网络安全及信息化 - 网络安全控制实践

< 1 2 3 4 5 6 7 8 9 >

2023-11-20 从审计角度看SEC诉太阳风公司及其网络安全责任人
网络安全的甲方不好做，尤其是直接责任人。太阳风公司被黑客成功入侵构成供应链攻击的典型案例，最近又有了新发展。美国证券交易委员会已经对太阳风公司及其相关责任人就其网络安全内控及信息公开透明的缺陷导致投资者利益受损而提起了诉讼。

2023-11-04 CIS 停止向中国区提供托管 CSAT 和 BIA 工具服务
一句话：我们研究决定，自即日起不再向您所在的地区提供托管在CIS的 CSAT 和 BIA 工具在线服务。

2023-11-02 甲方需要实施持续的网络安全审计
一句话概括：从审计管理员的职责延伸到甲方（企业、组织）整体的网络安全审计成效，需要持续地进行。

2023-10-24 等级保护的审计管理员究竟如何定位？
继续上一篇的话题，审计管理员的责任确实很大，但总体来说要做什么，进而如何定位这个角色呢？

2023-10-18 等级保护的审计管理员责任大吗？
继续探讨网络安全的管理工作。其中，落在甲方网络安全职责范围内的安全审计，是值得网络安全甲方各级人员学习和探讨的广阔话题。

2023-09-23 Windows “主题出血” 高分漏洞的预防和分析
CVE-2023-38146这个利用 Windows 主题实现任意代码执行的漏洞，相当危险且有深意。

2023-09-04 PHP应对WEB输入攻击，必须应用HTMLPurifier
面对WEB注入攻击，使用HTMLPurifier与否的遭遇是冰火两重天，实证了DevSecOps，就是要把安全措施从运维转移到开发环节。

2023-08-15 Git提交钩子触发OSV-Scanner漏洞扫描
继续介绍开源漏洞扫描器 OSV-Scanner，尝试自动化执行部署方式，比如基于 Git 的钩子实现提交时检查。

2023-07-29 攻防演练中的救命稻草（设置方法篇）
救命稻草的关键措施就是：绝对不能用管理员权限用户运行中间件或者WEB服务器。

2023-07-23 没有资源的攻防演练靠什么做救命稻草？（对抗篇）
一句话：尽一切可能限制红队获得操作系统管理员权限。

2023-07-14 没有资源的情况下如何熬过攻防演练？
继续是这个扯淡的话题……也以此作为这个过程的记录，以后可以缅怀一下。所以，这一篇归类到“科技奇趣”，哈哈。

2023-07-02 缺乏资源如何应对网络安全攻防演练？
人财物都缺的局面，如何应对网络安全攻防演练？两个字：躺平......或者再抢救一下？

2023-06-15 究竟网络安全工作日常都干些什么？
继上一篇对网络安全的有感而发，谈谈我之前在知乎回答的一个问题：“网络安全工作日常都干些什么？”

2023-05-31 又是供应链安全：GUAC项目0.1版释出
GUAC是“用于理解工件组成的图表”。很显然，这个安全工具的目的是使供应链安全因素可视化。