- 综合排序
- 最热优先
- 最新优先
以风险为核心的数据安全治理体系建设与多场景实践
第二章:构建“法律+组织+流程+技术”四维治理体系 针对上述痛点,腾讯安全联合中国信息通信研究院,提出以风险为核心的数据安全治理体系,将治理工作拆解为四大模块: 法律合规体系: 依据《网络安全法》、《数据安全法 流程体系: 建立资产清查、风险评估、风险治理、持续运营的闭环流程。 资产清查: 结合自动化工具与人工审核,完成数据分类分级(如一般数据、重要数据、核心数据)。 案例二:微信(社交与隐私保护) 微信从“以研发运维为中心”转向“以数据为中心”的安全模式,结合IPDRR框架(识别、保护、检测、响应、恢复)。 国密改造: 利用国密软模块(具备商用密码认证证书),为微信支付、腾讯会议等业务提供高性能SM4加密,解决移动端硬件兼容性问题。 第五章:选择腾讯安全的核心优势 权威背书与标准制定: 联合中国信息通信研究院云计算与大数据研究所(专家团队:张越、魏凯、闫树等),深度参与国家数据安全标准制定(如参考《数据安全治理实践指南(2.0)》)
16400编辑于 2026-05-31构建以风险为核心的数据安全治理架构与业务实践路径
落地以风险为核心的体系化治理框架 腾讯科技(深圳)有限公司联合中国信息通信研究院云计算与大数据研究所共同提出覆盖组织保障、管理流程、技术体系的“以风险为核心的数据安全治理体系”。 通过“资产清查、风险评估、风险治理、持续运营”四个步骤,将合规要求转化为业务埋点。 核心部署涵盖硬件密码模块(HSM)、云访问安全代理(CASB)、凭据管理系统(SSM)、密钥管理系统(KMS)及基于可信执行环境(TEE)与联邦学习的隐私计算节点。 驱动数据流转与运维效率的核心指标 基于自动化技术与密码学的深度融合,治理框架在业务中实现了以下量化的运营效能与安全控制指标: 加密与传输性能指标:采用KEM/DEM(密钥封装机制)混合加密方案,结合对称加密 微信业务:从研发运维中心向数据中心的架构演进 微信平台逐步将数据安全模式从“以研发运维为中心”向“以数据为中心”升级。
16000编辑于 2026-05-31- 来自专栏老张的求知思考世界
控制风险,是质量保障的核心工作
前几天转发了一篇关于变更和质量风险的文章,公众号后台有位同学留言问了这样一个问题:最大的难点是影响范围不好评估,这也是目前业界的共同痛点,有没有一种产出比较高的影响范围评估方法来控制变更带来的风险。 从我的角度来说,风险是随时都可能发生的。对于可控的风险,我们要尽可能把控这种风险带来的影响,比如变更;对于不可控的预料之外的风险,除了不断提升应对风险的能力,提高应急响应能力,其他的只能祈祷运气。 这篇文章,聊聊质量保障工作的一个潜在内核:控制风险。 风险都是来自哪里? 所谓的领导力其实可以理解为管事的能力,或者管理执行事项的人的能力。在这之外,所谓的技术和经验只是锦上添花。技术来自于实践,经验来自于不断把事情做好的积累。 软件生命周期中每个阶段都有风险,那就通过质量门禁在每个环节设定准入准出标准,降低风险流转到下一环节带来的影响。
60220编辑于 2023-09-08 腾讯与信通院联合发布:以风险为核心的数据安全治理体系框架与实践
应对数字时代的数据安全治理挑战 随着数字经济成为重组全球要素资源的关键力量,数据安全治理已成为企业核心战略。 企业在数据安全治理中面临三大核心挑战:合规层面需应对覆盖数据全生命周期的法规要求(如《数据安全法》《个人信息保护法》);管理层面存在数据安全责任落实难、管理模式落后等痛点;技术层面则需解决海量数据识别、 新技术风险(如AI数据泄露)及技术选择有限等难题。 该框架通过分层治理结构实现风险可控: 法律合规体系:明确法律法规与行业标准双重约束 组织保障体系:建立决策层、管理层、执行层、监督层四级架构,实行“一把手负责制” 流程体系:形成“资产清查→风险评估→风险治理 →持续运营”闭环管理 技术体系:覆盖数据识别、传输存储、隐私保护等7大技术模块 量化治理成效:核心指标与风险覆盖率提升 通过体系化治理可实现三大关键指标优化: 数据资产可视化管理:实现敏感数据自动识别与分类分级
