流信息,交流技术,共同打造一个更干净的,更健康的网络环境和云计算平台。
1.3K50发布于 2018-03-23 【容器集群安全】一文搞定K8s集群信息收集(2)——内部信息收集
内部信息环境信息了解和管理环境变量是系统管理和安全维护的重要组成部分。环境变量定义了应用程序运行时的各种配置参数,包括但不限于路径、用户特定设置、网络配置等。 K8s API-Server服务器并访问高权限接口,如果执行成功意味着该账号拥有高权限,可以直接利用Service Account管理K8s集群要查看当前Pod使用的Service Account的token 总结本文深入探讨了从红队(攻击者视角)角度对Kubernetes集群进行内部信息收集的策略与方法,覆盖了环境信息、容器检测、内核版本、Token类、Secret类、安全策略、端口服务、内部网络配置等多个关键领域 此外,还特别讨论了第三方集成方面,包括服务网格如Istio和Linkerd的安全配置审查,以及外部服务的安全性评估。 通过具体的命令示例和代码片段,本文指导读者如何有效地识别潜在的安全威胁,例如未加密的服务通信、弱认证机制以及不当配置的服务网格组件等。
56120编辑于 2025-02-04【容器集群安全】一文搞定K8s集群信息收集(1)——外部信息收集
因此,了解如何有效地收集和分析Kubernetes集群的安全信息,对于预防潜在威胁、及时响应安全事件具有不可忽视的重要性。 本文《一文搞定K8s集群安全信息收集(1)——外部信息收集》旨在为读者提供一套系统的方法论,从外部视角出发,探讨如何全面地收集影响Kubernetes集群安全性的相关信息。 外部信息 集群信息 在深入探讨K8s集群的安全信息收集之前,首先了解如何获取集群的基本信息是非常重要的。这些信息包括集群的服务地址、版本信息以及主要组件(如API服务器、控制器管理器等)的状态。 注意,出于安全考虑,敏感信息可能会被隐藏或加密,具体取决于你的配置。 环境变量 环境变量不仅影响着容器内应用程序的行为,还可能涉及到认证信息、服务发现等多个关键领域。 通过具体命令示例,指导读者识别潜在的安全威胁,并强调了保护敏感信息和遵循最佳安全实践的重要性。
73220编辑于 2025-02-02
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号