- 博客(406)
- 问答 (3)
- 收藏
- 关注
RSS订阅原创 掌握信息安全的钥匙:CISSP官方学习指南(OSG)第9版中文版
它旨在衡量信息安全领域专业人员的技能、知识和能力,涵盖安全与风险管理、资产安全、安全工程、通讯和网络安全、身份与访问管理、安全评估与测试、安全操作以及软件开发安全等八个核心知识领域。随着CISSP认证的更新,官方学习指南也推出了第9版,这一版本在内容上做了全面的更新和优化。在信息安全领域,知识和技能的更新是快速的,CISSP认证不仅能够帮助你跟上这一步伐,还能让你在职业生涯中保持领先地位。如果你渴望在信息安全领域提升自己的专业水平,那么CISSP官方学习指南(OSG)第9版中文版可能是你的不二之选。
2024-09-25 21:29:05
1673
原创 2024年最新 信息安全 标准 汇总
GB-T 43739-2024 数据安全技术 应用商店的移动互联网应用程序(App)个人信息处理规范性审核与管理指南.pdf。GB-T 15843.4-2024 信息技术 安全技术 实体鉴别 第4部分:采用密码校验函数的机制。GB-T 17903.3-2024 信息技术 安全技术 抗抵赖 第3部分:采用非对称技术的机制。GB-T 33565-2024 网络安全技术 无线局域网接入系统安全技术要求.pdf。GB-T 43698-2024 网络安全技术 软件供应链安全要求.pdf。
2024-09-24 07:06:55
839
原创 奇安信 红蓝攻防构建实战化网络安全防御体系 随笔练习
网络安全是每个企业和组织不可忽视的重要议题。通过阅读《奇安信红蓝攻防构建实战化网络安全防御体系》,您将获得宝贵的知识和策略,为您的网络安全保驾护航。立即下载,开启您的网络安全之旅!请注意,以上链接地址为示例,实际下载链接请根据实际情况替换。
2024-05-30 07:57:11
812
原创 CSA 实现安全应用容器架构的最佳实践 课堂随笔
随着云计算和微服务架构的兴起,容器技术因其轻量级、可移植性和易于管理等优势成为现代应用部署的首选。然而,容器的安全性问题也随之凸显。云安全联盟(Cloud Security Alliance, CSA)致力于提供行业标准和最佳实践,以确保容器化应用的安全性。这份《CSA 实现安全应用容器架构的最佳实践》文件正是在这样的背景下应运而生,旨在帮助开发者和企业构建和维护安全的容器化环境。这份文件不仅是一个技术文档,更是一个行动指南,它将帮助您和您的团队在容器化的道路上迈出坚实的步伐,确保应用的安全性和合规性。
2024-05-29 20:41:24
746
1
原创 《青藤云安全 2022攻防演练蓝队防守指南》白皮书介绍
在网络攻击日益复杂化的今天,企业网络面临的安全威胁不断增加。为了提升企业的安全防护能力,青藤云安全撰写了《2022攻防演练蓝队防守指南》白皮书。本指南旨在帮助安全团队更好地理解攻击者的策略和技术,从而构建更为坚固的防线。它不仅能够提供全面的攻防演练框架,还能够作为您提升网络安全防护能力的得力助手。为了深入了解网络攻防演练的细节,并获取宝贵的防守指南,我们强烈推荐您下载。
2024-05-29 05:42:55
548
原创 GB/T 33133.2-2021 《信息安全技术 祖冲之序列密码算法 第2部分:保密性算法》标准介绍
为了加强数据传输和存储的安全性,中国国家标准GB/T 33133.2-2021应运而生。这一标准是祖冲之序列密码算法系列的第二部分,专注于保密性算法,旨在提供一种高效、安全的数据加密解决方案。为了深入了解GB/T 33133.2-2021标准的具体内容,以及如何将其应用于提升您的信息安全防护,我们强烈推荐您下载并研究这一重要文档。它不仅能够提供宝贵的加密技术知识,还能够作为您信息安全管理的宝贵资源。我们相信,通过学习和应用这一标准,您将能够为构建更加安全的信息环境做出积极贡献。
2024-05-29 05:37:20
565
原创 YD/T 2698-2014 《电信网和互联网安全防护基线配置要求及检测要求 网络设备》标准介绍
为了加强电信网和互联网的安全防护,保障网络环境的稳定和用户信息的安全,YD/T 2698-2014标准应运而生。此标准旨在为网络设备提供一套基线配置要求,以及相应的安全检测标准,从而提升整个网络的安全性能。为了深入了解YD/T 2698-2014标准的具体内容,以及如何将其应用于您的网络环境中,我们强烈推荐您下载并研究这一重要文档。它不仅能够提供宝贵的安全防护知识,还能够作为您网络安全管理的参考指南。我们相信,通过遵循这一标准,您将能够为构建更加安全的网络环境做出贡献。
2024-05-29 05:34:52
1225
原创 YD-T 1730-2008 电信网和互联网安全风险评估实施指南 学习笔记