18310编辑于 2026-05-31移动广告库为企业数据带来重大风险
每天在 Mojave Threat Labs,我们的研究团队都会使用超过 200 个个人风险因素来分析数以千计的移动应用程序。 我们跟踪的关键风险因素之一是收集并发送到远程 Web API 的私人数据或个人身份信息(personally identifiable information,PII)。 这种间接性和缺乏透明性导致应用程序包含的子组件缺乏问责制,并使 IT 管理员无法做出充分明智的风险决策。 企业风险与消费者风险:企业谨防 虽然大多数应用程序连接到广告网络并不奇怪,但值得注意的是,企业用户安装的应用程序与个人(消费者)用户安装的应用程序之间的细分几乎相同。 企业用户(对比消费者)安装的应用程序可能包含将其暴露在个人身份信息、个人或公司数据丢失风险的库。 下表比较了业务用户设备(右)和消费者设备(左)上的应用程序的顶级网址。
2.8K00发布于 2018-08-08- 来自专栏腾讯安全
国际核心标准“全垒打”!腾讯云IT风险管理通过全球考验
为了协助更多云上企业构建全球化的安全体系、实现业务的降本增效,腾讯云在全球范围内推动安全合规的进程,夯实信息安全管理和安全防护的基础建设,为企业发展开辟安全合规的航线。 ? ?
1.5K20发布于 2020-02-12 - 来自专栏云鼎实验室的专栏
国际核心标准“全垒打”!腾讯云IT风险管理通过全球考验
为了协助更多云上企业构建全球化的安全体系、实现业务的降本增效,腾讯云在全球范围内推动安全合规的进程,夯实信息安全管理和安全防护的基础建设,为企业发展开辟安全合规的航线。 ? ?
1.7K20发布于 2020-02-12 2024游戏安全白皮书:核心风险与防护指南
游戏 产品标签:#游戏安全 #反外挂 #内容安全 #经济安全 #DDoS防护 #账号安全 报告背景和目标 2024年中国游戏市场实际销售收入同比提升7.53%,用户规模达6.74亿人,产业繁荣伴随安全风险泛化 腾讯游戏安全团队成立20周年,联合行业机构发布本白皮书,系统性梳理外挂、经济黑产、内容违规、DDoS攻击等七大核心风险,并基于超71656个移动端外挂样本、380.1亿条违规文本检测量等实战数据,为游戏厂商提供全链路防护指南 报告目录 01 PART 前言 02 PART 游戏面临的安全风险与挑战 外挂问题 游戏经济安全问题 内容安全问题 账号安全问题 营销推广作弊问题 DDoS攻击问题 核心模型:采用“事前-事中-事后”三维防护框架,整合客户端加固、实时检测、法律追诉等模块。 核心观点 外挂技术演进威胁升级:2024年PC端外挂样本数同比增74%,DMA硬件外挂均价从6000元降至1500元,作弊门槛降低;移动端定制外挂占比达85.8%,内核化、AI化趋势显著。
19010编辑于 2026-05-30- 来自专栏产品经理:产品设计
以任务为核心的 BTSD 设计模型
