自定义博客皮肤VIP专享

*博客头图:

格式为PNG、JPG,宽度*高度大于1920*100像素,不超过2MB,主视觉建议放在右侧,请参照线上博客头图

请上传大于1920*100像素的图片!

博客底图:

图片格式为PNG、JPG,不超过1MB,可上下左右平铺至整个背景

栏目图:

图片格式为PNG、JPG,图片宽度*高度为300*38像素,不超过0.5MB

主标题颜色:

RGB颜色,例如:#AFAFAF

Hover:

RGB颜色,例如:#AFAFAF

副标题颜色:

RGB颜色,例如:#AFAFAF

自定义博客皮肤

-+
  • 博客(17)
  • 收藏
  • 关注

转载 【关键信息基础设施安全保护条例】来自-国家法律法规数据库

第六条 运营者依照本条例和有关法律、行政法规的规定以及国家标准的强制性要求,在网络安全等级保护的基础上,采取技术保护措施和其他必要措施,应对网络安全事件,防范网络攻击和违法犯罪活动,保障关键信息基础设施安全稳定运行,维护数据的完整性、保密性和可用性。第二条 本条例所称关键信息基础设施,是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。

2025-04-29 04:21:19 41

原创 【网络安全】onedns是什么?

*OneDNS** 是由中国网络安全公司「知道创宇」(KnownSec)提供的 **DNS 安全服务**,其核心是通过智能域名解析(DNS)拦截恶意网络请求,保护用户免受网络攻击。- **本地化优势**:OneDNS 在中国大陆的服务器响应速度更快,且针对中文网络环境优化(如拦截国内常见的诈骗网站)。- **功能**:在域名解析阶段拦截恶意网站(如钓鱼、木马、勒索软件等),并支持内容过滤(如屏蔽成人网站、游戏等)。- **防家庭设备中毒**:拦截恶意广告、诈骗网站,降低手机/电脑感染病毒的风险。

2025-04-22 21:46:47 733

原创 关于渗透测试

渗透测试是一种通过模拟真实攻击者的技术手段,对目标系统(如网络、应用程序、硬件等)进行**授权范围内的安全测试**,以识别潜在漏洞并评估其实际风险的过程。- **合法授权**:必须获得目标系统的书面授权,避免触犯法律(如《刑法》中的非法入侵条款)。- **GDPR(欧盟)**:要求数据控制者通过技术措施(如渗透测试)保障数据安全。- **《网络安全法》**:关键信息基础设施运营者需进行安全检测(包括渗透测试)。- **等保2.0**:二级以上系统需定期开展渗透测试(如金融、政务领域)。

2025-04-22 01:23:50 598

原创 下一代waf,刚需用户画像

**用户类型** | **核心需求** | **下一代WAF关键能力** |- **下一代WAF价值**:AI驱动的行为分析(识别异常交易模式)、API安全防护(针对Open Banking场景)、低误报规则引擎(避免阻断正常交易)。- **需求驱动**:高频交易、用户隐私(如银行卡、身份信息)、金融欺诈防护(如API滥用、爬虫攻击)。

2025-04-15 04:37:19 383

原创 需要参加攻防演练的有哪些行业

攻防演练(如红蓝对抗、实战攻防演练)是提升企业网络安全防御能力的重要手段,尤其适用于对网络安全要求高、面临复杂威胁的行业。- 高频网络攻击(如勒索软件、钓鱼攻击、APT攻击)直接威胁资金安全和用户隐私。✅ **强合规要求**:需满足GDPR、等保、HIPAA等法规的主动防御验证。✅ **技术复杂度高**:云原生、IoT、工业互联网等新技术的深度应用者。- 针对智能电网、输油管道的模拟攻击(如勒索软件锁死控制系统)。✅ **高风险行业**:数据价值高、业务中断影响大(如金融、能源)。