YD-T 1730-2008《电信网和互联网安全风险评估实施指南》为电信和互联网行业的网络安全管理提供了宝贵的指导。通过遵循这一标准,组织不仅能够提高自身的网络安全水平,还能够在行业中树立起良好的安全标杆,共同构建一个更加安全的网络环境。YD-T 1730-2008《电信网和互联网安全风险评估实施指南》为我们提供了一套系统化的方法,帮助组织评估和应对网络安全风险。YD-T 1730-2008标准定义了一个清晰的风险评估流程,包括风险识别、风险分析、风险评价和风险处理。
2024-05-27 08:23:31
561
原创 ISO 27701-2019 隐私信息管理体系要求中文版 学习笔记
ISO 27701-2019是由国际标准化组织(ISO)发布的一个国际标准,它基于ISO/IEC 27001和ISO/IEC 27002标准,专门针对隐私信息管理提出了额外的要求。ISO 27701-2019旨在帮助组织建立、实施、维护和持续改进隐私信息管理体系,以保护个人隐私并提升组织对隐私保护的承诺。ISO 27701-2019特别强调了对第三方处理者(如供应商和合作伙伴)的管理,要求组织确保第三方也遵守隐私保护的要求。组织需要不断监控和遵守适用的隐私法律和规定,确保数据处理活动的合法性。
2024-05-27 08:21:10
900
原创 2024年最新信息安全标准汇总
随着科技的快速发展,网络空间的安全威胁也在不断演变,从复杂的网络攻击到个人信息泄露,这些安全风险对每个组织和个人都构成了挑战。因此,遵循和实施最新的信息安全国家标准,不仅是法律的要求,更是我们共同的责任。作为信息安全领域的从业者,我们必须不断学习、适应和更新我们的知识和技能,以确保能够跟上时代的步伐。同时,我们也需要加强跨部门、跨行业的合作,共同构建一个更加安全的网络环境。在此,我呼吁大家积极参与到信息安全国家标准的学习、宣传和实施中来,让我们携手合作,为建设一个更加安全、稳定、繁荣的数字世界贡献力量。
2024-05-26 09:28:14
535
原创 大语言模型LLM 相关知识汇总
个人隐私信息:包括但不限于个人身份信息(PII),如姓名、地址、电话号码、电子邮件地址、社会安全号码等。色情和不适当的内容:任何形式的色情、淫秽或不适当的内容,包括但不限于色情文学、图片或视频。仇恨言论:基于种族、性别、宗教、国籍、性取向或其他特征的歧视性或仇恨性言论。违反特定社区或平台规则的内容:不符合特定在线社区或社交媒体平台规定的内容。误导性或虚假信息:旨在欺骗、误导或引起恐慌的虚假新闻或不实信息。诱导性或操纵性内容:旨在操纵用户进行不安全或不道德行为的内容。实施强大的输入验证和数据清理机制。
2024-05-26 09:25:33
561
原创 信息安全管理体系27001已经发布2022新版
ISO 27001是信息安全管理系统(ISMS)的国际标准,旨在确保组织在设计、实施、监控、审计和改进其信息安全管理体系时能够做到持续不断的改善。
2024-03-17 21:02:01
659
原创 国家推荐标准 20986 2023 信息安全技术 网络安全事件分类分级指南 学习记录
根据安全事件对网络范围的影响程度进行划分,如局部影响、跨部门影响、全网影响等,以便了解安全事件的影响范围,制定相应的应急演练和处置计划。严重性高、中、低:根据安全事件对组织业务和资产的影响程度,分为高、中、低三个级别,以便组织对不同级别的安全事件有针对性的应对措施。依据安全事件的类型进行分级,如数据泄露、恶意软件感染、拒绝服务攻击(DDoS)等,以便对不同类型的安全事件进行专门的处理和处置。根据安全事件的来源进行分级,如内部威胁、外部威胁、合作伙伴威胁等,以便对不同来源的安全事件采取不同的应对策略。
2024-03-17 20:57:04
924
原创 信息安全认证 CISSP 官方学习指南 第9版 中文版 学习记录
CISSP(Certified Information Systems Security Professional)是全球范围内最受尊敬的信息安全认证之一,由国际信息系统安全认证联盟(ISC)²(International Information System Security Certification Consortium)颁发。CISSP认证旨在衡量信息安全领域专业人员的技能、知识和能力,是信息安全领域的权威认证之一。
2024-03-17 20:53:30
2118
原创 网络安全主要面临的挑战 有哪些
网络安全和数据安全是事关国家安全和发展、事关人们工作生活的重大战略 问题。随着《国家安全法》、《网络安全法》、《密码法》、《民法典》、《数据安全法》、 《个人信息保护法》“五法一典”出台,网络安全、数据安全和个人信息保护由“或 有或无”变成“刚需”。数据处理者必须按照要求,接受和通过国家相关部门和 机构的审查和测评,不然存在违法运营的风险。
2023-12-22 14:13:54
2374
原创 什么是安全平行切面
