摘要: 0x00 概述 如今年(2021)七月Gartner 发布《Hype Cycle for Security Operations, 2021》(2021安全运营技术成熟度曲线),漏洞管理已经成为安全运营中较为成熟的子领域,可以说一切安全运营活动的开始几乎都是从漏洞管理开始的,是安全工作中的基础也是重 阅读全文
posted @ 2021-10-14 14:56 syyh-01 阅读(272) 评论(0) 推荐(0) 编辑
摘要: 攻击欺骗技术 兵者,诡道也。 ——《孙子兵法》 古代战场上就知道使用变幻的攻击方法来迷惑攻击者,攻其不备、出其不意,可见攻击欺骗技术向来就是存在的。然后在网络攻防对抗的战场上,攻击欺骗技术却在近几年才登场的。 攻击欺骗(Deception)是Gartner从2015年起连续四年列为最具有潜力安全技术 阅读全文
posted @ 2020-04-07 15:09 syyh-01 阅读(1217) 评论(0) 推荐(1) 编辑
摘要: 一、概述 《网络产品安全漏洞管理规定》在2021年7月12日发布,于2021年9月1日生效,由工业和信息化部、国家互联网信息办公室、公安部联合制定,以《网络安全法》为依据,《网络产品安全漏洞管理规定》将会推动网络产品安全漏洞管理工作的制度化、规范化、法治化,提高相关主体漏洞管理水平。 二、三类责任主 阅读全文
posted @ 2022-03-20 20:00 syyh-01 阅读(94) 评论(0) 推荐(0) 编辑
摘要: 上一篇介绍了网安立法过程、重要的几个法律法规,以及对《国家安全法》、《网络安全等级保护基本要求》的简单解读。 本篇开始将陆续完成 《网络安全法》、《关键信息基础设施安全保护条例》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》的个人解读。 3、《网络安全法》 3.1、概述 《网络安全 阅读全文
posted @ 2022-03-06 00:03 syyh-01 阅读(160) 评论(0) 推荐(0) 编辑
摘要: 一、概述 通过上一篇文章初步了解了法律位阶、网安行业的监管机构及其职责;本文将会介绍网安法立法历程,以及网安基本法律法规的解读。 二、网安立法历程 互联网已经发展了50多年,中国接入互联网也已近30年,经历过了"乱象丛生"的野蛮生长时代,如今各项法律法规、条例等也在陆续完善和出台,行业逐渐走向成熟化 阅读全文
posted @ 2022-03-04 18:44 syyh-01 阅读(66) 评论(0) 推荐(0) 编辑
摘要: (一)安全法律法规初相识 一、概述 依法治国是我国的基本方针,我国是社会主义法治国家,网络安全行业也需要遵循相应的法律法规、规章制度,本系列是对合规知识的学习整理。 二、法律位阶 法律位阶通俗讲就是法律地位的高低,法律地位的高低决定了法律效力等级的高低,所以法律位阶也被称为法律效力等级。 法律位阶高的法律称为上位法,法律位阶 阅读全文
posted @ 2022-03-02 23:04 syyh-01 阅读(12) 评论(0) 推荐(0) 编辑
摘要: 一、概述 账号是进入系统的第一道关卡、是系统的“大门”,在满足正常功能的基础上,安全性也是其中一个重要属性。 本文主要从账号安全的角度,讲述在正常用户使用过程中可能遇到的安全风险,其实还有另一个方面,从恶意用户——黑车的角度,也就是账号风控,本文仅关注前者——账号安全: 账号功能安全 账号数据存储安 阅读全文
posted @ 2021-12-26 17:04 syyh-01 阅读(261) 评论(0) 推荐(0) 编辑
摘要: 漏洞概述 Grafana是一个跨平台、开源的数据可视化网络应用程序平台。用户配置连接的数据源之后,Grafana可以在网络浏览器里显示数据图表和警告。 Grafana 的读取文件接口存在未授权,且未对文件地址进行过滤,导致可以目录穿越/../../../../../../../../../os fi 阅读全文
posted @ 2021-12-12 20:54 syyh-01 阅读(1617) 评论(0) 推荐(0) 编辑
摘要: 《关键对话》-脑图整理 《关键对话:如何高效沟通》、《关键冲突:如何化人际关系危机为合作共赢》、《关键改变:如何实现自我蜕变》,称为“关键三部曲”,其中《关键对话》有助于我们更好的和别人沟通,进而促成事情的达成,除此之外,《非暴力沟通》也值得推荐。 阅读全文
posted @ 2021-12-12 16:10 syyh-01 阅读(63) 评论(0) 推荐(1) 编辑
摘要: 容器和虚拟机 容器和虚拟化都是系统虚拟化的实现技术,可以实现系统资源的共享。相较于虚拟机,容器技术是一种“轻量”的虚拟化方式,虚拟机通常在Hypervisor层实现对硬件资源的虚拟化,Hypervisor为虚拟机提供了虚拟的运行平台,管理虚拟机的操作系统运行,每个虚拟机都有自己的操作系统、系统库以及 阅读全文
posted @ 2021-12-03 17:51 syyh-01 阅读(191) 评论(0) 推荐(0) 编辑
摘要: ##简介 官方地址:https://github.com/aquasecurity/trivy Trivy是aqua(专注云原生场景下的安全)公司的一款开源工具,之前历史文章也有对aqua的一些介绍。 Trivy是一个简单易用且全面的扫描器,支持容器镜像、文件系统、git仓库及配置文件的检测。 Tr 阅读全文
posted @ 2021-11-21 18:38 syyh-01 阅读(647) 评论(0) 推荐(0) 编辑
摘要: 安全的最终的目的是把安全风险控制在可控范围内,风险治理也是个老生常谈的话题了,本文主要是从相关的制度和规范来学习下信息安全风险治理的流程。 NIST RMF RMF是NIST于2010年出版的特别出版物800-37rev1。NIST开发的此框架,提供一种灵活、动态的方法有效管理高度多样化的环境中贯穿 阅读全文
posted @ 2021-10-31 14:29 syyh-01 阅读(240) 评论(0) 推荐(0) 编辑