2025-04-14 06:30:04 418

原创 攻击面管理产品应用于哪些行业场景

**需求场景**:银行、保险、支付机构等处理大量敏感数据(如交易记录、用户身份信息),且面临高频率的网络攻击(如勒索软件、钓鱼攻击)。- **需求场景**:科技公司、云服务商、SaaS平台拥有复杂IT架构和大量数字资产(如代码仓库、API),易因配置错误或漏洞暴露。- **需求场景**:医院、医药企业、健康管理平台存储患者病历、基因数据等敏感信息,且医疗设备(如联网CT机)易被攻击。- **需求场景**:航空、铁路、物流企业依赖GPS、物联网设备(如智能货运),系统中断可能导致供应链瘫痪。

2025-04-14 06:24:19 523

原创 保险机构网络安全建设涉及哪些内容

SOC建设:部署SIEM系统(如Splunk、LogRhythm),集成威胁情报(如MITRE ATT&CK),实现ATT&CK框架映射分析。- 访问控制:基于角色(RBAC)或属性(ABAC)的权限模型,结合最小权限原则,关键系统启用多因素认证(MFA)。- 保险产品创新:开发网络安全保险时,嵌入主动风险扫描服务(如漏洞评估),通过API与客户安全系统联动,动态调整保费。- 风险管理:开展周期性风险评估,识别关键资产(如客户数据库、精算系统),建立风险台账,实施动态监控。

2025-04-14 01:07:12 525

原创 威胁情报和攻击面管理

**定义**:通过收集、分析和处理外部或内部的威胁数据(如攻击者战术、技术、工具、漏洞利用等),形成可操作的洞察,帮助组织预测、检测和响应潜在威胁。- **定义**:持续发现、分类、评估和优化组织暴露在互联网上的数字资产(如服务器、API、云服务、影子IT等),以最小化潜在的攻击入口。- **威胁狩猎(Threat Hunting)**:利用IoC(如恶意IP、哈希值)主动搜索内部网络中的可疑活动。**威胁情报**揭示外部风险,**攻击面管理**消除内部弱点,共同构建主动式安全体系。

2025-04-14 01:02:22 562

原创 面对高校的网络安全合规和被监管的压力,学校要做哪些工作

高校网络安全工作已从“基础合规”转向“实战对抗”,需建立 **“资产可知、风险可管、事件可控”** 的三层防御体系。- **关键工具**:使用EASM(外部攻击面管理)自动发现“影子资产”(如未备案的测试服务器、临时业务系统)。- **教育行业痛点**:重点关注在线教学平台、科研数据存储节点、第三方合作系统(如招生平台外包服务商)。- **师生群体**:钓鱼邮件识别、弱密码风险意识培养(可结合“网络安全宣传周”活动)。- **行政人员**:数据泄露事件上报流程(如72小时内向教委报备);

2025-04-09 14:01:30 942

原创 IPv6学习

**表示方式**:十六进制冒号分隔(如`2001:0db8:85a3::8a2e:0370:7334`),支持缩写(如用`::`替代连续零段)。- **长度**:128位地址(IPv4为32位),地址数量从IPv4的约43亿(2³²)激增至2¹²⁸个(约3.4×10³⁸),近乎无限。| **特性** | **IPv4** | **IPv6**- **过渡技术**:双栈(同时支持IPv4/IPv6)、隧道(IPv6 over IPv4)、转换机制(NAT64)。

2025-04-07 13:51:33 558

原创 针对ip的网络安全防护

针对IP的防护需结合🌟**主动防御**(如威胁情报、IPS)和🌟**被动响应**(如日志分析、黑名单更新),同时采用分层防护策略(网络层、应用层、数据层)。- **下一代防火墙(NGFW)**:结合深度包检测(DPI)、应用层协议分析,识别并阻断伪装成合法流量的攻击。- **IP信誉服务**:集成第三方IP信誉库(如Spamhaus、AbuseIPDB),自动拦截低信誉IP。- **NetFlow/sFlow分析**:监控IP流量模式,识别异常行为(如突发流量、低频扫描)。

