WaveCN 网络安全及数字技术
以太网MAC地址厂商双向查询
首 页
数字化技术杂记
信息化基础运维
网络安全控制实践
评论及随笔
网络安全及信息化 - 网络安全控制实践
<
1
2
3
4
5
6
7
8
9
10
>
2024-04-08
应用网络安全加固基准:CIS Benchmarks 2024年3月及之前的更新
等保的实施过去了一段时间,基础环境没有明显调整,很多人就会把环境加固这事放下了。但正确的做法是应该持续关注加固基准的变化,及时实施应用。
2024-04-04
观察开源安全基金会制订中的软件包存储库安全框架
2024年2月,作为加强开源软件供应链安全的新举措,开源安全基金会 OpenSSF 计划制订用于加强软件包存储库的安全实践框架,那么该该框架能应对和缓解何种网络安全风险,其草案会有什么启发和不足?
2024-03-13
黑客对 Ubiquiti EdgeOS 路由器的入侵卷土重来
在国内颇受欢迎被大量部署使用的Ubiquiti路由器,可能会被僵尸网络的大规模入侵所波及。这距离上一次执法机构成功破坏僵尸网络还不够两个月。
2024-03-05
点评软件供应链安全框架 in-toto 的审计结果
软件供应链安全框架项目 in-toto 进行了项目规范及源代码审计并公布了审计结果,无论是开发者或网络安全管理人员,本着DevSecOps的精神都值得认真一读。
2024-02-22
开源杀毒软件 ClamAV 1.3.0 新版释出,支持解析检查 Microsoft OneNote 附件
笔者一向比较关注 ClamAV 的发展,一方面源于自己对恶意代码攻防技术的关注,另一方面是 ClamAV 是唯一的开源杀毒软件。根据ClamAV的博客,在2月7日,1.3.0 新版已经正式释出,同时释出的还有1.2.2 和 1.0.5 两个安全补丁版本。官方提醒用户 1.1 版的生命周期已经终结,用户应转用1.0 LTS、1.2或1.3版。
2024-02-06
用户如何看待和防范小型家用路由器频繁被劫持利用?
SOHO 路由器的用量相当大,一旦被发现存在漏洞,就会在互联网上形成大范围的安全隐患,黑客甚至可以编写机器人软件实现自动查找、劫持和利用 SOHO 路由器发起更多攻击,用户自己还懵然不知。
2024-01-21
软件供应链安全继续强化:SBOM清单基座规范SBOMit启动制订
开源安全基金会(OpenSSF,Open Source Security Foundation)在2023年12月启动了软件供应链安全规范 SBOMit,为软件物料清单 SBOM 添加了全过程校验的实现。
2024-01-13
甲方应如何检查和缓解供应链攻击风险?
太阳风事件无疑是供应链攻击事件中影响最深远的一例。那么如果要防范供应链攻击,要怎样做?
2024-01-02
新年新版本!网站安全度评估工具 MDN Observatory 即将推出 2.0
笔者是Firefox的重度用户,自然也关注Mozilla推出的各种工具,比如即将推出2.0版本的 MDN Observatory。
2023-12-25
微软安全合规工具包SCT及安全基线更新
在较早之前介绍过微软的安全合规工具包SCT。最近SCT发布了更新,于是简单地老调重弹一下看看更新了什么。
2023-12-21
因为网络安全事件报告而要关注什么技术领域?答案是DFIR。
数字取证与事件响应(DFIR)是网络安全的重要细分领域。工欲善其事必先利其器,SIFT 工作站就是用于这个领域的公共且免费的工具。
2023-12-14
甲方人员角度解读网络安全事件报告管理办法(征求意见稿)
笔者的多年经验,对网络安全事件1小时内上报的要求相当熟悉:该时限要求终于上升为底线级别的网络安全管理要求了。
2023-12-07
解读 GB/T 42446 《信息安全技术 网络安全从业人员能力基本要求》
之前提到过 GB/T 42446 《信息安全技术 网络安全从业人员能力基本要求》这份对甲方网络安全等级保护工作可能会构成新的要求的推荐性标准。随着标准正式实施,要先做好对标准条文的阅读理解。
2023-11-30
基于安全审计思维规划缓解内网自建软件仓库的风险
好久没写基础设施建设运维的内容。前不久提到了基础设施迁移,有些很基础的事情确实值得重温一下,比如在内网自建软件仓库的过程。
2023-11-20
从审计角度看SEC诉太阳风公司及其网络安全责任人
网络安全的甲方不好做,尤其是直接责任人。太阳风公司被黑客成功入侵构成供应链攻击的典型案例,最近又有了新发展。美国证券交易委员会已经对太阳风公司及其相关责任人就其网络安全内控及信息公开透明的缺陷导致投资者利益受损而提起了诉讼。
本页网址二维码:
最新内容
国产化替代:观察漏洞修补的及时性以供应链关系选择...
攻防演练与蓝屏:此时不推进软件供应链安全管理,更...
weakpass.com 弱密码资源集中地
蓝屏不会是最后一次:盘点杀毒软件反杀操作系统的历...
软件供应链安全应敲响警钟:从CrowdStrike搞蓝了Win...
解读即将实施的 GB/T 43698-2024 《网络安全技术 软...
解读即将实施的 GB/T 43698-2024 《网络安全技术 软...
解读即将实施的 GB/T 43698-2024 《网络安全技术 软...
从攻防演练想到的:如果信息系统原生就有网络安全功...
攻防演练在即:我自己的密码够强吗?
攻防演练在即:如何高效全面地排查信息系统用户状态...
家用或小型办公室无线路由器网络安全检查清单
话音刚落,Windows “回顾”功能的数据提取工具“全...
周末补漏洞:PHP CGI Windows平台远程代码执行漏洞 ...
ClamAV 1.4.0 即将发布以及什么是模糊图像哈希
国产化替代:资源有限的甲方如何选择操作系统?
微软 AI PC 的新功能“回顾”一定是个大坑
信息化项目甲方避坑指东之三
数据分类分级不是皇帝的新衣,是甲方信息化部门的尚...
OSV-SCANNER新功能:扫描归集软件包的开源许可证
简析美国土安全部发布关于缓解AI对关键设施风险的安...
从MAC地址到802.1X安全实践:MAC地址安全管理之三
信息化项目甲方避坑指东之二
有什么蛛丝马迹可以判断系统存在SQL注入漏洞,且如...
应用网络安全加固基准:CIS Benchmarks 2024年3月及...
观察开源安全基金会制订中的软件包存储库安全框架
信息化项目甲方避坑指东之一
电影《沙丘》中的零信任和风险管理(剧透)
黑客对 Ubiquiti EdgeOS 路由器的入侵卷土重来
栏目相关
攻防演练与蓝屏:此时不推进软件供应链安全管理,更...
国产化替代:观察漏洞修补的及时性以供应链关系选择...
Windows服务器折腾安装MegaRAID存储管理器17.05版
能否用Windows服务器作为路由器?(基本配置篇)
CIS-CAT 配置评估工具介绍及操作实践
Windows 系统安全基线及软件工具介绍
网络攻防中的色彩象征
安装RHEL/CentOS时如何选择配置安全策略?
VMware vSphere Hypervisor 6.7 手动升级过程实例
最佳浏览方式:
Firefox 浏览器
站长信箱:webmaster 在 wavecn 点 com
内容版权声明
-
内容免责声明
-
软件免责声明
-
隐私政策声明
-
SITEMAP
-
RSS
- ICP备案号:
粤ICP备05011050号-1
版权所有(c) 2000-2024 by WaveCN.com