通过嵌入在端—管—云内部的各层次切点,使得安全管控与业务逻辑解耦,并通过标准化的接口为安全业务提供内视和干预能力的安全基础设施。安全平行切面是一种创新的安全体系思想,是实现“原生安全”的一条可行路径。
2023-11-11 06:55:36
1764
原创 基础术语和模式的学习记录
本文件界定了政府和社会资本合作(PPP)的基础术语,给出了政府和社会资本合作(PPP) 的 模 式分类和代码。本文件适用于政府和社会资本合作(PPP) 的所有活动。
2023-09-12 06:29:27
391
原创 个人信息去标识化具体实施指南
GB/T 25069—2010中界定的以及下列术语和定义适用于本文件。3.1 \个人信息 personal information以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。[GB/T 35273-2017,定义3.1]3.2 \个人信息主体 personal data subject个人信息所标识的自然人。[GB/T 35273-2017,定义3.3]3.3 \去标识化 de-identification。
2023-09-09 17:33:48
1812
原创 计算机终端核心安全配置规范
下列术语和定义适用于本文件。本标准针对应用于政务部门的联网计算机终端提出核心配置要求,包括连接到互联网、政务专网(政务内网、政务外网)的桌面计算机、膝上型计算机和瘦客户机等。
2023-08-24 15:20:56
2108
原创 典型移动APP安全风险提醒
奇安信移动终端安全管理系统(天机)是面向公安、司法、政府、金融、运营商、能源、制造等行业客户,具有强终端管控和强终端安全特性的移动终端安全管理产品。产品基于奇安信在海量移动终端上的安全技术积淀与运营经验,从硬件、OS、应用、数据到链路等多层次的安全防护方案,确保企业数据和应用在移动终端的安全性。
2023-08-06 21:34:30
1407
原创 办公信息系统安全基本技术要求
GB/T 25069-2010中界定的以及下列术语和定义适用于本文件。办公信息系统 office information system办公信息系统由服务器、桌面PC、操作系统、数据库管理系统、应用服务器中间件、办公软件、网络设施、应用软件系统等软硬件组成,通过数据的收集、存储、传递、管理和处理等手段,提供办公服务的信息系统。用户相关信息 user related information使用办公信息系统的自然人或法人的信息及其元数据。
2023-08-06 21:24:41
1292
原创 网络安全预警分类流程
GB/T 25069—2010中界定的以及下列术语和定义适用于本文件。为了便于使用,以下重复列出了GB/T 25069-2010中的某些术语和定义。网络安全保护对象 object of cyber security protection亦指资产,对组织具有价值的信息或资源,是安全策略保护的对象。注:主要指重要信息系统的应用、数据、设备。[GB/T 20984—2007,定义3.1]网络安全威胁 cyber security threat对网络安全保护对象可能导致负面结果的一个事件的潜在源。
2023-08-06 20:40:23
2188
1
原创 信息安全技术工业控制系统安全控制应用指南学习笔记
根据工业控制系统在国家安全、经济建设、社会生活中的重要程度,遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等,结合信息安全等级保护标准划分及实施效果分析,结合工业控制系统的基本特征(参见附录A),结合以往诸多工业控制系统的安全实践,将附录B中适用于工业控制系统的安全控制分为三个级别:一级、二级和三级。安全控制基线及其设计考虑,以及基线的选择和裁剪指导见本标准正文内容。表C.1安全控制基线。
2023-08-06 19:38:34
411
原创 工业控制系统安全控制应用指南
GB/T 25069-2010界定的以及下列术语和定义适用于本标准。工业控制系统(ICS) industrial control system工业控制系统(ICS)是一个通用术语,它包括多种工业生产中使用的控制系统,包括监控和数据采集系统(SCADA),分布式控制系统(DCS),和其他较小的控制系统,如可编程逻辑控制器(PLC),现已广泛应用在工业部门和关键基础设施中。监控和数据采集系统(SCADA)supervisory control and data acquisition system。
2023-08-06 19:03:05
819
原创 信息安全事件分类分级指南
下列术语和定义适用于本指导性技术文件。由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。2.信息安全事件 information security incident由于自然或者人为以及软硬件本身缺陷或故障的原因,对信息系统造成危害,或对社会造成负面影响的事件。对信息安全事件的分级主要考虑三个要素:信息系统的重要程度、系统损失和社会影响。