2025-04-04 01:30:24 573

原创 25年护网新规有变化吗

4. **《关键信息基础设施安全保护条例》**(2021年实施):强化关基设施运营者的安全责任。1. **《网络安全法》**(2017年实施):明确网络运营者安全责任,要求建立等级保护制度。2. **《数据安全法》**(2021年实施):规范数据处理活动,强调数据分类分级和跨境安全。- **AI安全治理**:生成式AI(如大模型)的内容安全、数据投毒攻击防御或成重点。- **供应链安全**:要求对硬件、软件供应商进行更严格的安全审查,推动国产化替代。

2025-04-02 04:13:17 733

原创 关于网络安全防护

网络安全防护是系统性工程,需结合**技术**(防火墙、加密)、**管理**(策略、培训)和**流程**(应急响应、合规审计)三方面协同作用。其核心目标是确保信息在存储、传输和处理过程中的**机密性**、**完整性**和**可用性**(即CIA三要素)。- **身份认证**:多因素认证(MFA)、零信任(Zero Trust)、单点登录(SSO)。- **边界防护**:防火墙(Firewall)、入侵检测系统(IDS/IPS)、VPN。- **合规性**:满足法律法规(如GDPR、中国《网络安全法》)。

2025-03-31 04:11:57 611

原创 面对攻防演练时可以做的措施

**部署防护设备**:WAF(Web应用防火墙)、IPS/IDS(入侵防御/检测系统)、EDR(终端检测与响应)等。- **漏洞挖掘**:利用漏洞扫描工具(Nessus、AWVS)或手动测试(如OWASP Top 10漏洞)。- **资产探测**:通过域名解析、端口扫描(Nmap)、网络空间测绘(如Shodan)寻找目标暴露面。- **全面盘点资产**:梳理所有网络设备、服务器、应用系统、API接口、云服务等,形成资产清单。- **制定应急预案**:明确攻击发生时的处置流程(如断网、隔离、溯源)。

2025-03-28 12:29:33 558

原创 【网络安全】包含哪些内容

**合规性**:遵守法律法规(如GDPR、HIPAA、中国的《网络安全法》)。- **代码安全**:防范注入攻击(如SQL注入、XSS)、缓冲区溢出等漏洞。- **数据防泄漏(DLP)**:监控敏感数据(如个人隐私、商业机密)的流动。- **加密技术**:传输加密(如TLS/SSL)、存储加密(如AES)。- **多因素认证(MFA)**:结合密码、生物识别、硬件令牌等验证身份。- **云安全**:保护云环境中的数据、身份和合规性(如共享责任模型)。

2025-03-28 03:43:07 640

原创 网络安全监管范围及措施详解/来自deep seek

网络安全检查(网安检查)是监管部门为确保网络运营者(如企业、机构、平台)遵守网络安全法律法规而开展的监督活动,旨在发现并整改安全隐患,防范网络风险。以下是网安检查的核心要点:---### **一、法律依据** - **主要法规**:《网络安全法》《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》《网络安全等级保护制度(等保2.0)》等。 - **监管部门**:网信办、公安部、工信部、行业主管机构(如金融、医疗、教育等领域)。---### **二、检查对象** - **重点行业

2025-03-27 17:08:50 622

原创 关于攻防演练的政策

攻防演练(网络安全攻防演练)是网络安全领域的重要实践手段,旨在通过模拟真实攻击场景,检验和提升组织(如政府、企业、关键基础设施单位等)的网络安全防御能力。中国规模最大的国家级网络安全攻防演练,由公安部组织,覆盖政府、央企、金融机构等,模拟真实攻击场景,检验防御体系。金融行业(如SEC)要求金融机构定期测试防御体系,医疗(HIPAA)强调安全演练。- 明确组织方(如监管机构)、参演单位(防守方)、第三方技术团队(攻击方)的权责。- **跨境协作演练**:针对供应链攻击、跨境数据流动等场景开展国际联合演练。

2025-03-24 15:52:56 661

空空如也

空空如也

TA创建的收藏夹 TA关注的收藏夹

TA关注的人

提示
确定要删除当前文章?
取消 删除