无论面对多复杂的 B 端设计,我的解决方案永远都是基于任务为核心的设计模式,它是基于任务场景、任务发起方、任务角色、产品易用性的综合考量,是解决复杂 B 端设计问题和提升产品易用性的利器。 在多年的工作中,我提出了以任务为核心的 BTSD 设计模型,为完成商业目和提升用户体验助力。 一、什么是 BTSD 模型? 1. 任务的定义 「任务」可以理解为有目标的活动。 对于以屏幕为载体的界面设计,「用户任务」可以理解为界面之上系统和用户共同完成的有目标的活动; 2. BTSD 的核心 将用户行为和系统功能提炼整合后,我们就得 BTSD 的核心,从用户任务起始到完成目标的关系图。我们不难发现,这也符合设计工作的本质,从抽象到具象的翻译。 5. 任务拆解 首先我们要知道本产品的核心价值或者北极星指标,依据目标提炼产品的核心任务;其次,我们需要提炼产品的主要使用角色,根据核心任务制作用户的角色+任务泳道图,有时,我们还需按任务频次进行分类。
1K20编辑于 2022-04-01 - 来自专栏存储公众号:王知鱼
Haein集群为例,VAST AI OS:存储为核心的AI实践
本文将深入剖析VAST Data AI操作系统如何以其独特的“解耦、共享一切”(DASE)架构,为全球主权AI基础设施提供核心支撑。 03 主权AI的战略必要性 当前,围绕关键技术的全球竞争日趋激烈,促使各国将技术自主和降低地缘政治风险置于优先地位 10。 这为训练和推理国家级大型基础模型提供了强大的原始计算能力。 存储与数据管理层:VAST Data AI操作系统是整个数据地基的核心 11。 这种认证是NVIDIA作为AI计算领域领导者的强力背书,极大地降低了企业客户的采购风险。 未来方向:计算与存储的融合:这种集成还在不断深化。 一个“合规设计”的平台,通过自动化和预验证,极大地减轻了这一运营负担,节省了人力,缩短了审计周期,并最大限度地降低了因合规失败而产生罚款的风险。
94410编辑于 2025-10-09 - 来自专栏生成式人工智能
算法为舟 素养为舵:AI走进校园,机遇与风险并存,应如何应对?
AI走进校园,机遇与风险并存,这一现实状况引发了教育界的广泛关注和深入思考。如何在充分利用AI带来的机遇的同时,有效规避其潜在风险,成为当下高校教育面临的重要课题。 三、生成式人工智能(GAI)认证:应对风险的关键举措(一)构建技术素养认证体系生成式人工智能认证体系(GAI认证)为应对AI带来的风险提供了重要的解决方案。 四、未来展望:构建人机协同的教育新生态(一)教育目标重构:聚焦思维进化当AI承担知识传递任务时,教育核心应转向思维训练。 这种评价体系能够更加客观地反映学生的学习过程和能力发展,为学生的成长提供更加科学的指导。总的来说,AI走进校园是教育发展的必然趋势,虽然带来了诸多机遇,但也伴随着一系列风险。 生成式人工智能认证体系(GAI认证)为应对这些风险提供了有效的途径和方法。
74010编辑于 2025-03-30 - 来自专栏IMWeb前端团队
Mobx 核心概念简单入门:以股票为例
核心概念 MobX 主要包括了四个核心概念:可观察的状态、根据状态得到的计算值、基于状态变化发生的反应,触发状态变化的动作。 下面我们以股票为例,简单说明下这四个核心概念。 假设你有1000股腾讯的股票,现在的价格为400元每股。 股价是随时可变的,而数量你也可以买进卖出来改变,所以这两个数据是可变的,也即是可观察的状态; 总价值 = 股数 * 每股的价值。 可观察的状态(Observable state) MobX 通过使用 @observable 为现有的数据结构(如对象,数组和类实例)添加了可观察的功能,这样当数据发生变化的时候就可以继续进行下一步发应 如下设置股票总价值为计算值: class Stock { @observable price = 400; @observable num = 1000; @computed 以 todo 为例,使用 react & mobx 可参考: mobx react todo 最后奉上其经典的架构设计图,如下: ?