2023-08-06 17:12:09
836
原创 智能卡通用安全检测指南 思度文库
下列术语和定义适用于本文件。智能卡 smart card指具有中央处理器(CPU)的集成电路(IC)卡,是将一个具有中央处理器的集成电路芯片镶嵌于塑料基片中,并封装成卡的形式。从数据传输方式上可分为接触式智能卡和非接触式智能卡。智能卡产品 smart card production智能卡产品指具有CPU集成电路芯片和芯片操作系统的智能IC卡,其标准形态和技术规格被国标GB/T 14916 2006 《识别卡 物理特性》和GB/T 16649系列国家标准以及ISO/IEC。
2023-08-05 20:35:19
1895
原创 文件控制管理规定
为规范思度安全运营中心信息安全管理体系文件的审批、发布、发放、分发、更改、保管和作废等活动的管理和控制,特制定本规定。本规定适用于思度安全运营中心范围内的所有信息安全管理体系文件控制工作。本文件采用GB/T22080-2016/ISO/IEC27001:2013、GB/T22081-2016/ISO/IEC27002:2013的定义和缩写,本文件中需补充说明的定义和缩写如下:为建立信息安全方针和信息安全管理体系相关要求而采取的一组相互关联和相互作用的要素的描述,包括电子和纸质的形式。有关的法律、法规,国家、
2023-06-18 15:43:14
761
原创 数据安全最佳实践脱敏版本
随着信息社会的发展和互联网的兴起,数据已经成为了一种非常重要的资产,可以用于推动商业发展和提升工作效率。但同时,用于存储和传输数据的系统网络,却是攻击者的目标。为了保护企业数据的安全,需要围绕数据安全解决方案来建立一个安全保障体系。数据安全解决方案是一种对企业数据的保护体系,它应该能够帮助企业厘清和构建数据安全访问的整个生命周期,并有合理有效的防护机制,包括但不限于数据加密、访问控制、数据备份和恢复、安全日志以及安全培训等等。接下来我们可以更详细的介绍这些措施。首先,加密对于数据的保护是非常关键的。
2023-06-18 15:28:09
509
原创 数据安全常见的解决措施有哪些
随着数据技术的不断发展,大量的数据已被收集、存储和处理。数据包含着企业的核心信息,如客户信息、交易记录以及员工资料等,因此数据可能成为攻击者的目标。为了确保数据安全,许多企业在其网络设施和应用程序中使用了数据安全解决方案。数据加密是数据安全的基本措施之一。数据加密可保护数据被不恰当地访问或窃取。采用对称密钥加密或非对称密钥加密,可根据实际情况对不同等级的数据进行加密。同时可以使用密钥管理方案,以确保密钥的安全性。数据备份和恢复旨在保护企业的数据不会因为意外的数据丢失、破坏或攻击而丢失。
2023-06-18 15:21:34
1765
原创 iso27001 信息安全管理体系术语定义
系统、服务或网络的一种可识别的状态的发生,可能是对信息安全策略的违反或防护措施的失效,或是和安全关联的一个先前未知的状态。[GB/T 22080-2008/ISO/IEC 27001:2005,IDT《信息技术 安全技术 信息安全管理体系要求》(以下简称:GB/T 22080-2008)]分析业务功能及其相关信息系统资源、评估特定灾难对各种业务功能的影响的过程。对信息系统的访问时间超过信息系统设定的时间后,信息系统强制用户退出的机制,也包含信息系统对设定时间内没有任何操作的用户进行强制退出的机制。
2023-06-18 15:02:23
765
原创 2022 医疗卫生行业应急响应形势分析报告 脱敏板
漏洞利用则是攻击者利用政企机构网络安全建设不完善的弊端,使用常见系统漏洞、Web 漏洞等发起攻击。例如 2021 年 12 月发现的“Apache Log4j2 漏洞”,就被大量攻击者利用对服务器进行的破坏性攻击,通常会导致重要数据丢失、泄露、内部投毒、敲诈勒索等严重后果。 除此之外,钓鱼邮件、网页篡改、网络监听攻击等也是较为常见的攻击类型。如 2021年 12 月份发现的 emote 木马钓鱼邮件,一旦中招,对政企机构产生的影响是不小的。医疗卫生行业机构应做好员工安全意识培训工作,定期内部巡检,及时发现威
2023-01-30 18:36:22
908
信息安全技术 数据安全风险评估方法(征求意见稿)
2023-09-03
国家标准GB-T 25070-2019 在哪里能下载
2022-10-30
Garnter认为IAST是十大安全技术之一 ,有人知道出处在哪里么
2022-07-11
求比较好的配置管理工具
2022-07-04
网络安全中的渗透测试和攻防演练有哪些区别?
2022-07-04
TA创建的收藏夹 TA关注的收藏夹
TA关注的人