1.1K20发布于 2019-12-03 - 来自专栏腾讯NEXT学位
Mobx 核心概念简单入门:以股票为例
核心概念 MobX 主要包括了四个核心概念:可观察的状态、根据状态得到的计算值、基于状态变化发生的反应,触发状态变化的动作。 下面我们以股票为例,简单说明下这四个核心概念。 假设你有1000股腾讯的股票,现在的价格为400元每股。 股价是随时可变的,而数量你也可以买进卖出来改变,所以这两个数据是可变的,也即是可观察的状态; 总价值 = 股数 * 每股的价值。 可观察的状态(Observable state) MobX 通过使用 @observable 为现有的数据结构(如对象,数组和类实例)添加了可观察的功能,这样当数据发生变化的时候就可以继续进行下一步发应 如下设置股票总价值为计算值: class Stock { @observable price = 400; @observable num = 1000; @computed 以 todo 为例,使用 react & mobx 可参考: mobx react todo 最后奉上其经典的架构设计图,如下: ?
1.2K50发布于 2018-05-14 - 来自专栏深度学习与python
以 Log4j 为例,如何评估和划分安全风险
那么,安全专业人员如何评估漏洞可能带来的风险,并将组织的精力集中在修复那些最重要的漏洞上呢? 在指导组织开展安全工作时,安全主管们可以获取跨所有基础设施的应用程序流量的全面可见性,结合漏洞可利用性评估和优先级排序的策略,在寻找攻击痕迹时持续保持警惕,降低与 Log4j 和下一个重大漏洞相关的风险 作者简介 Owen Garrett 是 Deepfence 公司的产品和社区主管,为 Deepfence 的安全技术制定开源战略。 他以他在 Riverbed、NGINX 和 F5 等公司 20 年的软件工程和产品领导经验为基础,在 Deepfence 指导公司的路线图,为云原生应用创建一个开源的“安全和可观察性”平台。 在加入 Deepfence 之前,Owen 领导 NGINX 的产品开发,让 NGINX 发展成为部署最为广泛的开源项目之一,保护了超过 5 亿个网站,成为无数生态系统项目的核心。
64430编辑于 2022-06-11 - 来自专栏技术圈
经验风险、结构风险、正则项
版权声明:本文为博主原创文章,遵循 CC 4.0 by-sa 版权协议,转载请附上原文出处链接和本声明。 称为“结构风险”描述的是模型f的某些性质。 ? 是经验风险,描述的是模型与训练数据的契合程度,C用于对二者进行折中。 经验风险 经验风险针对不同的学习模型有不同的计算方法。 结构风险 ? 又被称为正则化项,C被称为正则化常数,Lp范数是常用正则化项。 正则化项主要是在降低经验风险的同时能够降低最小化训练误差的过拟合风险。 L1范数和L2范数正则化都有助于降低过拟合风险,L1范数比L2范数更容易获得稀疏解,求得的解w会有更少的非零分量。
1.3K10发布于 2019-08-21 - 来自专栏腾讯云安全的专栏
企业远程办公都有哪些安全风险?腾讯安全专家为您一一剖析
在享受云带来的业务弹性高效交付的同时,企业面临的安全风险也如影随形,云服务使用过程中的不当安全配置,很容易成为黑客的重点“攻击面”。 新冠疫情之下“停课不停学”的号召,为在线教育行业注入催化剂。 远程办公场景下的 网络安全防护建议 针对无处不在的网络安全威胁和日趋猛烈的黑客攻势,腾讯安全团队提出以下安全建议,助力企业安心抗疫,保障核心业务安全。 除具备实时网络流量分析能力外,企业应重视实时阻断网络攻击能力建设,降低依赖人为运营变更策略的时间差风险。 在网络安全防护上变被动为主动,打造“未攻先防”的先机策略,降低被攻击风险,为业务安全布下坚固的网络“防火墙”。
1.4K10发布于 2020-03-09 网络变压器接线核心技术规范与风险防控指南
网络变压器作为以太网通信系统的核心磁性元件,其接线质量直接影响信号完整性、EMC性能和设备寿命。 对地直流阻抗应>10MΩ(500V兆欧表测试)PoE供电型需验证V+/V-引脚耐压:在引脚间施加1500VAC/60s无击穿错误接线典型案例:某工控设备因将变压器次级PHY侧RX+/RX-反接,导致百兆链路协商为10Mbps 智能预测维护参数预警阈值:绝缘电阻下降速率>5%/月 → 提示受潮风险插入损耗变化>0.5dB/季度 → 提示磁芯老化线圈电阻偏差>10% → 提示金属迁移失效通过严格执行上述技术规范,网络变压器的平均无故障时间
17600编辑于 2026-04-07腾讯“御”安全体系应对大模型应用的十大核心风险
根据腾讯安全团队的研判,大模型在企业应用中存在十大常见安全风险,其中样本投毒(数据污染)、恶意利用(Prompt注入攻击) 和训练数据隐私泄露位列前三位,直接威胁企业核心数据资产。 该体系覆盖模型训练、推理部署、上线运营三大业务阶段,针对核心数据泄露风险(训练数据泄露、模型文件泄露、业务代码泄露)和模型安全风险(越狱风险、提示词泄露)提供专项防护。 通过Red Team对抗实践,主动发现模型生态存在的漏洞风险,为混元大模型的全生命周期保障护航。 某金融客户的全链路安全实践 某头部金融机构在引入大模型能力时,面临严格的数据合规要求。 项目实施后,敏感API信息泄漏风险降低90%,并通过动态脱敏技术保障了开发测试环节的数据安全。 腾讯安全方案已获得多项国家级安全认证,为企业提供符合监管要求的安全可控服务。 数据来源:腾讯安全团队《大模型安全风险治理与防护》技术文档(2025年6月)
19110编辑于 2026-05-30- 来自专栏最新最全的大数据技术体系
机器学习(八)经验风险与结构风险
1.11经验风险与结构风险 策略部分: 1.11.1 经验风险 模型f(x)关于训练数据集的平均损失称之为经验风险(emprical risk)或经验损失(empirical loss),记作R(emp 根据大数定律,当样本容量N趋于无穷时,经验风险R(emp)趋于期望风险R(exp),所以一个很自然的想法就是利用经验风险估计期望风险。 但是,由于现实中训练样本数目有限甚至很小,所以用经验风险估计期望风险常常不理想,要对经验风险进行一定的矫正,这就是关系到监督学习的两个基本策略:经验风险最小化和结构风险最小化。 在假设空间,损失函数以及训练数据集确定的情况下,结构风险的定义是: 其中J(f)为模型的复杂度,是定义在假设空间F上的泛函,模型f越复杂。 可以看出留 一验证实际上就是K折交叉验证,只不过这里的K有点特殊,K为样本数 据个数。
94840编辑于 2023-11-08 - 来自专栏FreeBuf
以红色警戒2游戏为例:如何开展信息安全风险评估工作
“第五十三条 国家网信部门协调有关部门建立健全网络安全风险评估和应急工作机制,制定网络安全事件应急预案,并定期组织演练。……”均提到了风险评估的相关工作。 开展网络安全检测和风险评估是关键信息基础设施运营者落实法规要求的重要职责。 GB/T20984-2007中相关的内容相对概念化,本文尝试用直观的方式给大家做一个信息安全风险评估的科普。 比如,网络出口处核心交换机的重要程度一定是比某个局域网内的路由器要重要的多,在关注程度上也要有所侧重。 当然了,在一个企业中资产不仅仅包括软硬件设备,重要的人员等也可作为资产进行识别。 信息安全风险评估工作的最重要的目的在于整改和加固现有的系统,那么准确识别现有系统的脆弱性,进一步的查漏补缺是安全评估工作的核心环节。我们来看下面这张图。 结语 以上,就是关于信息安全风险评估的一些基本概念,更详细的实施内容和方法建议大家参考GB/T31509-2015 信息安全技术 信息安全风险评估实施指南。
1.6K20发布于 2021-09-16
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号